自 1989 年以來,組織機構的網絡防禦體系就一直未能全面抵禦住勒索軟件的侵襲。
長期以來,勒索軟件一直是組織機構和消費者的威脅。全球每年的損失估計約爲 100 億美元。這麼多年過去了,爲什麼勒索軟件仍舊如此肆虐、破壞力如此之強呢?答案是,安全業界對勒索軟件的反應基本上就是一段無效的歷史,勒索軟件開發人員如何利用心理學來誘騙用戶,讓他們認爲自己是在迴應同事的請求,甚至是向兒童慈善機構捐贈比特幣。
勒索軟件已經不是什麼新鮮事,因爲它早在 1989 年就問世了。然而,時至今日它仍然是最常見的、也是最成功的攻擊類型之一。據報道,僅 2018 年上半年,就有超過 1.8 億次勒索軟件攻擊事件。而加密貨幣和 Tor 的採用,大大增加了勒索軟件的流行。
“儘管在網絡安全方面投入了數十億美元,而且數十年來已有多家公司部署了防火牆和防病毒解決方案,但仍然沒有防住勒索軟件的攻擊。要明白爲什麼會有這樣的局面,就需要研究惡意軟件是如何工作的,以及爲什麼我們現有的防禦方法總是一直失敗。”
- 爲什麼說快速恢復是減少勒索軟件威脅的關鍵?
- 如何測試反勒索軟件?
- 超過一半的上班族並不知道勒索軟件是什麼玩意兒。
每 14 秒鐘,在世界上某個地方的某個組織就會成爲勒索軟件攻擊的目標。但是,駭客並不僅侷限於他們的關注點,他們通常還會同時針對許多組織機構和用戶。例如,讓我們回想一下曾經肆虐全球的 WannaCry 攻擊吧,這次攻擊造成了近 40 億美元的損失。
勒索軟件的工作原理
要研究勒索軟件攻擊是如何入侵系統或組織內部的細節,也就是說,它的攻擊途徑是無關緊要的。因爲它有可能是網絡釣魚,也有可能是暴露的 RDP(遠程桌面協議),或勒索軟件開發人員可以利用的其他途徑。
相反,讓我們看看當勒索軟件實際與你的文件系統發生交互並加密數據時會發生什麼事情。首先,勒索軟件進程定位它想要加密的文件。這些通常是基於文件擴展名,以最有價值的資產(如 Microsoft Office 文檔或照片)爲目標,同時保持操作系統的文件完好無損,以確保系統仍然可以正常啓動。然後,惡意軟件就會加密存儲器中的數據並銷燬原始文件。
勒索軟件採用的一種方法是,將加密數據保存到新文件中,然後刪除原始文件。
另一種方法(也可能是最狡猾的方法),是將加密數據寫入原始文件本身。在這種情況下,原始文件名保持不變,這樣一來,加密文件和未加密文件變得難以區分,從而使得恢復工作變得複雜起來。
第三種方法是讓勒索軟件像第一種方法一樣創建一個新文件,但不同的是使用重命名來替換原始文件,而不是進行刪除操作。
完成加密過程後,勒索軟件就顯示臭名昭著的提示。我們從新聞報道中,早就非常清楚地知道這部分情況了。
安全業界做得不夠好
既然你已經瞭解了勒索軟件如何與文件交互來加密和銷燬原始文件,那麼讓我們來看看,爲了阻止勒索軟件的攻擊,安全業界開發的五種最常見的解決方案。然而不幸的是,在這些方案中,沒有一種是一貫有效的。
第一種技術:靜態文件分析。與在防病毒、反惡意軟件或 EPP 產品中用於惡意軟件檢測的技術相同。這些產品尋找已知的惡意代碼行爲或序列、字符串,例如那些常見目標文件擴展名的列表,以及經常出現在勒索軟件提示的常用詞(如 Bitcoin、encryption 等)。這是一種基於簽名和機器學習的檢測惡意代碼的方法。
這種方法有一些優點,包括產生較低的假正類(False Positive,FP)率。基於簽名的防病毒軟件很少會將良性文件標記爲惡意文件,這一點非常重要,因爲若不如此,安全專業人員會被虛假警報淹沒,並遭受警報疲勞。另一個非常重要的一點是,這種技術並不會等待勒索軟件執行,而是在勒索軟件執行之前就逼其停止攻擊,這樣就不會造成任何傷害,也不會加密任何文件。
譯註:真正類就是指模型將正類別樣本正確的預測爲正類別。同樣,真負類是指模型將福類別樣本正確的預測爲負類別。假正類就是指模型將福類別樣本錯誤地預測爲正類別,而假負類是指模型將正類別樣本錯誤地預測爲福類別。
警報疲勞(英語:alarm fatigue )是指暴露在大量、頻繁的警報之中,被暴露者產生的去敏感化現象。去敏感化現象會導致更長的反應時間,甚至是忽視重要的警報。警報疲勞見於許多行業,包括但不僅限於:建築業、採礦業和醫療業。《狼來了》便是一個警報疲勞的例子。
然而事實證明,對於攻擊者來說,靜態分析太容易繞過去了。惡意軟件編寫者使用打包程序、加密器和其他工具來混淆和更改它們的簽名,就可以輕鬆繞過去。在業界內衆所周知的是,大多數現代防病毒和下一代防病毒解決方案的有效性約爲 50~80% 左右,這意味着多達一半的攻擊未能被發現。
Nyotron 研究團隊最近對領先的防病毒工具的有效性進行了研究,研究對象不是新的高級攻擊,而是那些已經存在多年(在某些情況下甚至是幾十年)的、舊的已知惡意軟件。我們執行的各種測試包括對舊惡意軟件的簡單修改,以便能夠使簽名發生細微的改變。其結果是,檢測效率顯著下降了,在某些情況下甚至下降到 60%。同樣,這是針對舊的已知惡意軟件。
第二種技術依賴於勒索軟件通常使用的文件擴展名黑名單,並將其提供給加密的文件。優點與現有技術類似:低誤報率。它可以立即停止勒索軟件加密,因此不會造成任何傷害,也不會加密任何文件。
然而,它也很容易繞過。勒索軟件只需提供一個新的文件擴展名或隨機文件擴展名即可輕鬆繞過。例如,CryptXXX 和 Cryptowall 變種使用隨機擴展名而不是特定擴展名。或者,勒索軟件可以保留原始文件名和原始擴展名。
第三種技術,就是使用所謂的“蜜罐文件”,通過誘餌文件和監視攻擊着如何試圖更改文件來欺騙攻擊者。一旦它們被觸碰,就視爲攻擊發生。但是,這種技術也有不少缺點,包括:
- 由於其他工具以及用戶也可能會觸碰這些誘餌文件,因此可能會存在假正類的機率。
- 此外,也不是所有的損壞都會被阻止,因爲在勒索軟件觸碰那些誘餌文件之前,許多文件可能會被加密。
- 當然,勒索軟件也有可能只是試圖通過跳過隱藏的文件 / 文件夾來避免觸碰這些文件(這些文件往往是誘餌文件)。
第四種檢測技術是監視文件系統在一段時間內的大量文件操作,如重命名、寫入或刪除。如果超過了定義的閾值,就終止有問題的進程。這種技術的好處是,不依賴於某些特定的簽名或文件擴展名,而是依賴於通常與勒索軟件相關的異常活動。
但是,有些文件將被加密,直到超出定義的閾值爲止。惡意軟件還可以通過使用“低速緩慢的方法”(例如,在加密之間添加延遲或生成多個加密過程)來繞過這種檢測方法。
第五種值得注意的方法是跟蹤文件數據的更改率。安全產品通過熵計算來測量文件中數據的隨機性。和前面的方法一樣,在檢測到某個更改閾值後,這個違規進程就會被認爲是惡意攻擊而被中止。
與前面提到的動態技術相比,這種方法受益於較少的假正類。缺點包括文件將被加密,直到達到一定的置信度,因此並不是所有的損害都會被阻止。此外,這種技術可以通過只加密部分文件或者加密塊來繞過。另外,使用多個進程進行加密也可能是一種有效的規避技術。
“大多數現代安全產品試圖利用這些技術中的一些甚至大部分的組合,以提高它們的效率並取得不同程度的成功。但是,如果我們看看最近的一些勒索軟件的例子,就會明白爲什麼這些方法沒有一個是證明有效的。”
CryptoMix,或其最新變種 DLL CryptoMix,就其技術本身而言並不是特別引人注目,但它確認繞過了用戶安裝的一種領先防病毒毒產品。然而,真正讓 CryptoMix 與衆不同的是,攻擊者採用的方法增加了受害者支付贖金的可能性。
他們自稱來自一個幫助病患兒童的慈善組織,如國際兒童慈善組織。他們甚至有真正需要幫助的孩子的資料,指望如果受害者認爲支付的贖金將會有一部分捐給慈善機構,從而更願意支付。但是我向你保證,壓根就沒有一分錢會捐給任何孩子。這羣惡魔!
LockerGoga 是一種勒索軟件,至少導致了一家 Norsk Hydro 水電公司設施停產,造成了估計大約 4000 萬美元的損失。據報道,Norsk Hydro 實際上已經部署了新一代防病毒產品,但 LockerGoga 還是成功地繞過了它。爲了繞過安全產品,它使用生成多個進程的方法對文件進行加密。也就是說,爲了確保即使一個進程觸碰到誘餌文件或被勒索軟件檢測技術終止,其他進程仍將繼續進行加密。至少有一個 LockerGoga 樣本甚至還使用了有效的數字簽名,這使得它對靜態分析技術來說更值得信賴。加密本身非常緩慢,但這可能正是讓它長時間不被發現而造成嚴重破壞的原因。
Chimera 並不是一種新的勒索軟件,但它的獨特之處在於,它聲稱如果受害者不支付贖金的話,攻擊者會將包括照片和視頻在內的敏感數據連同受害者的聯繫方式一起發佈到互聯網上。不管他們是否真的會這麼做,取決於你的身份以及你擁有什麼樣的數據,這肯定會鼓勵你去支付這筆贖金。
當然,如果不提到 WannaCry 的話,這份勒索軟件列表就不完整。畢竟,它可能是最著名的勒索軟件,因爲它影響了大約 150 個國家、數十萬個系統,造成了估計高達 40 億美元的總經濟損失。
讓 WannaCry 更加沮喪的是,它是完全可以預防的。爲了安全起見,組織機構必須做的唯一的事情,就是安裝最新補丁來更新操作系統。Microsoft 在攻擊發生之前兩個月就發佈了針對潛在漏洞的修補程序。
防範勒索軟件
WannaCry 給所有組織機構上了一堂重要的課:要及時更新所有補丁。
“你的組織可能仍在基本的資產管理方面舉步維艱。換句話說,你不知道你自己擁有什麼。如果你真的不知道你擁有什麼,那你怎麼能保護它呢?”
實施可靠的備份策略。你可能已經採取了實施來保護你的服務器,無論是在本地還是在雲端中。但是,重要的是你要認識到,終端也一樣存在風險,因爲那是你公司的至少一些知識產權可能存在的地方。
最後,大多數安全解決方案和流程只會追捕“壞蛋”,這根本就是一場貓捉老鼠的遊戲,你不可能贏。實際上,世界上有太多的惡意軟件,只需一次成功的攻擊就可以讓你的 IT 系統癱瘓。
使用完全相反的方法來補充現有的安全層,確保什麼是“好的”。注意,我使用的是“補充”這個詞。我並不主張你停止使用現有的解決方案。雖然單一的檢測技術可能並不是很有效,但結合一些技術,還是可以在一定程度上防範商業勒索軟件的。通過應用類似白名單的方法,將這些工具與那些跟蹤能力良好的工具結合起來。這不僅創建了一個真正的深度防禦模型,它還可以作爲防禦惡意軟件和勒索軟件的最後一道防線,能夠避開你的前線防禦,如防病毒。
原文鏈接:
https://www.techradar.com/news/why-does-ransomware-keep-evading-your-defenses