五步实现勒索病毒精准防范
勒索攻击持续泛滥的原因
勒索软件攻击是指网络攻击者通过加密文件等方式阻止用户对系统或数据进行正常访问,并要挟受害者支付赎金的行为。现如今,新型勒索攻击事件层出不穷,勒索攻击事件在全球各地频频发生,主要有以下三点原因:
01易遭受勒索攻击的领域广泛
随着社会的不断发展,受到勒索病毒攻击的领域和行业十分广泛,主要涉及金融、医疗、教育、食品等行业,更有甚者覆盖关键基础设施等。一旦这些行业或基础设施遭受攻击,将导致整个产业链的停工或瘫痪,甚至会影响社会稳定。
易受勒索病毒攻击的领域
02高额赎金成为攻击者实施犯罪的极大动力
加密货币普及助推赎金快速增长。区块链分析公司Chainalysis的报告提到,2020年市面上各类活跃的勒索软件共计获利3.7亿美元,较上年增长336%,其中仅DarkSide一家就获得超过9000万美元的赎金。美国财政部公布的报告显示,2021年上半年勒索事件支付的赎金总额将近6亿美元,轻松超过了2020年全年的总额。
03企业内部基础设施建设落后,联网后缺少有效的安全防护措施
美国国家漏洞库NVD资料显示,仅在2020年上半年就发现了多达365个工业控制系统相关的漏洞,比2019年上半年增长10.3%,其中,超过75%的漏洞被认定为严重等级,这些漏洞涉及53个厂商。《2020年上半年我国互联网网络安全监测数据分析报告》数据显示,国家信息安全漏洞共享平台(CNVD)收录通用型安全漏11,073个,同比大幅增长89.0%。其中,高危漏洞收录数量为4,280个(占38.7%),同比大幅增长108.3%,“零日”漏洞收录数量为4,582个(占41.4%),同比大幅增长80.7%。安全漏洞主要涵盖的厂商或平台为谷歌(Google)、WordPress、甲骨文(Oracle)等。
2020年上半年ICS-CERT发布的ICS安全建议总数明细
并且随着AI、5G、物联网等新技术的快速普及和应用,以及加密货币的持续火爆,导致勒索攻击呈现出持续高发态势,这也表明勒索攻击已经成为未来一段时期网络安全的主要威胁之一,那么如何有效防范勒索攻击成为当前网络安全领域关注和讨论的焦点。
勒索攻击为什么如此可怕
01被攻击后难以恢复
密码学是网络安全的基石,现在普遍采用高强度非对称加密算法的方式对数据进行恶意加密。典型勒索病毒的加密方式如下:
首先,勒索病毒会利用非对称加密算法生成公钥Y与私钥Y,使用公钥Y对用户数据进行加密;
然后,为保护私钥Y,勒索组织利用非对称加密算法生成公钥X和私钥X,利用公钥X对私钥Y进行加密,得到密钥X(Y)。
如果要暴力破解此勒索病毒,需要破解2次RSA-2048才能获得加密私钥Y,这可能需要几十年甚至更久的时间,也就是说,除非勒索病毒实现上存在漏洞,否则无私钥Y的情况下几乎不可能破解,一旦中招(加密已经完成)之后,受害者只能在支付巨额赎金和数据恢复重建中做出选择。
勒索病毒攻击原理图
02现有产品无法解决勒索问题
目前活跃在市面上的勒索攻击病毒种类繁多,而且每个家族的勒索病毒也处于不断地更新变异之中,极高频率的变种使得基于病毒特征库的传统杀毒软件在应对海量新型勒索病毒时,毫无用武之地。
并且勒索攻击形式多样,主要有文件加密、数据窃取、系统加密和屏幕锁定等四种主要的形式,造成的后果严重,EDR产品响应阻断机制生效的前提是勒索病毒已经产生了异常行为,响应阻断的动作一旦滞后,将造成为时已晚、不可挽回的严重损失。
此外,勒索攻击已显著具备APT攻击的特点,勒索攻击普遍采用漏洞利用、钓鱼邮件、移动介质、供应链、远程桌面等方式进行传播,防火墙、IDS等传统安全解决方案,已无法有效应对勒索病毒的传播泛滥。
综上所述,传统产品和方案应对勒索攻击时收效甚微。因此我们需要专防专治勒索病毒的产品来应对这一新型威胁。
现有产品已无法解决勒索问题
如何有效防范勒索病毒攻击
要防范勒索病毒攻击,则需要从勒索病毒本身出发,深度剖析勒索病毒的普遍性特点,有针对性地进行干预和防范。
通过对流行勒索病毒的分析,我们发现勒索病毒行为具有高度趋同性,由此我们梳理了勒索病毒的杀伤链模型,整个勒索杀伤链涉及感染&准备、遍历&加密、破坏勒索三个环节,感染准备阶段主要行为是漏洞利用、自身模块释放、进程中止和服务清除;遍历加密阶段主要行为是文件遍历、数据加密;破坏勒索阶段主要行为是删除系统备份、弹出勒索通知。
勒索杀伤链模型图
摸清楚了勒索病毒杀伤链的典型行为特征,接下来我们就能有效应对勒索病毒。威努特主机防勒索系统(以下简称:防勒索系统)从勒索病毒杀伤链入手,设计了检测、防护、恢复三重的技术手段,并且采用五大核心功能来应对勒索病毒,可实现全球范围内勒索病毒的防范,以多种技术手段组合应用、层层递进、相互交叉的方式来保证对勒索病毒进行最有效的防范。
主机防勒索系统五大核心功能
第一步 勒索行为监测
勒索病毒的磁盘遍历、进程终止、文件加密、回收站清空等行为,实际上都是在调用操作系统底层驱动的高危指令。所以防勒索系统安装操作系统后,会接管操作系统底层的进程、文件、磁盘、网络驱动,勒索病毒在执行高危指令调用时,必然优先被防勒索系统感知,防勒索系统内置恶意行为监测引擎,通过规则树的匹配来识别恶意破坏行为,进而实现对勒索病毒的拦截和阻断。
基于底层驱动感知的勒索行为监测
第二步 关键业务保护
勒索病毒加密文件前,会优先终止业务进程,以解除文件占用,便于文件加密或删除操作。所以防勒索系统安装到操作系统后,会接管操作系统进程驱动,当有进程终止或线程退出指令时,防勒索系统会对指令来源和指令类型进行判断,如果是不可信的进程发起的跨进程、跨地址空间的指令行为,防勒索系统将会对指令操作进行拦截,从而避免勒索病毒对关键业务进程的破坏,在保障业务连续性的同时,保持关键应用对数据文件的持续占用,进而确保数据文件不会被加密勒索。
基于函数级调用监测的关键业务保护
第三步 勒索病毒诱捕
勒索病毒在遍历文件时,会优先检索系统常规路径,如桌面、文档路径、磁盘根目录等,然后破坏这些文件。防勒索系统安装后在系统中投放诱饵文件,并持续监控对诱饵文件的操作,由于正常应用一般不会访问诱饵文件,因此对诱饵文件的操作基本上可以判定为勒索病毒,防勒索系统会直接杀死可疑进程并置于隔离区。
基于诱饵文件投递的勒索病毒诱捕
第四步 核心数据保护
未安装防勒索系统时,无论是正常的应用,如word、数据库服务,还是勒索病毒,对应用数据的读写都是不受限制的,勒索病毒随意的对数据文件进行加密写入,致使用户无法正常使用数据文件。
安装防勒索系统后,通过内置规则及动态识别技术,可以很方便地建立可信应用与应用数据间的访问关系模型,因为勒索病毒不在可信应用列表内,不具备应用数据的访问权限,所以勒索病毒尝试加密系统中文档、数据库、工程文件、音视频等数据文件时,将会被拦截阻断。
核心数据保护功能一方面可避免应用数据被恶意加密,防范典型的文件加密勒索行为,另一方面还可以防范双重勒索中文件信息泄露的勒索行为。
基于访问关系绑定的核心数据保护
第五步 数据智能备份
备份恢复技术用于对抗勒索病毒很有效,因为由于误操作、安全策略配置不当可能导致检测、防护能力被绕过,所以还需要备份恢复能力做技术兜底。
防勒索系统安装后,任何文件的操作均会触发防勒索的安全检查,可信应用文件操作放行,非可信应用文件操作将触发备份动作,在备份入库前,防勒索系统会检查入库数据的安全性,通过文件名、后缀名、信息熵、方差值完成文件是否被勒索加密的判断。我们知道,勒索病毒加密的文件会被修改文件名、后缀名,文件的熵值和方差值会发生显著变化,基于此防勒索系统可识别被勒索加密的文件,已经被勒索加密的文件将直接丢弃,并对操作该文件的进程进行终止和隔离操作,被识别为正常的数据文件则经过重复检查后进入备份区。
此外,防勒索系统的备份机制并非是全盘备份,而是经过巧妙设计的按需触发,既可以实现勒索病毒的精准防范,又能确保最小的系统资源消耗。
基于信息熵差异度量的数据智能备份
结语
威努特防勒索系统具备强大的勒索病毒防范能力,可保护企业业务数据免遭勒索病毒恶意加密,避免因数据被加密所导致的经济损失;具有多层次纵深防范能力,可保护关键业务进程不被非法中断,避免因业务中断所导致的不确定因素,保障系统业务连续性; 并且结合网络安全保险,使技术手段无法彻底规避的风险由网络安全保险兜底,转移勒索攻击可能导致的潜在经济损失。
