【公益譯文】卡內基梅隆大學軟體工程學院:勒索軟體威脅現狀(四)

綠盟科技發表於2021-05-21
軟體工程

4.停止勒索軟體

4.1   監控

4.1.1           系統級監控

多項感染指標可用於系統級別的勒索軟體檢測。防毒軟體提供了一些勒索軟體防護措施,但並不完善。防毒軟體產品應在資料被破壞前對已知勒索軟體進行檔案級和過程級檢測和阻斷。此外防毒軟體產品應該能夠掃描線上下載檔案和電子郵件附件——傳播勒索軟體的最常見攻擊途徑。然而,防毒軟體通常依賴於更新的雜湊表,而勒索軟體快速進行調整逃避防毒軟體的檢測


刪除本地管理許可權防止勒索軟體在本地系統上執行。本地管理員有權修改系統檔案、目錄、登錄檔和儲存庫。後者都是勒索軟體操作的關鍵部分。刪除本地管理許可權可降低勒索軟體在系統上持續存在並在整個企業網路中傳播的風險,並在一定程度上阻止勒索軟體訪問關鍵系統資源實施破壞性檔案加密。


網路防火牆可以檢測需要與遠端命令控制(C2)伺服器通訊的勒索軟體。配置本地系統防火牆,監控和阻止允許列表之外的應用程式的出站網路通訊,協助阻止勒索軟體。如果無法訪問命令控制(C2)伺服器,一些勒索軟體變種可能無法使用強資料加密加密資料,其加密機制也可能會失去作用,受害者很有可能無需支付贖金即可恢復資料。


勒索軟體也利用了系統漏洞。重要的是,制定合理作業系統更新策略,修復已知安全問題。然而,第三方應用程式,尤其是具備更高許可權的應用程式,也會帶來安全風險。主動識別需要更高系統許可權的應用程式,有助於勒索軟體能夠訪問敏感資料之前就檢測和阻止勒索軟體。建議對第三方應用程式進行定期維護和更新,限制安裝白名單之外的新應用程式,監控新程式執行,阻止未未經授權的應用程式執行。


Windows臨時資料夾和AppData資料夾中程式碼的執行進行監控也有助於降低在感染點執行勒索軟體的風險。勒索軟體的許多變種透過下載檔案和附件進行傳播,必須在資料加密開始之前部署。部署惡意程式碼通常需要輕鬆訪問現成的目錄來解壓、執行勒索軟體檔案。TempAppData資料夾經常中招若對系統進行配置對這些資料夾中的程式碼執行進行檢測和阻止,勒索軟體在部署後可能無法執行加密程式碼。假設指標由當前執行的程式執行那麼在Windows系統中可以使用微軟支援的小型過濾器和回撥實現監控。應對以下執行時事件進行監控,從而更容易發現勒索軟體執行。


勒索軟體通常在檔案系統中執行以下操作:


·         修改開機啟動檔案,向受害者展示該資訊

·         在檔案系統中查詢具有特定副檔名的所有檔案

·         請求對多個檔案進行高頻訪問

·         建立新檔案(可能使用非標準檔案型別副檔名)


勒索軟體經常篡改以下程式:

·         利用建立或下載的二進位制檔案生成新程式

·         刪除反惡意軟體相關程式,防止其在加密和勒索數贖金期間被刪除

·         將一些二進位制影像或記憶體空間注入之前執行的程式的記憶體空間


勒索軟體通常會更改Windows登錄檔區域:

·         設定惡意二進位制檔案開機啟動項,以控制機器訪問、顯示勒索訊息

·         重置或刪除與安全和反惡意軟體相關的金鑰,防止這些秘鑰在贖金支付前被刪除


4.1.2           網路級監控


一些勒索軟體變種使用遠端伺服器儲存被轉移的受害者資料、加密資訊和其他專案。當勒索軟體可執行檔案試圖從受損系統與命令控制(C2)伺服器進行初始連線時它必須確定哪個IP地址處於活躍狀態。這是因為若獲取多個IP地址併成功連線過程中可能會出現多次連線失敗和其他異常情況而受害者可透過檢視這些連線失敗和異常的監控資訊注意到系統上的勒索軟體。


以下行為與連線失敗或IP地址獲取異常相關應進行記錄和標記


·         未返回結果的DNS查詢

·         未返回結果的反向DNS查詢

·         成功的DNS查詢和嘗試連線返回的IP地址失敗

·         對同一或少數頂級域名重複傳送DNS查詢請求


可以透過網路流量分析器主動記錄和搜尋這些行為。為了避免勒索軟體的檢測和阻斷,要從核心內部記錄和監控網路流量。為此微軟引入了Windows過濾平臺提供應用程式程式設計介面API和命令在網路堆疊的各個層級構建核心級網路監視器。


此外可透過監控超文字傳輸協議HTTP、文字傳輸協議FTP和電子郵件等已知轉移途徑進行內容過濾檢測有資料轉移行為的勒索軟體。Jareth2020可以定製一些內容過濾器識別與敏感組織資料匹配的資料模式。但是,如果勒索軟體在傳輸過程對轉移資料進行了模糊處理繞過內容過濾器。數字水印檔案也可以有效檢測資料轉移。Jareth2020)由於水印是嵌入檔案的,因此水印檔案一旦外洩,可被深度包檢測產品發現。透過檢測這些行為以及主機級別的其他行為,就有可能在加密開始之前阻止勒索軟體。


4.2   策略與流程


要防範勒索軟體攻擊最佳方法是定期進行資料備份並對備份資料進行驗證。最近出現的勒索軟體不僅能加密文件檔案還能加密在勒索軟體攻擊後用於資料恢復的Windows 作業系統還原點和卷影副本。


比較理想的備份做法是將備份檔案儲存在不接入網路的獨立系統上,這樣無需向攻擊者支付贖金即可恢復加密資料。此外,經常檢查備份的資料有助於確保資料備份策略的一致性和可靠性。


4.2.1           緩解策略

以下是針對勒索軟體的有效緩解策略:

·         定期進行離線備份並做好維護。處於離線狀態的資料無法被勒索軟體獲取,安全性較高。應定期檢查現有的備份流程,確認資料是否進行了合理備份。定期檢查備份資料的完整性,以確保備份資料的有效性和可用性。

·         開展使用者培訓,對員工開展最佳安全實踐教育。勒索軟體通常透過電子郵件附件、線上下載檔案、網路瀏覽和USB驅動器來攻擊系統。為解決這些問題,定期開展員工安全培訓及其他最佳實踐有助於避免勒索軟體入侵。

·         限制臨時資料夾和資料資料夾中的程式碼執行。如果勒索軟體用於提取並執行這些資料夾中的資料那麼如果沒有許可權勒索軟體可能無法繼續進行資料加密。

·         定期更新。作業系統和第三方元件都可能受到勒索軟體的攻擊,更新可確保勒索軟體無法利用已知的漏洞訪問系統和資料。

·         限制管理員和系統訪問。勒索軟體可能依賴系統管理員帳戶執行操作。限制使用者帳戶、刪除預設的系統管理員帳戶可為勒索軟體製造更多困難。

·         維護更新防毒軟體。定期更新防毒軟體,下載最新的惡意軟體簽名和其他可用的識別資料,儘量在早期發現已知勒索軟體。


4.2.2           響應策略

 

以下是針對勒索軟體的有效響應策略:


·         建立系統記憶體快照。如有可能,請在關閉受損系統之前對正在執行的整個系統記憶體建立快照。記憶體快照有助於找到勒索軟體使用的攻擊途徑並幫助定位可用於解密資料的加密材料。

·         將受損系統下線。將受損系統下線可阻止勒索軟體繼續傳播,防止對組織資料的進一步損壞。

·         備份受損系統。對受損系統相關的所有儲存的資料進行備份,防止資料恢復失敗時進一步損壞資料。


·         阻止對勒索軟體使用的任何已識別的命令控制(C2)伺服器的網路訪問。如果沒有訪問許可權,勒索軟體通常無法實現安全的加密方案。這就使得資料恢復更容易實現。

·         識別攻擊途徑。在整個企業網路中召回涉嫌攜帶勒索軟體攻擊的電子郵件,以防止勒索軟體進一步傳播。

·         限制網路儲存器的寫入許可權。在網路上清除勒索軟體之前,限制對網路可訪問資料儲存的寫入許可權有助於保護資料並防止勒索軟體的進一步傳播。

·         通知有關部門。考慮通知有關部門協助調查。

 

4.3   系統配置

雖然系統不太可能完全不受勒索軟體的影響,但良好的系統管理可以降低成功攻擊的可能性。勒索軟體常見的兩個感染途徑是電子郵件和網站。可以降低透過這些途徑感染的可能性,但不能完全消除。

對於利用電子郵件發起的攻擊,最重要的是對系統進行配置提供完善的過濾功能。傳送的垃圾郵件和惡意電子郵件資訊越少,使用者開啟惡意附件或單擊惡意連結的可能性就越小。

減小電子郵件攻擊面的其他方法包括遮蔽可執行附件和使用純文字電子郵件。很多勒索軟體都是作為可執行檔案傳播。若在電子郵件中刪除了這些內容即使惡意電子郵件繞過了過濾器仍可以防止感染原因是未傳送有效負載。遺憾的是,當勒索軟體作為包含宏的微軟辦公型別的檔案被傳送時,這種方法不奏效。純文字電子郵件可阻止使用者點選惡意連結或下載可能傳送勒索軟體可執行檔案的外部內容。然而,這並不能阻止使用者將URL複製到瀏覽器中。

更為困難的是防止合法網站在受損後或淪為惡意網站後感染其他目標。從系統層面上講,最好及時更新網頁瀏覽器,並使用廣告攔截器。禁用FlashJava也可以減小攻擊面。不過,許多組織在日常業務中都需要FlashJava

較為常用的惡意軟體防範方法需要系統維護和許可權管理最重要的是安裝可用的作業系統和軟體補丁。即使勒索軟體沒有利用軟體或作業系統的漏洞,它也可能會隨漏洞利用工具包一起傳送。

很多許可權相關實踐有助於防止或限制勒索軟體攻擊的影響。首先,最重要的一點是限制裝置的管理許可權許多漏洞利用工具包和一些勒索軟體需要許可權才能安裝元件或進行系統更改。當勒索軟體以當前使用者的許可權啟動時,限制這些許可權可以阻止感染。使用者進行日常活動時不應以管理員許可權登入,應在任何管理功能完成後立即恢復為標準使用者許可權。

其他與許可權相關的實踐包括限制使用者寫入功能、阻止從使用者目錄執行、將應用程式加入白名單以及限制對網路儲存器或共享的訪問。有些勒索軟體需要對特定檔案路徑的寫入許可權才能安裝或執行。對少數目錄(如使用者/文件和使用者/下載)分配寫入許可權,這樣勒索軟體變種就無法成功執行其操作。刪除這些目錄中的執行許可權也可以阻止勒索軟體可執行檔案的實際執行。許多組織都使用限量的應用程式來開展業務。對系統上的應用程式只使用白名單策略就可以阻止白名單之外的任何應用程式,如勒索軟體。總的來說,許可權管理相關做法主要是為了降低影響,限制傳播除此之外,由於勒索軟體實施了新的資料轉移行為,組織應加密靜態資料,從而降低與某些勒索軟體家族相關的潛在資料洩露威脅。

許多勒索軟體變種不再只是掃描本地驅動器來查詢檔案。勒索軟體變種也不侷限於對映的驅動器,他們能夠找到任何連線的網路儲存器共享。為了防止加密,這些裝置在每次訪問時都需要顯式登入。此外,應該限制透過檔案資源管理器等方法直接訪問的裝置的數量。雖然這可能會給使用者帶來麻煩,但使用更安全的裝置訪問方法(例如安全外殼協議SSH)可在某一使用者被感染時減少裝置上資料被加密的可能性。

使用反惡意軟體程式可以更積極地防範勒索軟體。這些程式可以是基於檔案的,也可以是基於行為的。基於檔案的反惡意軟體或防毒程式可以隔離或刪除透過電子郵件或網站傳送的已知勒索軟體變種。基於行為的反惡意軟體程式監控應用程式的行為並且1如果應用程式開始充當惡意軟體則將其停止或者2在使檔案完全可供終端使用者使用之前在沙盒中執行該檔案以檢查是否存在惡意行為。遺憾的是,第一種方案通常是馬後炮,因為勒索軟體通常在被識別出來之前就已經加密了多個檔案。第二種方案也有缺點。比如,應用程式在沙箱中執行的時間可能不夠長,無法被標記為惡意程式。或者,勒索軟體可能使用沙箱規避技術,如果在檢測到其在沙箱中執行時可能無法將其識別為惡意程式

對於只加密具有特定副檔名的勒索軟體變種,可利用副檔名對映這種較新的方法保護檔案免受影響。這種方法包括建立當前未使用的副檔名的列表可透過www.file-extensions.org核查)僅使用這些副檔名命名檔案並利用作業系統副檔名管理將這些副檔名分配給相關程式。例如,組織可以將所有Microsoft Word文件的副檔名設定為.ourworddocs,而非.docx。當其他預防方法不奏效時這種方法可以幫助保護重要檔案不被加密。遺憾的是,如果副檔名不在白名單上,現在只有幾個勒索軟體變種可以加密所有檔案。

【公益譯文】卡內基梅隆大學軟體工程學院:勒索軟體威脅現狀(四)【公益譯文】卡內基梅隆大學軟體工程學院:勒索軟體威脅現狀(四)

  3F 

3:勒索軟體防範方法 [1]


4.4   網路配置

雖然在系統級別可以採取很多措施阻止和防範勒索軟體,但是在網路級別上能做的事情卻不多。要在源頭上阻止感染,採取完善的通用實踐可能會有所幫助。提供白名單或完善的黑名單功能的防火牆可降低基於網路的惡意軟體的下載成功機率並且可能阻止勒索軟體連線到命令控制(C2)伺服器

防火牆應該限制或完全阻止遠端桌面協議和其他遠端管理服務。強大的垃圾郵件列表和其他垃圾郵件檢測技術可以防止大多數附帶攻擊的電子郵件被髮送到使用者的收件箱。對可藉助電子郵件傳送的檔名進行限制可減輕繞過過濾的網路釣魚電子郵件可能發生的感染。

防止勒索軟體從受感染的內部主機傳播的難度更大。有一些工具可以檢測具備蠕蟲行為特徵的惡意軟體。多個勒索軟體家族都具備蠕蟲行為特徵。然而,這些工具不太可能完全阻止惡意軟體傳播,因為行為識別需要時間。若要降低感染傳播,可限制終端裝置對聯網裝置的訪問。

僅僅隱藏網路裝置不足以阻止勒索軟體的訪問。G.2016如果可以透過掃描或類似檔案資源管理器的方式查詢到裝置勒索軟體也可找到該裝置。如果受損系統的活躍使用者擁有該裝置的許可權,則該裝置很可能會被損壞。活動目錄AD等服務配置為不需要使用者直接登入每個裝置勒索軟體就可以在活躍使用者的名下無障礙地執行。也就是說,如果使用者有寫入許可權,勒索軟體可以加密、複製和轉移資料。即使沒有單點登入型別的服務勒索軟體或加密範圍也會傳播到使用者當前登入的任何裝置、任何包含記住我設定的地方以及使用者在意識到感染前登入的任何系統。

防止惡意軟體傳播的最有效方法是儘快斷開受感染裝置(以及那些疑似被感染的裝置)的網路連線。這些除了有線連線,還應斷開裝置的Wi-Fi和藍芽連線。

相關文章