如何应对勒索软件的威胁

下一篇文章

美最高法院判定谷歌扫描版权图书系正当使用

在网络黑客的众多牟利手段当中, 勒索软件 可能是最普遍的一种。这种恶意软件通常会通过受感染的邮件附件, 被篡改的网站网页广告 散布。勒索软件会对用户电脑上的文件进行加密,除非受害者交付特定数额的赎金,否则受影响的文件将会一直处于不可用的状态。

网络罪犯正通过勒索软件获取 数百万美元的不法收入 。根据一些 网络安全专家的预计和分析 ,勒索软件的威胁在未来数年之内都难以平息。最近已经有多家机构遭到了严重的勒索软件攻击,其中包括 马萨诸塞州的一座警察局俄勒冈州的一座教堂南加州地区的几所学校 ,还有位于 加州肯塔基州 的多家医疗中心, 其中一家医院最终向勒索者支付了 40 比特币(约合 17000 美元)的赎金

虽然新闻媒体甚少报道针对个人的勒索软件攻击,但是美国联邦调查局(FBI)在 2015 年就收到了 2500 份与勒索软件攻击相关的投诉 ,这些个案涉及约 2400 万美元的经济损失。

诸如现代加密、TOR 网络和虚拟货币(比特币)等技术为勒索软件的肆虐提供了支持,这些技术能够帮助黑客更加高效地部署攻击和隐藏自己的踪迹。

在大多数情况下,受害者只能选择向攻击者支付赎金,甚至连 FBI 也会 建议受害者支付赎金 。传统的方法和工具已经不足以应对勒索软件病毒的快速发展,我们需要采用新的方法来检测和抵挡勒索软件造成的严重影响。

传统解决方案的问题

面对勒索软件,大部分的保护措施都主要依赖于定期更新操作系统、软件和杀毒工具,虽然这种方式可以有效抵御已知的勒索软件病毒,但是在面对未知的变种软件时却无能为力。

另外一项防御勒索软件的措施是为文件保留离线的备份,这样你不需要支付赎金也能恢复被劫持的文件。这是一种非常有效的做法,但是对于很多机构来说,勒索软件攻击造成的停工损失甚至会高于赎金本身,因此我们需要一些能够完全避免勒索软件的解决方案。

通过行为分析拦截勒索软件

勒索软件攻击之所以能有如此高的成功率,其直接原因是杀毒软件的问题——它们通常会依赖于静态的,基于签名的方式来检测勒索软件。由于部分变种勒索软件每天都在不断地更新,因此基于签名检测的防御手段根本不可能跟上这个节奏。网络安全公司 Sentinel One 的首席安全官乌迪·沙米尔(Udi Shamir)表示,“CrytoLocker 之类的已知勒索软件只需稍作改动就能完全绕过杀毒软件的检测。”

网络安全专家都认为我们需要一种全新的方法来对抗勒索软件,这种方法将不再依赖于签名比对,而是以行为分析为基础。“现在基于行为的检测机制已经成为了检测与阻止勒索软件攻击的关键。”沙米尔说道,“无论现在有多少勒索软件的变种,但是它们总会有一些共同的特征,而这些特征是可以在执行的时候被检测出来的。”

大部分勒索软件都可以根据一系列的共同行为特征检测得出,比如尝试删除 Windows 的卷影副本,禁用启动修复或结束 WinDefend 和 BITS 等服务,以上都是勒索软件行为的明显迹象。“一经发现,上述的动作和行为都可以被认为是勒索软件攻击的迹象。”沙米尔解释道。

这就是部分新型安全工具背后的总体思路——它们不再进行基于签名的比对,而是仔细检查每个进程的行为,并拦截可能的恶意活动。“任何恶意进程在被发现之后都会被即时终止,恶意文件会遭到隔离,相关的网络端口也会被移除,从而阻止恶意软件的进一步扩散。”沙米尔说道。

除了 Sentinel One 以外, TrendMicro思科卡巴斯基实验室 等大型网络安全服务商也有提供基于行为的安全防护工具。

“事实证明,这些‘次世代’的端口保护解决方案能够有效抵御各类变种勒索软件。”沙米尔说道。

无需检测的勒索软件拦截方式

勒索软件开发者会采取各种方式来绕过检测手段,比如强制他们的工具在被杀毒软件扫描的时候维持休眠状态。这样可以让一些新的病毒变种绕过杀毒软件,甚至连基于行为的安全防护方案也无法发现它们。在离开沙盒之后,勒索软件就可以肆无忌惮地开展恶意行为。

一家以色列网络安全创业公司发现了应对这种技术的方式—— 让勒索软件认为自己一直处于沙盒环境中 ,这样它就会一直维持“睡眠”状态,永远都不会被唤醒进行恶意行为。

在今年 1 月结束低调创业期的 Minerva Labs 采用了一种以其人之道还治其人之身的方式来对付勒索软件。“我们认为如果要防御恶意软件,我们必须按照黑客的方式进行思考。”Minerva Labs 的首席执行官埃迪·鲍勃瑞兹基(Eddy Bobritsky)说道。

Minerva 提出了高隐匿性端口保护平台的概念,它可以“在出现任何损害之前拦截针对性攻击和勒索软件,不需要事先检测或者了解相关的特征。”鲍勃瑞兹基解释道。

通过多管齐下的方式拦截勒索软件

“新的产品、工具或技术和做法本身也许无法解决勒索软件为个人或机构带来的问题。”安全公司 FireEye 的系统工程师顾问延斯·蒙拉德(Jens Monrad)说道,“我们首先要以全新的方式来思考网络攻击。”

蒙拉德提出了 自适应防御模式 的概念,考虑到肯定会有部分勒索软件攻击能够突破防御系统,因此这种模式没有着眼于全局拦截,而是以降低威胁检测和解决的时间为目标。

“在自适应模式中,安全团队拥有相应的工具、情报和专业知识,可以检测、阻止、分析和应对高级黑客变化多端的攻击手段。”蒙拉德解释道。

按照蒙拉德的说法,自适应防御应当结合技术、情报和专业知识这三个核心领域,对于企业、政府和机构来说,这三方面是它们实现最短威胁发现和应对时间的基础。

在技术层面,蒙拉德提出使用复杂的安全工具。“简单的沙盒方案是不够的。”他解释道,“因为恶意代码和攻击经常会在多个阶段出现,如果你的沙盒只是依赖于单一对象的话,这些行为的检测和拦截难度将会大大增加。”

比如某些病毒会在通过沙盒之后再下载和执行恶意代码。因此蒙拉德认为沙盒机制应该在网络层面启用,这样你就可以“专注于监控完整的数据包流,从中分析进程的行为,同样地,普通用户也是在浏览网页,点击邮件链接或打开附件时受感染的。”

在情报层面,“数据应该在多个端口之间收集和共享,而且应该有一只对黑客操作方式了如指掌的专门研究团队进行管理。”蒙拉德说道。正确的解决方案应该是“在勒索软件攻击发生之前和期间提供情报,并在发生之后分析其原因。”

专业知识包括应对数据泄露的经验,对于网络攻击出现方式的独特见解,以及对黑客在成功实施攻击时的操作方式的了解。

编者按本·迪克森(Ben Dickson)是一位软件工程师和自由作家。他的文章主要关注商业、技术和政治的话题。

题图来自:Bryce Durbin

翻译:关嘉伟(@consideRay

How to deal with the rising threat of ransomware

blog comments powered by Disqus