五步實現勒索病毒精準防范
勒索攻擊持續泛濫的原因
勒索軟件攻擊是指網絡攻擊者通過加密文件等方式阻止用戶對系統或數據進行正常訪問,并要挾受害者支付贖金的行為。現如今,新型勒索攻擊事件層出不窮,勒索攻擊事件在全球各地頻頻發生,主要有以下三點原因:
01易遭受勒索攻擊的領域廣泛
隨著社會的不斷發展,受到勒索病毒攻擊的領域和行業十分廣泛,主要涉及金融、醫療、教育、食品等行業,更有甚者覆蓋關鍵基礎設施等。一旦這些行業或基礎設施遭受攻擊,將導致整個產業鏈的停工或癱瘓,甚至會影響社會穩定。
易受勒索病毒攻擊的領域
02高額贖金成為攻擊者實施犯罪的極大動力
加密貨幣普及助推贖金快速增長。區塊鏈分析公司Chainalysis的報告提到,2020年市面上各類活躍的勒索軟件共計獲利3.7億美元,較上年增長336%,其中僅DarkSide一家就獲得超過9000萬美元的贖金。美國財政部公布的報告顯示,2021年上半年勒索事件支付的贖金總額將近6億美元,輕松超過了2020年全年的總額。
03企業內部基礎設施建設落后,聯網后缺少有效的安全防護措施
美國國家漏洞庫NVD資料顯示,僅在2020年上半年就發現了多達365個工業控制系統相關的漏洞,比2019年上半年增長10.3%,其中,超過75%的漏洞被認定為嚴重等級,這些漏洞涉及53個廠商。《2020年上半年我國互聯網網絡安全監測數據分析報告》數據顯示,國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏11,073個,同比大幅增長89.0%。其中,高危漏洞收錄數量為4,280個(占38.7%),同比大幅增長108.3%,“零日”漏洞收錄數量為4,582個(占41.4%),同比大幅增長80.7%。安全漏洞主要涵蓋的廠商或平臺為谷歌(Google)、WordPress、甲骨文(Oracle)等。
2020年上半年ICS-CERT發布的ICS安全建議總數明細
并且隨著AI、5G、物聯網等新技術的快速普及和應用,以及加密貨幣的持續火爆,導致勒索攻擊呈現出持續高發態勢,這也表明勒索攻擊已經成為未來一段時期網絡安全的主要威脅之一,那么如何有效防范勒索攻擊成為當前網絡安全領域關注和討論的焦點。
勒索攻擊為什么如此可怕
01被攻擊后難以恢復
密碼學是網絡安全的基石,現在普遍采用高強度非對稱加密算法的方式對數據進行惡意加密。典型勒索病毒的加密方式如下:
首先,勒索病毒會利用非對稱加密算法生成公鑰Y與私鑰Y,使用公鑰Y對用戶數據進行加密;
然后,為保護私鑰Y,勒索組織利用非對稱加密算法生成公鑰X和私鑰X,利用公鑰X對私鑰Y進行加密,得到密鑰X(Y)。
如果要暴力破解此勒索病毒,需要破解2次RSA-2048才能獲得加密私鑰Y,這可能需要幾十年甚至更久的時間,也就是說,除非勒索病毒實現上存在漏洞,否則無私鑰Y的情況下幾乎不可能破解,一旦中招(加密已經完成)之后,受害者只能在支付巨額贖金和數據恢復重建中做出選擇。
勒索病毒攻擊原理圖
02現有產品無法解決勒索問題
目前活躍在市面上的勒索攻擊病毒種類繁多,而且每個家族的勒索病毒也處于不斷地更新變異之中,極高頻率的變種使得基于病毒特征庫的傳統殺毒軟件在應對海量新型勒索病毒時,毫無用武之地。
并且勒索攻擊形式多樣,主要有文件加密、數據竊取、系統加密和屏幕鎖定等四種主要的形式,造成的后果嚴重,EDR產品響應阻斷機制生效的前提是勒索病毒已經產生了異常行為,響應阻斷的動作一旦滯后,將造成為時已晚、不可挽回的嚴重損失。
此外,勒索攻擊已顯著具備APT攻擊的特點,勒索攻擊普遍采用漏洞利用、釣魚郵件、移動介質、供應鏈、遠程桌面等方式進行傳播,防火墻、IDS等傳統安全解決方案,已無法有效應對勒索病毒的傳播泛濫。
綜上所述,傳統產品和方案應對勒索攻擊時收效甚微。因此我們需要專防專治勒索病毒的產品來應對這一新型威脅。
現有產品已無法解決勒索問題
如何有效防范勒索病毒攻擊
要防范勒索病毒攻擊,則需要從勒索病毒本身出發,深度剖析勒索病毒的普遍性特點,有針對性地進行干預和防范。
通過對流行勒索病毒的分析,我們發現勒索病毒行為具有高度趨同性,由此我們梳理了勒索病毒的殺傷鏈模型,整個勒索殺傷鏈涉及感染&準備、遍歷&加密、破壞勒索三個環節,感染準備階段主要行為是漏洞利用、自身模塊釋放、進程中止和服務清除;遍歷加密階段主要行為是文件遍歷、數據加密;破壞勒索階段主要行為是刪除系統備份、彈出勒索通知。
勒索殺傷鏈模型圖
摸清楚了勒索病毒殺傷鏈的典型行為特征,接下來我們就能有效應對勒索病毒。威努特主機防勒索系統(以下簡稱:防勒索系統)從勒索病毒殺傷鏈入手,設計了檢測、防護、恢復三重的技術手段,并且采用五大核心功能來應對勒索病毒,可實現全球范圍內勒索病毒的防范,以多種技術手段組合應用、層層遞進、相互交叉的方式來保證對勒索病毒進行最有效的防范。
主機防勒索系統五大核心功能
第一步 勒索行為監測
勒索病毒的磁盤遍歷、進程終止、文件加密、回收站清空等行為,實際上都是在調用操作系統底層驅動的高危指令。所以防勒索系統安裝操作系統后,會接管操作系統底層的進程、文件、磁盤、網絡驅動,勒索病毒在執行高危指令調用時,必然優先被防勒索系統感知,防勒索系統內置惡意行為監測引擎,通過規則樹的匹配來識別惡意破壞行為,進而實現對勒索病毒的攔截和阻斷。
基于底層驅動感知的勒索行為監測
第二步 關鍵業務保護
勒索病毒加密文件前,會優先終止業務進程,以解除文件占用,便于文件加密或刪除操作。所以防勒索系統安裝到操作系統后,會接管操作系統進程驅動,當有進程終止或線程退出指令時,防勒索系統會對指令來源和指令類型進行判斷,如果是不可信的進程發起的跨進程、跨地址空間的指令行為,防勒索系統將會對指令操作進行攔截,從而避免勒索病毒對關鍵業務進程的破壞,在保障業務連續性的同時,保持關鍵應用對數據文件的持續占用,進而確保數據文件不會被加密勒索。
基于函數級調用監測的關鍵業務保護
第三步 勒索病毒誘捕
勒索病毒在遍歷文件時,會優先檢索系統常規路徑,如桌面、文檔路徑、磁盤根目錄等,然后破壞這些文件。防勒索系統安裝后在系統中投放誘餌文件,并持續監控對誘餌文件的操作,由于正常應用一般不會訪問誘餌文件,因此對誘餌文件的操作基本上可以判定為勒索病毒,防勒索系統會直接殺死可疑進程并置于隔離區。
基于誘餌文件投遞的勒索病毒誘捕
第四步 核心數據保護
未安裝防勒索系統時,無論是正常的應用,如word、數據庫服務,還是勒索病毒,對應用數據的讀寫都是不受限制的,勒索病毒隨意的對數據文件進行加密寫入,致使用戶無法正常使用數據文件。
安裝防勒索系統后,通過內置規則及動態識別技術,可以很方便地建立可信應用與應用數據間的訪問關系模型,因為勒索病毒不在可信應用列表內,不具備應用數據的訪問權限,所以勒索病毒嘗試加密系統中文檔、數據庫、工程文件、音視頻等數據文件時,將會被攔截阻斷。
核心數據保護功能一方面可避免應用數據被惡意加密,防范典型的文件加密勒索行為,另一方面還可以防范雙重勒索中文件信息泄露的勒索行為。
基于訪問關系綁定的核心數據保護
第五步 數據智能備份
備份恢復技術用于對抗勒索病毒很有效,因為由于誤操作、安全策略配置不當可能導致檢測、防護能力被繞過,所以還需要備份恢復能力做技術兜底。
防勒索系統安裝后,任何文件的操作均會觸發防勒索的安全檢查,可信應用文件操作放行,非可信應用文件操作將觸發備份動作,在備份入庫前,防勒索系統會檢查入庫數據的安全性,通過文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。我們知道,勒索病毒加密的文件會被修改文件名、后綴名,文件的熵值和方差值會發生顯著變化,基于此防勒索系統可識別被勒索加密的文件,已經被勒索加密的文件將直接丟棄,并對操作該文件的進程進行終止和隔離操作,被識別為正常的數據文件則經過重復檢查后進入備份區。
此外,防勒索系統的備份機制并非是全盤備份,而是經過巧妙設計的按需觸發,既可以實現勒索病毒的精準防范,又能確保最小的系統資源消耗。
基于信息熵差異度量的數據智能備份
結語
威努特防勒索系統具備強大的勒索病毒防范能力,可保護企業業務數據免遭勒索病毒惡意加密,避免因數據被加密所導致的經濟損失;具有多層次縱深防范能力,可保護關鍵業務進程不被非法中斷,避免因業務中斷所導致的不確定因素,保障系統業務連續性; 并且結合網絡安全保險,使技術手段無法徹底規避的風險由網絡安全保險兜底,轉移勒索攻擊可能導致的潛在經濟損失。
