如何應對勒索軟體的威脅
在網路黑客的眾多牟利手段當中, 勒索軟體可能是最普遍的一種。這種惡意軟體通常會通過受感染的郵件附件, 被篡改的網站或 網頁廣告散佈。勒索軟體會對使用者電腦上的檔案進行加密,除非受害者交付特定數額的贖金,否則受影響的檔案將會一直處於不可用的狀態。
網路罪犯正通過勒索軟體獲取數百萬美元的不法收入。根據一些 網路安全專家的預計和分析,勒索軟體的威脅在未來數年之內都難以平息。最近已經有多家機構遭到了嚴重的勒索軟體攻擊,其中包括 馬薩諸塞州的一座警察局, 俄勒岡州的一座教堂, 南加州地區的幾所學校,還有位於 加州和 肯塔基州的多家醫療中心, 其中一家醫院最終向勒索者支付了 40 比特幣(約合 17000 美元)的贖金。
雖然新聞媒體甚少報導針對個人的勒索軟體攻擊,但是美國聯邦調查局(FBI)在 2015 年就收到了 2500 份與勒索軟體攻擊相關的投訴,這些個案涉及約 2400 萬美元的經濟損失。
諸如現代加密、TOR 網路和虛擬貨幣(比特幣)等技術為勒索軟體的肆虐提供了支援,這些技術能夠幫助黑客更加高效地部署攻擊和隱藏自己的蹤跡。
在大多數情況下,受害者只能選擇向攻擊者支付贖金,甚至連 FBI 也會 建議受害者支付贖金。傳統的方法和工具已經不足以應對勒索軟體病毒的快速發展,我們需要採用新的方法來檢測和抵擋勒索軟體造成的嚴重影響。
傳統解決方案的問題
面對勒索軟體,大部分的保護措施都主要依賴於定期更新作業系統、軟體和防毒工具,雖然這種方式可以有效抵禦已知的勒索軟體病毒,但是在面對未知的變種軟體時卻無能為力。
另外一項防禦勒索軟體的措施是為檔案保留離線的備份,這樣你不需要支付贖金也能恢復被劫持的檔案。這是一種非常有效的做法,但是對於很多機構來說,勒索軟體攻擊造成的停工損失甚至會高於贖金本身,因此我們需要一些能夠完全避免勒索軟體的解決方案。
通過行為分析攔截勒索軟體
勒索軟體攻擊之所以能有如此高的成功率,其直接原因是防毒軟體的問題——它們通常會依賴於靜態的,基於簽名的方式來檢測勒索軟體。由於部分變種勒索軟體每天都在不斷地更新,因此基於簽名檢測的防禦手段根本不可能跟上這個節奏。網路安全公司 Sentinel One的首席安全官烏迪·沙米爾(Udi Shamir)表示,“CrytoLocker 之類的已知勒索軟體只需稍作改動就能完全繞過防毒軟體的檢測。”
網路安全專家都認為我們需要一種全新的方法來對抗勒索軟體,這種方法將不再依賴於簽名比對,而是以行為分析為基礎。“現在基於行為的檢測機制已經成為了檢測與阻止勒索軟體攻擊的關鍵。”沙米爾說道,“無論現在有多少勒索軟體的變種,但是它們總會有一些共同的特徵,而這些特徵是可以在執行的時候被檢測出來的。”
大部分勒索軟體都可以根據一系列的共同行為特徵檢測得出,比如嘗試刪除 Windows 的卷影副本,禁用啟動修復或結束 WinDefend 和 BITS 等服務,以上都是勒索軟體行為的明顯跡象。“一經發現,上述的動作和行為都可以被認為是勒索軟體攻擊的跡象。”沙米爾解釋道。
這就是部分新型安全工具背後的總體思路——它們不再進行基於簽名的比對,而是仔細檢查每個程式的行為,並攔截可能的惡意活動。“任何惡意程式在被發現之後都會被即時終止,惡意檔案會遭到隔離,相關的網路埠也會被移除,從而阻止惡意軟體的進一步擴散。”沙米爾說道。
除了 Sentinel One 以外, TrendMicro、思科和 卡巴斯基實驗室等大型網路安全服務商也有提供基於行為的安全防護工具。
“事實證明,這些‘次世代’的埠保護解決方案能夠有效抵禦各類變種勒索軟體。”沙米爾說道。
無需檢測的勒索軟體攔截方式
勒索軟體開發者會採取各種方式來繞過檢測手段,比如強制他們的工具在被防毒軟體掃描的時候維持休眠狀態。這樣可以讓一些新的病毒變種繞過防毒軟體,甚至連基於行為的安全防護方案也無法發現它們。在離開沙盒之後,勒索軟體就可以肆無忌憚地開展惡意行為。
一家以色列網路安全創業公司發現了應對這種技術的方式—— 讓勒索軟體認為自己一直處於沙盒環境中,這樣它就會一直維持“睡眠”狀態,永遠都不會被喚醒進行惡意行為。
在今年 1 月結束低調創業期的 Minerva Labs採用了一種以其人之道還治其人之身的方式來對付勒索軟體。“我們認為如果要防禦惡意軟體,我們必須按照黑客的方式進行思考。”Minerva Labs 的執行長埃迪·鮑勃瑞茲基(Eddy Bobritsky)說道。
Minerva 提出了高隱匿性埠保護平臺的概念,它可以“在出現任何損害之前攔截針對性攻擊和勒索軟體,不需要事先檢測或者瞭解相關的特徵。”鮑勃瑞茲基解釋道。
通過多管齊下的方式攔截勒索軟體
“新的產品、工具或技術和做法本身也許無法解決勒索軟體為個人或機構帶來的問題。”安全公司 FireEye 的系統工程師顧問延斯·蒙拉德(Jens Monrad)說道,“我們首先要以全新的方式來思考網路攻擊。”
蒙拉德提出了 自適應防禦模式的概念,考慮到肯定會有部分勒索軟體攻擊能夠突破防禦系統,因此這種模式沒有著眼於全域性攔截,而是以降低威脅檢測和解決的時間為目標。
“在自適應模式中,安全團隊擁有相應的工具、情報和專業知識,可以檢測、阻止、分析和應對高階黑客變化多端的攻擊手段。”蒙拉德解釋道。
按照蒙拉德的說法,自適應防禦應當結合技術、情報和專業知識這三個核心領域,對於企業、政府和機構來說,這三方面是它們實現最短威脅發現和應對時間的基礎。
在技術層面,蒙拉德提出使用複雜的安全工具。“簡單的沙盒方案是不夠的。”他解釋道,“因為惡意程式碼和攻擊經常會在多個階段出現,如果你的沙盒只是依賴於單一物件的話,這些行為的檢測和攔截難度將會大大增加。”
比如某些病毒會在通過沙盒之後再下載和執行惡意程式碼。因此蒙拉德認為沙盒機制應該在網路層面啟用,這樣你就可以“專注於監控完整的資料包流,從中分析程式的行為,同樣地,普通使用者也是在瀏覽網頁,點選郵件連結或開啟附件時受感染的。”
在情報層面,“資料應該在多個埠之間收集和共享,而且應該有一隻對黑客操作方式瞭如指掌的專門研究團隊進行管理。”蒙拉德說道。正確的解決方案應該是“在勒索軟體攻擊發生之前和期間提供情報,並在發生之後分析其原因。”
專業知識包括應對資料洩露的經驗,對於網路攻擊出現方式的獨特見解,以及對黑客在成功實施攻擊時的操作方式的瞭解。
原文釋出時間為:2016-04-20
本文來自雲棲社群合作伙伴至頂網,瞭解相關資訊可以關注至頂網。
相關文章
- 軟體供應鏈安全如何受到駭客的威脅
- 專家:未來更應注重“勒索軟體”對其它重要物聯網裝置威脅
- 勒索軟體仍是首要威脅。企業是否做好了準備?
- 勒索、洩密頻發|醫療行業如何應對日益緊迫的網路威脅行業
- 勒索軟體全球蔓延專家支招如何應對
- 2022年一季度勒索軟體相關漏洞增加7.6% 瞭解趨勢應對威脅
- 【公益譯文】卡內基梅隆大學軟體工程學院:勒索軟體威脅現狀(三)軟體工程
- 【公益譯文】卡內基梅隆大學軟體工程學院:勒索軟體威脅現狀(四)軟體工程
- 【公益譯文】卡內基梅隆大學軟體工程學院:勒索軟體威脅現狀(一)軟體工程
- Conti勒索軟體團伙威脅要推翻哥斯大黎加政府
- 勒索軟體引英國黨派口水仗:傳播放緩威脅仍存
- 近千萬人受勒索軟體攻擊波及,網路威脅規避究竟如何開展?
- Unit 42勒索軟體威脅報告:2020年勒索軟體的平均贖金增加近兩倍達31萬2493美元
- 微軟:不威脅洩漏資料的勒索軟體幫派仍然會竊取資料微軟
- 應對勒索軟體,應採取哪些預防措施
- 企業風險遠不止勒索軟體,盤點當今企業面臨的四種安全威脅
- 新MegaCortex勒索軟體要命了:更改Windows登入密碼並以公開檔案威脅來勒索使用者Windows密碼
- 五大網路威脅應對挑戰
- 對於“AI威脅論”的思考AI
- 勒索軟體屢禁不止 如何降低遭受勒索軟體攻擊的風險?
- McAfee針對GandCrab勒索軟體的分析
- 應對網路威脅NGFW看得懂的安全更安全
- 直擊RSAC 2022:巧用ATT & CK框架應對具體威脅框架
- 升訊威線上客服系統:客戶收到攻擊威脅勒索,我是如何保障客戶安全的
- 面對勒索軟體 如何保護資料備份安全?
- 安如磐石煤炭行業應對Web威脅典型案例行業Web
- 企業常見內部威脅的型別與應對方法型別
- Win7比XP更易受惡意軟體威脅Win7
- 企業如何打造“秒級響應”的威脅情報系統?
- “信任“之殤――安全軟體的“白名單”將放大惡意威脅
- 網路安全生態研究報告發布應用軟體漏洞成主要威脅
- 應對網路安全威脅我們又該做些什麼?
- 乾貨預告丨如何快速掌握全域性安全資訊並高效應對安全威脅?
- MISP-惡意軟體資訊共享平臺和威脅共享
- 技術乾貨 | 反外掛技術的革新:如何有效應對 FPS 外掛的威脅
- 騰訊安全釋出《2021年全球DDoS威脅報告》:DDoS威脅成犯罪團伙首選勒索手段
- 加拿大大學:防毒軟體只能防禦10%的網路威脅防毒
- Gartner:立刻採取三個行動應對WannaCry勒索軟體的傳播