|
[PConline 杂谈]大众真正见识并意识到勒索软件的威力,是在2017年爆发的那场WannaCry,使政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域遭受到了前所未有的重大损失。现在来看,这仅仅是个开始。实际上,自WannaCry后,又出现了SimpleLocker、SamSam、NotPetya和LockerGoga等新版本并迅速发展。
我们说,勒索软件感染破坏的一般过程是,勒索软件作者使用对称加密算法加密用户文件,用非对称加密算法保护密钥;如果密钥长度足够的话,可以说是无法破解的。另一方面,勒索软件的快速发展,也使得签名、模式匹配等传统技术越来越难以成功检测勒索软件。 那么,当勒索软件变化越来越快的时候,我们应该如何应对? 其实,勒索软件的核心是相同的,它们通过钓鱼邮件或与之类似的策略进入端点系统,并安装恶意软件获取加密代码,进而加密整个网络系统上的数据,之后便会向受害者索要赎金。我们说,相比个人,组织或机构受到勒索软件攻击后的代价更高昂。在2017到2018年间,勒索软件攻击的数量虽然有所下降,但却呈现出更具针对性的发展态势,而其所针对的正是企业。 显然,黑客心里十分清楚,并不是每个组织都会及时修补系统中存在的漏洞,即便是使用“旧款”勒索软件也能凑效。不过旧的勒索软件通常被那些规模较小的网络犯罪组织使用,而对于现在大多数的恶意软件,则要么由国家运行,要么由专业的犯罪组织运行,他们的目标是那些严重依赖自己数据并有支付能力的公司。
过去,我们通常使用签名和模式匹配等传统技术进行防御,但却发现使用这些方法越来越难以成功检测。因为我们看到,现在的勒索软件更多的是试图逃避防御技术的多台恶意软件。显然,随着勒索软件的不断发展,对它的防御也 必须随之水涨船高。 我们可以通过网络上的行为分析功能对其进行检测,在它从受感染的系统传播到网络的其他各处之前,将其关闭。从分析角度来看,我们需要找到那些不寻常的网络行为。如今的黑客,很擅长隐藏自己的恶意软件,一旦进入网络,它们看起来就像一个拥有证书的合法用户。显然,恶意软件不会轻易暴露自己,因此行为分析是反击的关键方法,尤其是当数据被加密时,分析则变得非常重要。 在Web浏览器等应用程序正在转向TLS加密的同时,我们看到恶意软件也在做同样的事情,而行为分析与观察加密网络流量等可检测恶意软件的存在,并进一步限制其可能造成的威胁与损害。
当恶意软件发起攻击时,端点第一个开始查找攻击,端点具有基本的反病毒功能,但恶意软件可能看到反病毒保护,并采取措施逃避或禁用。网络在处理勒索软件方面如此成功的一个原因是黑客无法关闭网络,管理员可以在网络上观察不同类型的行为,而恶意软件无法阻止管理员这样操作。 此外,机器学习可以在检测网络的异常行为方面发挥作用。我们说在机器学习场景下,数据模型的规模越大越好,系统会同时查看网络数据包和来自不同系统的日志,从而更全面的了解网络中正在发生的事情。系统所看到的绝大多数可能是噪音,但机器学习擅长从大量数据中筛选出微弱的信号。
实际上,一些安全厂商已有针对勒索软件的检测与防御技术,尤其是现在很多企业都已上云,这就使得云安全成为一个重要安全标的。就云端方面,卡巴斯基的恶意软件分析系统依靠其自主的虚拟化平台,可以帮助用户避开恶意软件对虚拟化平台的检测,且恶意软件在虚拟分析系统中的运行速度与真实环境无异。 与此同时,该系统还可以针对勒索软件的一般行为进行分析检测,这使得它能够检测未知的勒索软件,还可以对勒索软件的对抗手段进行检测,如长循环与反射加载。比如臭名昭著的WannaCry,其最初的版本就是由这种技术检测出来的。 此外,该系统还引入了基于局部敏感哈希技术的VisHash技术,使得可以使用一个VisHash通杀一批相似的恶意软件样本,也使得简单的免杀技术无效。比如2018年曾在国内肆虐的GlobeImposter样本其实代码彼此都很相似,而这些样本都可以被一个VisHash覆盖。当然,这里我们只是举了一个简单例子做简单说明,除此之外,企业用户也可以选择其他安全厂商的解决方案,提升自己在云端的安全系数。 |
