當勒索軟件變化越來越快怎么辦?或許TA可以幫忙

企業 卡夫卡 2019-07-07 00:15

  [PConline 雜談]大眾真正見識并意識到勒索軟件的威力,是在2017年爆發的那場WannaCry,使政府、教育、醫院、能源、通信、制造業等眾多關鍵信息基礎設施領域遭受到了前所未有的重大損失?,F在來看,這僅僅是個開始。實際上,自WannaCry后,又出現了SimpleLocker、SamSam、NotPetya和LockerGoga等新版本并迅速發展。

  我們說,勒索軟件感染破壞的一般過程是,勒索軟件作者使用對稱加密算法加密用戶文件,用非對稱加密算法保護密鑰;如果密鑰長度足夠的話,可以說是無法破解的。另一方面,勒索軟件的快速發展,也使得簽名、模式匹配等傳統技術越來越難以成功檢測勒索軟件。

   那么,當勒索軟件變化越來越快的時候,我們應該如何應對?

   其實,勒索軟件的核心是相同的,它們通過釣魚郵件或與之類似的策略進入端點系統,并安裝惡意軟件獲取加密代碼,進而加密整個網絡系統上的數據,之后便會向受害者索要贖金。我們說,相比個人,組織或機構受到勒索軟件攻擊后的代價更高昂。在2017到2018年間,勒索軟件攻擊的數量雖然有所下降,但卻呈現出更具針對性的發展態勢,而其所針對的正是企業。

   顯然,黑客心里十分清楚,并不是每個組織都會及時修補系統中存在的漏洞,即便是使用“舊款”勒索軟件也能湊效。不過舊的勒索軟件通常被那些規模較小的網絡犯罪組織使用,而對于現在大多數的惡意軟件,則要么由國家運行,要么由專業的犯罪組織運行,他們的目標是那些嚴重依賴自己數據并有支付能力的公司。

   過去,我們通常使用簽名和模式匹配等傳統技術進行防御,但卻發現使用這些方法越來越難以成功檢測。因為我們看到,現在的勒索軟件更多的是試圖逃避防御技術的多臺惡意軟件。顯然,隨著勒索軟件的不斷發展,對它的防御也 必須隨之水漲船高。

   我們可以通過網絡上的行為分析功能對其進行檢測,在它從受感染的系統傳播到網絡的其他各處之前,將其關閉。從分析角度來看,我們需要找到那些不尋常的網絡行為。如今的黑客,很擅長隱藏自己的惡意軟件,一旦進入網絡,它們看起來就像一個擁有證書的合法用戶。顯然,惡意軟件不會輕易暴露自己,因此行為分析是反擊的關鍵方法,尤其是當數據被加密時,分析則變得非常重要。

   在Web瀏覽器等應用程序正在轉向TLS加密的同時,我們看到惡意軟件也在做同樣的事情,而行為分析與觀察加密網絡流量等可檢測惡意軟件的存在,并進一步限制其可能造成的威脅與損害。

   當惡意軟件發起攻擊時,端點第一個開始查找攻擊,端點具有基本的反病毒功能,但惡意軟件可能看到反病毒保護,并采取措施逃避或禁用。網絡在處理勒索軟件方面如此成功的一個原因是黑客無法關閉網絡,管理員可以在網絡上觀察不同類型的行為,而惡意軟件無法阻止管理員這樣操作。

   此外,機器學習可以在檢測網絡的異常行為方面發揮作用。我們說在機器學習場景下,數據模型的規模越大越好,系統會同時查看網絡數據包和來自不同系統的日志,從而更全面的了解網絡中正在發生的事情。系統所看到的絕大多數可能是噪音,但機器學習擅長從大量數據中篩選出微弱的信號。

   實際上,一些安全廠商已有針對勒索軟件的檢測與防御技術,尤其是現在很多企業都已上云,這就使得云安全成為一個重要安全標的。就云端方面,卡巴斯基的惡意軟件分析系統依靠其自主的虛擬化平臺,可以幫助用戶避開惡意軟件對虛擬化平臺的檢測,且惡意軟件在虛擬分析系統中的運行速度與真實環境無異。

   與此同時,該系統還可以針對勒索軟件的一般行為進行分析檢測,這使得它能夠檢測未知的勒索軟件,還可以對勒索軟件的對抗手段進行檢測,如長循環與反射加載。比如臭名昭著的WannaCry,其最初的版本就是由這種技術檢測出來的。

   此外,該系統還引入了基于局部敏感哈希技術的VisHash技術,使得可以使用一個VisHash通殺一批相似的惡意軟件樣本,也使得簡單的免殺技術無效。比如2018年曾在國內肆虐的GlobeImposter樣本其實代碼彼此都很相似,而這些樣本都可以被一個VisHash覆蓋。當然,這里我們只是舉了一個簡單例子做簡單說明,除此之外,企業用戶也可以選擇其他安全廠商的解決方案,提升自己在云端的安全系數。

收藏

網友評論

寫評論

相關推薦

极速赛车8码计划软件手机版下载