簡析五種常用勒索軟件檢測技術的特點和不足
對付勒索軟件的方法主要以預防和響應為主。但是,檢測勒索軟件對于保護企業組織同樣重要。我們可以將勒索軟件檢測理解為勒索軟件體系化防護的事中階段,即勒索軟件已滲透到系統內部,但還未大規模爆發。在這一階段可以通過應用有效的監測防護手段,一方面防護的針對性較強,另一方面能夠降低勒索軟件爆發所產生的較嚴重后果。
勒索軟件的檢測技術通常可以分為兩大類:
基于終端、網絡的惡意樣本及惡意行為檢測:這種檢測行為具有較強的通用性,即將勒索軟件作為攻擊的一種進行防護,一般殺毒軟件或者服務器安全工具也具備對勒索軟件的識別,這種產品用戶可以優先選擇。
專有勒索軟件檢測技術:隨著勒索軟件威脅逐步增加,安全廠商也不斷推出專門針對勒索軟件的檢測產品或檢測工具,這種產品可作為針對性勒索軟件防護的產品,在完成基礎部署后進一步采購應用。
本文將介紹目前業界常用的五種勒索軟件檢測方法,并對其應用優缺點進行分析。
靜態文件分析
如果企業的一臺關鍵服務器上觸發了警報,但警報信息相當籠統,只是報告某文件可能是惡意軟件。更糟糕的是,如果文件的哈希值不在VirusTotal(一個提供免費的可疑文件分析服務的網站)上,那么安全分析師將無法在網上找到任何信息來確定該文件是不是惡意文件。
這時候,要查看該文件是否可能是勒索軟件(或任何惡意軟件),最優選擇就是進行靜態文件分析。靜態文件分析是一種惡意軟件分析方法,它主要查看可執行文件是否可疑,但并不實際運行代碼。
面對勒索軟件,靜態文件分析會查找已知的惡意代碼序列或可疑字符串,比如經常被盯上的文件擴展名和勒索信中所用的常用詞。分析工具會標記可執行文件中的可疑部分,可用于檢查文件中的嵌入字符串、庫、導入內容及其他攻陷指標(IOC)。不過此項檢測手段需要依賴于針對勒索軟件構建的威脅情報體系,不斷增擴展名、可疑字符串等。同時,此項手段需人工處置的比例較大,產品化可能較低。
靜態惡意軟件分析檢測實例
優點:
?識別率較高,誤報率低;
?可以相對有效地識別已知勒索軟件;
?可以在勒索攻擊執行前阻止攻擊,因此并不加密文件。
缺點:
?主要依靠手動分析,很費時,產品化程度不足;
?可以使用打包器/加密器(Packer/Crypter)或只需將字符換成數字或特殊字符,即可輕松繞過。
常見文件擴展名檢測
借助文件訪問監控工具,組織可以將已知勒索軟件的擴展名文件重命名操作列入黑名單,或者使用這類擴展名的新文件一旦創建,就發出警報。
比如說,Netapp的文件訪問監控工具讓你可以阻止某些類型的擴展名保存在存儲系統和共享區上,比如WannaCry勒索軟件(.wncry)。其他勒索軟件黑名單解決方案包括ownCloud或Netwrix。
研究人員已針對勒索軟件擴展名整理出眾多列表,包括附有常見勒索軟件擴展名的列表。可以較為方便的獲取使用。不過此項檢測手段也僅針對已知的勒索軟件,對于勒索軟件的變種防護能力較差。此手段可以作為一個基礎性防護工具,與用戶部署的終端安全產品形成聯動。
優點:
?采用黑名單模式,檢測誤報率低;
?可較有效對付常見已知勒索軟件;
?不會對正常應用系統造成損壞。
缺點:
?可輕松繞過,難以識別采用新擴展名的勒索軟件;
?很難找到擁有擴展名黑名單功能的文件監控工具。
蜜罐文件
蜜罐文件是故意放到共享文件夾/位置的虛假文件,以便檢測可能存在的攻擊者。一旦蜜罐文件被打開,就發出警報。比如說,一個名為passwords.txt的文件可以用作工作站上的蜜罐文件。目前,我國主流安全廠商推出的勒索軟件防護方案中,都已采用此種方式進行防護,例如安天、安恒、奇安信、深信服等。
創建快速簡便的蜜罐文件的一種常見方法是使用Canarytokens。Canarytokens是Canary 公司提供的一款免費工具,可將令牌(獨特的標識符)嵌入到文檔中,比如Microsoft Word、Microsoft Excel、Adobe Acrobat、圖片和目錄文件夾等更多文檔中。
優點:
?可以檢測出靜態引擎無法捕獲的未知勒索軟件。
缺點:
?存在誤報,因為某些合法程序和用戶也可能接觸誘餌文件;
?如果勒索軟件接觸誘餌文件,重要數據文件將被主動加密;
?如果勒索軟件跳過隱藏的文件/文件夾或攻擊特定文件夾,即可繞過。
動態監控批量文件操作
通過監控文件系統以查找批量文件操作(比如重命名、寫入或刪除),安全人員也可以捕獲實時發生的勒索軟件攻擊,甚至可以自動阻止攻擊。
文件完整性監控(FIM)工具可以幫助你以這種方式檢測勒索軟件。FIM將文件的最新版本與已知、受信任的“基準版本”進行比對,以此驗證和核實文件;如果文件被篡改、更新或刪除,就發出警報。動態監控文件操作需要有一套文件的保管清單。
市面上有眾多免費的開源FIM工具,比如OSSEC和Samhain File Integrity,其他解決方案擁有實時修復功能,因此可以通過威脅自動響應立即阻止檢測到的勒索軟件。
優點:
?可以檢測出靜態引擎無法捕獲的勒索軟件。
缺點:
?如果超過定義的限制閾值,文件可能會被加密,影響業務開展;
?如果勒索軟件在加密操作之間添加延遲,或生成多個進程來加密成批/成組文件,可輕松繞過該檢測方式。
測量文件數據的變化(熵)
在網絡安全界,文件的熵是指一種測量隨機性的特定指標,名為“香農熵”(Shannon Entropy):典型的文本文件有較低的熵,而加密或壓縮的文件有較高的熵。換句話說,通過跟蹤文件的數據變化率,安全人員就可以確定文件是否經過加密。使用文件熵可以實現檢測并阻止加密個人文件的非法進程。測量文件熵的工具還可以在多次標記修改、出現重大變化后快速阻止惡意進程。
合法文件的熵與惡意文件的熵對比
優點:
?可以檢測出靜態引擎無法捕獲的勒索軟件;
?誤報率低于以上提到的動態檢測手段。
缺點:
?對終端設備的CPU資源占用率高;
?文件將被加密,直至達到一定水平的可信度,因此無法阻止所有勒索破壞;
?如果攻擊者僅加密文件的一部分或分塊加密,可輕松繞過該檢測模式。
結語:
檢測勒索軟件可能很棘手,攻擊者會使用多種混淆手法讓勒索軟件規避檢測,新的勒索軟件變體每天都在出現。因此,企業需要使用多種不同的勒索軟件檢測手段,并充分了解每種手段的優缺點。
此外,安全人員要始終假設勒索攻擊會成功。因此企業需要隨時確保有適當的勒索軟件預防和恢復策略。隨著勒索攻擊能力向高層次發展,其攻擊的流程化、能力化已經與APT趨同,因此針對勒索攻擊防護體系建設需要形成持續的預測、防護、檢測、響應,依照攻擊發生的狀態,可分為勒索防護策略建立、勒索攻擊事前防護、勒索攻擊識別阻斷、勒索攻擊應急響應。
