一不留神,勒索軟件“改頭換面”,怎么抵御

勒索軟件常有， 而“想哭”勒索蠕蟲風(fēng)波不常有。 “想哭”在全世界搞事以后， 僅僅知道如何抵抗它這種“一次性”安全行為還不夠， 曾有安全專家預(yù)言， 這幾年將面臨勒索軟件的爆發(fā)， 因為很多攻擊者發(fā)現(xiàn)， 相對別的手段而言， 這種犯罪手段也許是“人傻、錢多、速來”， 再加上勒索軟件的代碼可以被輕易改變， “改頭換面”后又是一條“好漢”， 怎么才能持久性預(yù)防？以下是網(wǎng)絡(luò)測試、可視化和安全解決方案供應(yīng)商 Ixia的投稿， 已授權(quán)雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))發(fā)表， 在不改變原意的基礎(chǔ)上， 雷鋒網(wǎng)略有刪節(jié)。

--

勒索軟件已經(jīng)成為黑客在網(wǎng)絡(luò)犯罪中牟利的慣用伎倆。 據(jù)最新《Verizon數(shù)據(jù)泄露調(diào)查報告》（DBIR）表明， 由于通過加密文件進(jìn)行勒索贖金速度快、風(fēng)險低并且可以輕松斂財， 尤其使用比特幣進(jìn)行收款， 可使收款人無法追蹤， 勒索軟件是目前犯罪軟件最常見的類型。 自2016年1月起， 以企業(yè)為目標(biāo)的攻擊增長了300%， 且攻擊頻率每40秒發(fā)生一次。 此次波及全球范圍的勒索攻擊WannaCry， 自5月12日以來已經(jīng)影響到150個國家， 逾二十萬受害者。 以上只說明一個事實： 各組織機(jī)構(gòu)須立刻采取應(yīng)對措施， 以防患于未然。

由于犯罪分子尋求提高感染率以及增加其非法收入， 勒索軟件的傳播方法已發(fā)生變化。 早期傳統(tǒng)的入侵方式， 比如電子郵件中使用惡意文件作為附件， 可以相對容易地被防病毒產(chǎn)品和安全沙箱檢測和屏蔽。 然而， 目前的入侵方式已經(jīng)經(jīng)過專門設(shè)計， 旨在繞過這些傳統(tǒng)的安全防護(hù)產(chǎn)品。

Ixia應(yīng)用威脅情報部門的高級總監(jiān)Steve McGregory表示：“網(wǎng)絡(luò)犯罪分子可以輕易地變換和改寫勒索軟件代碼， 并足以成功逃避殺毒軟件的特征庫匹配。 這些勒索軟件的變種被稱為“零日突變”， 即一旦被識別， 勒索軟件的簽名便可以被更新并公布， 因此防病毒軟件將需要幾天的時間來屏蔽新的變種。 而在此期間， 企業(yè)機(jī)構(gòu)仍易受到攻擊， 網(wǎng)絡(luò)犯罪分子往往會繼續(xù)乘虛而入為其謀利。 ”

Ixia表示， 如果企業(yè)機(jī)構(gòu)打算抵御勒索軟件的攻擊， 需要掌握三大核心原則：

1. 追根溯源

勒索軟件感染鏈通常始于一個帶有惡意附件的釣魚郵件， 其附件通常包含宏文件（macro）。 即使對于安全沙箱來說這個宏似乎都毫無風(fēng)險， 但打開該文件時， 宏就會被激活， 并通過互聯(lián)網(wǎng)連接攻擊者的遠(yuǎn)程服務(wù)器， 將勒索軟件有效載荷下載到本地。 此外， 該宏還可以在下載過程中進(jìn)行文件變換。 因此， 直到在它實際進(jìn)入主機(jī)之前， 都實則看似無害。

2. 對癥下藥

如果只將關(guān)注點放在審查文件載荷的內(nèi)容， 這樣的防御措施往往徒勞無功。 由于基于電子郵件的宏往往無法被發(fā)現(xiàn)， 因為在檢測過程中它們并不會表現(xiàn)出惡意行為， 所以即便是最先進(jìn)的安全沙箱也束手無策。 事實上， 這些文件載荷在實際被下載到電腦中并開始加密文件之前， 看起來都沒有惡意， 所以各企業(yè)機(jī)構(gòu)應(yīng)探查感染來源， 而非僅僅耽于表象。

3. 阻止感染

在勒索軟件感染的最后階段， 文件載荷將從已知的惡意IP進(jìn)行發(fā)送。 由于 IP 地址相對稀少， 同一個“惡意”地址往往會被重復(fù)使用。 即使全新的惡意軟件變種也可能復(fù)用一小段已經(jīng)暴露的惡意 IP 地址。

這意味著， 如果某個企業(yè)的網(wǎng)絡(luò)內(nèi)有一臺電腦試圖從一個已知的惡意 IP 地址下載文件， 它們通常處于勒索軟件攻擊的初始階段， 所以也就沒必要檢測正在試圖進(jìn)行下載行為的宏文件， 或者正在下載的內(nèi)容。

因此抵御攻擊的最直接， 且經(jīng)濟(jì)的方法是： 自動阻斷所有企業(yè)內(nèi)網(wǎng)中， 試圖連接已知惡意IP地址的行為， 并且這個惡意 IP 地址庫需要通過收集威脅情報進(jìn)行持續(xù)更新。 這會使大部分已有攻擊甚至新的攻擊無功而返。

“各企業(yè)不能再對勒索軟件的威脅視而不見。 如果僅將這些數(shù)據(jù)保存在受攻擊影響的系統(tǒng)中， 而沒有備份關(guān)鍵數(shù)據(jù)， 那么無論是經(jīng)濟(jì)影響還是企業(yè)聲譽都將付出無法想象的代價。 客戶數(shù)據(jù)、財務(wù)記錄和其他無法替代信息的丟失將可能導(dǎo)致業(yè)務(wù)停滯， 并留下永久性的空白。 ” McGregory總結(jié)。