[PConline 杂谈]大众真正见识并意识到勒索软件的威力,是在2017年爆发的那场WannaCry,使政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域遭受到了前所未有的重大损失。现在来看,这仅仅是个开始。实际上,自WannaCry后,又出现了SimpleLocker、SamSam、NotPetya和LockerGoga等新版本并迅速发展。 我们说,勒索软件感染破坏的一般过程是,勒索软件作者使用对称加密算法加密用户文件,用非对称加密算法保护密钥;如果密钥长度足够的话,可以说是无法破解的。另一方面,勒索软件的快速发展,也使得签名、模式匹配等传统技术越来越难以成功检测勒索软件。 那么,当勒索软件变化越来越快的时候,我们应该如何应对? 其实,勒索软件的核心是相同的,它们通过钓鱼邮件或与之类似的策略进入端点系统,并安装恶意软件获取加密代码,进而加密整个网络系统上的数据,之后便会向受害者索要赎金。我们说,相比个人,组织或机构受到勒索软件攻击后的代价更高昂。在2017到2018年间,勒索软件攻击的数量虽然有所下降,但却呈现出更具针对性的发展态势,而其所针对的正是企业。 显然,黑客心里十分清楚,并不是每个组织都会及时修补系统中存在的漏洞,即便是使用“旧款”勒索软件也能凑效。不过旧的勒索软件通常被那些规模较小的网络犯罪组织使用,而对于现在大多数的恶意软件,则要么由国家运行,要么由专业的犯罪组织运行,他们的目标是那些严重依赖自己数据并有支付能力的公司。 过去,我们通常使用签名和模式匹配等传统技术进行防御,但却发现使用这些方法越来越难以成功检测。因为我们看到,现在的勒索软件更多的是试图逃避防御技术的多台恶意软件。显然,随着勒索软件的不断发展,对它的防御也 必须随之水涨船高。 我们可以通过网络上的行为分析功能对其进行检测,在它从受感染的系统传播到网络的其他各处之前,将其关闭。从分析角度来看,我们需要找到那些不寻常的网络行为。如今的黑客,很擅长隐藏自己的恶意软件,一旦进入网络,它们看起来就像一个拥有证书的合法用户。显然,恶意软件不会轻易暴露自己,因此行为分析是反击的关键方法,尤其是当数据被加密时,分析则变得非常重要。 在Web浏览器等应用程序正在转向TLS加密的同时,我们看到恶意软件也在做同样的事情,而行为分析与观察加密网络流量等可检测恶意软件的存在,并进一步限制其可能造成的威胁与损害。 当恶意软件发起攻击时,端点第一个开始查找攻击,端点具有基本的反病毒功能,但恶意软件可能看到反病毒保护,并采取措施逃避或禁用。网络在处理勒索软件方面如此成功的一个原因是黑客无法关闭网络,管理员可以在网络上观察不同类型的行为,而恶意软件无法阻止管理员这样操作。 此外,机器学习可以在检测网络的异常行为方面发挥作用。我们说在机器学习场景下,数据模型的规模越大越好,系统会同时查看网络数据包和来自不同系统的日志,从而更全面的了解网络中正在发生的事情。系统所看到的绝大多数可能是噪音,但机器学习擅长从大量数据中筛选出微弱的信号。 实际上,一些安全厂商已有针对勒索软件的检测与防御技术,尤其是现在很多企业都已上云,这就使得云安全成为一个重要安全标的。就云端方面,卡巴斯基的恶意软件分析系统依靠其自主的虚拟化平台,可以帮助用户避开恶意软件对虚拟化平台的检测,且恶意软件在虚拟分析系统中的运行速度与真实环境无异。 与此同时,该系统还可以针对勒索软件的一般行为进行分析检测,这使得它能够检测未知的勒索软件,还可以对勒索软件的对抗手段进行检测,如长循环与反射加载。比如臭名昭著的WannaCry,其最初的版本就是由这种技术检测出来的。 此外,该系统还引入了基于局部敏感哈希技术的VisHash技术,使得可以使用一个VisHash通杀一批相似的恶意软件样本,也使得简单的免杀技术无效。比如2018年曾在国内肆虐的GlobeImposter样本其实代码彼此都很相似,而这些样本都可以被一个VisHash覆盖。当然,这里我们只是举了一个简单例子做简单说明,除此之外,企业用户也可以选择其他安全厂商的解决方案,提升自己在云端的安全系数。 |
正在阅读:当勒索软件变化越来越快怎么办?或许TA可以帮忙当勒索软件变化越来越快怎么办?或许TA可以帮忙
2019-07-07 00:15
出处:PConline原创
责任编辑:sunziyi
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
-
37次
GoDaddy美国虚拟主机让智能建站更简单
1 -
25次
香港服务器10M独享,16G,2T,仅700元
2 -
23次
LOLS9皎月女神-黛安娜符文出装攻略 另类玩法征服者流皎月的玩法教学
3 -
20次
数字经济推动安防市场发展,安防企业应如何立足?
4 -
18次
王者荣耀GK.鹏鹏云中君KPL首秀铭文及出装 暴击穿透两不误?
5 -
17次
“户外液晶广告机”,新一代公园景区观光体验黑科技!
6 -
16次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
7 -
14次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
8 -
14次
自从有了佳能喷墨打印机G2810,再也不用担心墨盒太贵啦
9 -
13次
一分钟了解千兆与万兆光模块的那些事儿
10
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品