如何應對勒索軟體的威脅

在網路黑客的眾多牟利手段當中， 勒索軟體可能是最普遍的一種。這種惡意軟體通常會通過受感染的郵件附件， 被篡改的網站或 網頁廣告散佈。勒索軟體會對使用者電腦上的檔案進行加密，除非受害者交付特定數額的贖金，否則受影響的檔案將會一直處於不可用的狀態。

網路罪犯正通過勒索軟體獲取數百萬美元的不法收入。根據一些 網路安全專家的預計和分析，勒索軟體的威脅在未來數年之內都難以平息。最近已經有多家機構遭到了嚴重的勒索軟體攻擊，其中包括 馬薩諸塞州的一座警察局， 俄勒岡州的一座教堂， 南加州地區的幾所學校，還有位於 加州和 肯塔基州的多家醫療中心， 其中一家醫院最終向勒索者支付了 40 比特幣（約合 17000 美元）的贖金。

雖然新聞媒體甚少報導針對個人的勒索軟體攻擊，但是美國聯邦調查局（FBI）在 2015 年就收到了 2500 份與勒索軟體攻擊相關的投訴，這些個案涉及約 2400 萬美元的經濟損失。

諸如現代加密、TOR 網路和虛擬貨幣（比特幣）等技術為勒索軟體的肆虐提供了支援，這些技術能夠幫助黑客更加高效地部署攻擊和隱藏自己的蹤跡。

在大多數情況下，受害者只能選擇向攻擊者支付贖金，甚至連 FBI 也會 建議受害者支付贖金。傳統的方法和工具已經不足以應對勒索軟體病毒的快速發展，我們需要採用新的方法來檢測和抵擋勒索軟體造成的嚴重影響。

傳統解決方案的問題

面對勒索軟體，大部分的保護措施都主要依賴於定期更新作業系統、軟體和防毒工具，雖然這種方式可以有效抵禦已知的勒索軟體病毒，但是在面對未知的變種軟體時卻無能為力。

另外一項防禦勒索軟體的措施是為檔案保留離線的備份，這樣你不需要支付贖金也能恢復被劫持的檔案。這是一種非常有效的做法，但是對於很多機構來說，勒索軟體攻擊造成的停工損失甚至會高於贖金本身，因此我們需要一些能夠完全避免勒索軟體的解決方案。

通過行為分析攔截勒索軟體

勒索軟體攻擊之所以能有如此高的成功率，其直接原因是防毒軟體的問題——它們通常會依賴於靜態的，基於簽名的方式來檢測勒索軟體。由於部分變種勒索軟體每天都在不斷地更新，因此基於簽名檢測的防禦手段根本不可能跟上這個節奏。網路安全公司 Sentinel One的首席安全官烏迪·沙米爾（Udi Shamir）表示，“CrytoLocker 之類的已知勒索軟體只需稍作改動就能完全繞過防毒軟體的檢測。”

網路安全專家都認為我們需要一種全新的方法來對抗勒索軟體，這種方法將不再依賴於簽名比對，而是以行為分析為基礎。“現在基於行為的檢測機制已經成為了檢測與阻止勒索軟體攻擊的關鍵。”沙米爾說道，“無論現在有多少勒索軟體的變種，但是它們總會有一些共同的特徵，而這些特徵是可以在執行的時候被檢測出來的。”

大部分勒索軟體都可以根據一系列的共同行為特徵檢測得出，比如嘗試刪除 Windows 的卷影副本，禁用啟動修復或結束 WinDefend 和 BITS 等服務，以上都是勒索軟體行為的明顯跡象。“一經發現，上述的動作和行為都可以被認為是勒索軟體攻擊的跡象。”沙米爾解釋道。

這就是部分新型安全工具背後的總體思路——它們不再進行基於簽名的比對，而是仔細檢查每個程式的行為，並攔截可能的惡意活動。“任何惡意程式在被發現之後都會被即時終止，惡意檔案會遭到隔離，相關的網路埠也會被移除，從而阻止惡意軟體的進一步擴散。”沙米爾說道。

除了 Sentinel One 以外， TrendMicro、思科和 卡巴斯基實驗室等大型網路安全服務商也有提供基於行為的安全防護工具。

“事實證明，這些‘次世代’的埠保護解決方案能夠有效抵禦各類變種勒索軟體。”沙米爾說道。

無需檢測的勒索軟體攔截方式

勒索軟體開發者會採取各種方式來繞過檢測手段，比如強制他們的工具在被防毒軟體掃描的時候維持休眠狀態。這樣可以讓一些新的病毒變種繞過防毒軟體，甚至連基於行為的安全防護方案也無法發現它們。在離開沙盒之後，勒索軟體就可以肆無忌憚地開展惡意行為。

一家以色列網路安全創業公司發現了應對這種技術的方式—— 讓勒索軟體認為自己一直處於沙盒環境中，這樣它就會一直維持“睡眠”狀態，永遠都不會被喚醒進行惡意行為。

在今年 1 月結束低調創業期的 Minerva Labs採用了一種以其人之道還治其人之身的方式來對付勒索軟體。“我們認為如果要防禦惡意軟體，我們必須按照黑客的方式進行思考。”Minerva Labs 的執行長埃迪·鮑勃瑞茲基（Eddy Bobritsky）說道。

Minerva 提出了高隱匿性埠保護平臺的概念，它可以“在出現任何損害之前攔截針對性攻擊和勒索軟體，不需要事先檢測或者瞭解相關的特徵。”鮑勃瑞茲基解釋道。

通過多管齊下的方式攔截勒索軟體

“新的產品、工具或技術和做法本身也許無法解決勒索軟體為個人或機構帶來的問題。”安全公司 FireEye 的系統工程師顧問延斯·蒙拉德（Jens Monrad）說道，“我們首先要以全新的方式來思考網路攻擊。”

蒙拉德提出了 自適應防禦模式的概念，考慮到肯定會有部分勒索軟體攻擊能夠突破防禦系統，因此這種模式沒有著眼於全域性攔截，而是以降低威脅檢測和解決的時間為目標。

“在自適應模式中，安全團隊擁有相應的工具、情報和專業知識，可以檢測、阻止、分析和應對高階黑客變化多端的攻擊手段。”蒙拉德解釋道。

按照蒙拉德的說法，自適應防禦應當結合技術、情報和專業知識這三個核心領域，對於企業、政府和機構來說，這三方面是它們實現最短威脅發現和應對時間的基礎。

在技術層面，蒙拉德提出使用複雜的安全工具。“簡單的沙盒方案是不夠的。”他解釋道，“因為惡意程式碼和攻擊經常會在多個階段出現，如果你的沙盒只是依賴於單一物件的話，這些行為的檢測和攔截難度將會大大增加。”

比如某些病毒會在通過沙盒之後再下載和執行惡意程式碼。因此蒙拉德認為沙盒機制應該在網路層面啟用，這樣你就可以“專注於監控完整的資料包流，從中分析程式的行為，同樣地，普通使用者也是在瀏覽網頁，點選郵件連結或開啟附件時受感染的。”

在情報層面，“資料應該在多個埠之間收集和共享，而且應該有一隻對黑客操作方式瞭如指掌的專門研究團隊進行管理。”蒙拉德說道。正確的解決方案應該是“在勒索軟體攻擊發生之前和期間提供情報，並在發生之後分析其原因。”

專業知識包括應對資料洩露的經驗，對於網路攻擊出現方式的獨特見解，以及對黑客在成功實施攻擊時的操作方式的瞭解。

原文釋出時間為：2016-04-20

本文來自雲棲社群合作伙伴至頂網，瞭解相關資訊可以關注至頂網。