摘要:勒索病毒事件層出不窮,傳統(tǒng)的防治手段逐漸失效。通過沙箱����、蜜罐、仿真誘捕技術(shù)�,“三管齊下”可以實(shí)現(xiàn)有效防治����。尤其是利用高仿真誘捕技術(shù)�,可以檢測并識別包括勒索和0day的惡意代碼攻擊,確保網(wǎng)絡(luò)系統(tǒng)安全高效運(yùn)營���。
關(guān)鍵詞:沙箱技術(shù)��,蜜罐技術(shù)����,仿真誘捕技術(shù)�����,勒索病毒��,防御策略
前言
近幾年來�����,勒索病毒事件在各個行業(yè)可謂層出不窮����。在公共交通方面����,2018年2月��,SamSam勒索軟件感染科羅拉多州交通部���,科羅拉多州當(dāng)局最終為清除該感染花費(fèi)了150萬美元費(fèi)用;2018年12月�,莫斯科新纜車的計(jì)算機(jī)系統(tǒng)遭遇勒索病毒入侵�。在工業(yè)互聯(lián)網(wǎng)方面,2019年1月�����,新型勒索軟件LockerGoga攻擊挪威鋁制造巨頭公司Norsk Hydro�,造成其關(guān)閉網(wǎng)絡(luò)之后僅僅幾天,又被發(fā)現(xiàn)疑似入侵了另外兩家美國化學(xué)公司Hexion和Momentive的計(jì)算機(jī)網(wǎng)絡(luò)����。在政府事務(wù)方面���,2019年3月9日發(fā)現(xiàn)的一款惡意軟件襲擊了英格蘭與威爾士聯(lián)邦警署(PFEW)���,2019年3月11日開始���,我國多地政府及醫(yī)院遭遇勒索病毒攻擊。
一�、早期防治措施及痛點(diǎn)
說起勒索病毒,其實(shí)最早從2006年開始就進(jìn)入了中國大陸�,國家計(jì)算機(jī)病毒應(yīng)急處理中心統(tǒng)計(jì)顯示,當(dāng)年感染581例����。而真正讓其“家喻戶曉”則是2017年著名的“永恒之藍(lán)”病毒的爆發(fā),其影響范圍之廣���,涉及系統(tǒng)之重要���,讓所有IT運(yùn)維與管理者聞之色變,遂掀起了一輪勒索病毒防范高潮����。這次威脅達(dá)到前所未有的廣度和深度,構(gòu)成了對全球各國、各界全方位的挑戰(zhàn),無論政府��、企業(yè)����、公共機(jī)構(gòu)和個人,都難以幸免����。其次,說明了當(dāng)今全球性網(wǎng)絡(luò)治理機(jī)制的失靈�,面對如此明目張膽的全球性威脅,居然迄今為止沒能進(jìn)行真正的溯源、形成真正的有效制約與防御,甚至難以有效防止未來繼續(xù)發(fā)生[1]��。
目前國內(nèi)對勒索病毒防治方法���,一般可以概括為五個字:“補(bǔ)改關(guān)裝規(guī)”��。也即是��,打補(bǔ)�����。杭皶r更新系統(tǒng)補(bǔ)丁���,修補(bǔ)漏洞;改口令:對系統(tǒng)內(nèi)服務(wù)器、主機(jī)均強(qiáng)行實(shí)施復(fù)雜密碼策略���,杜絕弱口令;關(guān)端口:盡量關(guān)閉不必要的文件共享及不必要的系統(tǒng)服務(wù)端口;裝軟件:安裝終端防護(hù)軟件及防病毒軟件,并保證病毒庫最新;重規(guī)劃:全面規(guī)劃網(wǎng)絡(luò)安全區(qū)域���,強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份等����。
然而手忙腳亂一陣,各行業(yè)客戶的IT運(yùn)維和信息安全管理人員仍提心吊膽���。究其原因����,無外乎兩方面:一是“敵暗我明”���,所謂勒索病毒����、惡意軟件及其變種層出不窮���,隱藏技術(shù)和攻擊手段難以預(yù)知�,“防不勝防”;二是作為傳統(tǒng)防范措施的防病毒軟件已日漸蒼老����,“不堪大用”,靠病毒特征比對,簡單行為分析已難以識別和防范勒索等新惡意代碼的威脅�。
二、防治戰(zhàn)略:“知彼知己”
勒索病毒�,其實(shí)應(yīng)該稱謂為勒索軟件或勒索程序,是惡意軟件或者叫惡意代碼的一種���。嚴(yán)格來講���,是一種木馬而不是病毒,因?yàn)槟抉R和病毒是兩種截然不同的威脅�。
一是隱蔽性。本質(zhì)上病毒極具感染性���,且感染極難發(fā)現(xiàn)���。而木馬則出于本身“任務(wù)”的特殊性要隱藏其行蹤,以便“開展工作”����。從這一點(diǎn)來講,木馬更強(qiáng)調(diào)隱蔽和偽裝�����,諸如近期發(fā)現(xiàn)的Clop勒索病毒會冒用有效的數(shù)字簽名�����,騙取系統(tǒng)及防病毒軟件的信任��,披上“合法外衣”�,令一般的防治手段形同虛設(shè)。
二是危害性�。病毒一般以破壞系統(tǒng)文件為目標(biāo),危害并不是很大;而木馬則帶有更為明確的目標(biāo)性和任務(wù)指向性����,多為錢財(cái)、數(shù)據(jù)或政治利益��,危害性更大��。勒索病毒之所以被稱為勒索�����,正是由于其索取利益的目標(biāo)特征���。
三是復(fù)雜性��。從已知的勒索病毒及其變種來看��,傳播手段包括利用系統(tǒng)漏洞����、利用垃圾郵件、廣告以及光盤U盤等����,可以說無論系統(tǒng)在線或是隔離內(nèi)網(wǎng),均可能被感染;而從加密手段上����,最新發(fā)現(xiàn)的勒索病毒大多會采用非對稱高強(qiáng)度加密算法,理論上破解毫無可能�����。
四是廣泛性�����。勒索病毒已有的感染事例��,已經(jīng)涵蓋了世界各地各個國家的政府���、高校���、交通�����、制造、醫(yī)院����、能源、軍工等領(lǐng)域���,可以說無孔不入��,尤其近期在我國主要以政府���、醫(yī)院、教育和制造等行業(yè)被感染事例較多�。
中了勒索病毒,被加密的數(shù)據(jù)文件是否可以找回?第一種是按照勒索病毒感染后留下的線索提交“贖金”���,可能拿到解開數(shù)據(jù)文件的密鑰�����,從而恢復(fù)數(shù)據(jù)文件����,但僅僅是可能,這個可能性目前看相當(dāng)小;另一種是利用數(shù)據(jù)恢復(fù)類軟件���,針對勒索病毒加密數(shù)據(jù)文件后將原數(shù)據(jù)文件刪除的機(jī)制����,努力恢復(fù)硬盤上的原文件��。此種方法要求硬盤第一時間“封盤”����,要求感染后不做任何讀寫動作,可找回的幾率很小�,并且數(shù)據(jù)恢復(fù)的成本非常高。近年來,隨著信息安全技術(shù)的不斷進(jìn)步,安全研究人員破解加密勒索病毒的技術(shù)也在不斷提高,但是攻擊者使用的加密方式也在不斷升級,各類勒索病毒攻擊令人防不勝防���。[2]
三����、防治戰(zhàn)術(shù):“三管齊下”
既然勒索病毒如此“狡猾狠毒”,該以何法處之呢?近期無論是傳統(tǒng)防病毒廠商還是傳統(tǒng)網(wǎng)絡(luò)安全廠商���,均在各自產(chǎn)品中增加了EDR(終端檢測與響應(yīng))技術(shù)與功能���,來應(yīng)對勒索病毒危害,EDR突出對終端的檢測與響應(yīng)����,其中檢測是根本��,傳統(tǒng)檢測手段主要依靠“特征庫比對”����,而EDR則突出“行為檢測”,對系統(tǒng)中的進(jìn)程行為進(jìn)行實(shí)時檢測以發(fā)現(xiàn)潛在威脅��。對一般性的關(guān)鍵系統(tǒng)文件訪問�����、系統(tǒng)進(jìn)程調(diào)用��、網(wǎng)絡(luò)訪問等行為容易被檢測��,而對于勒索病毒及其變種則難以通過簡單的檢測奏效,因其為隱藏行蹤�����,除了前文提到的取得“合法身份”變種之外�,對于一些傳統(tǒng)行為檢測技術(shù)的防范也是勒索病毒必修之功課,如何檢測并識別勒索病毒及其變種成為防御勒索病毒的首要技術(shù)任務(wù)���。這里筆者���,提出一個“三管齊下”的防治策略。
一是依托沙箱技術(shù)�����。“Sandbox(又叫沙箱��、沙盤)是一個虛擬系統(tǒng)程序����,允許在沙盤環(huán)境中運(yùn)行瀏覽器或其他程序,因此運(yùn)行所產(chǎn)生的變化并不影響宿主機(jī)����,重啟進(jìn)程后可以隨時刪除模擬的程序���。它創(chuàng)造了一個類似沙盒的獨(dú)立作業(yè)環(huán)境,在其內(nèi)部運(yùn)行的程序并不能對硬盤產(chǎn)生永久性的影響���。作為一個獨(dú)立的虛擬環(huán)境�,可以用來測試不受信任的應(yīng)用程序或上網(wǎng)行為��。”利用沙箱技術(shù)��,可以測試多數(shù)惡意代碼程序����,并令其“現(xiàn)出原形”��,以做好防范����。缺點(diǎn)是沙箱技術(shù)虛擬的系統(tǒng)環(huán)境相對簡陋,對于一些高級木馬變種尤其是勒索病毒已知變種來看��,反沙箱檢測技術(shù)已經(jīng)很成熟��,所以沙箱技術(shù)本身已顯落后�����。
二是依托蜜罐技術(shù)。蜜罐技術(shù)本質(zhì)上是一種對攻擊方進(jìn)行欺騙的技術(shù)����。通過布置一些主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息��,誘使攻擊方對它們實(shí)施攻擊�����,從而可以對攻擊行為進(jìn)行捕獲和分析[3]����,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機(jī)����,能夠讓防御方清晰地了解他們所面對的安全威脅,并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力��������?雌饋砻酃藜夹g(shù)可以高明很多�����,作為靶機(jī)����,誘使攻擊方展開攻擊,且不說是否能騙過勒索病毒及其變種�����,令其展開攻擊并被有效收集��。當(dāng)下���,蜜罐逃逸技術(shù)也已經(jīng)很成熟,蜜罐被狡猾的入侵者反利用來攻擊別人的例子也屢見不鮮�,只要管理員在某個設(shè)置上出現(xiàn)錯誤,蜜罐就成了“打狗的肉包子”�。
三是仿真誘捕技術(shù)。“兵者����,詭道也�����。故能而示之不能����,用而示之不用����,近而示之遠(yuǎn),遠(yuǎn)而示之近;利而誘之����,亂而取之,實(shí)而備之����,強(qiáng)而避之,怒而撓之����,卑而驕之,佚而勞之���,親而離之����。攻其無備,出其不意�。此兵家之勝,不可先傳也���。”──《孫子兵法》��。仿真誘捕���,古有研究,而作為網(wǎng)絡(luò)防御技術(shù)�,前幾年也有相關(guān)專家作過研究論證,作為勒索病毒防治的晉級新技術(shù)�����,仿真誘捕技術(shù)被啟用并通過算法重構(gòu)了誘捕模型�����。構(gòu)建高仿真系統(tǒng)��,設(shè)置勒索病毒感染“陷阱”�,“誘捕”勒索病毒發(fā)作現(xiàn)身,這針對具有反沙箱�、蜜罐逃逸技術(shù)特征的惡意代碼變種具有奇效。
結(jié)語
目前�����,惡意代碼檢測與防御系統(tǒng)采用機(jī)器學(xué)習(xí)及大數(shù)據(jù)分析技術(shù)�����、高級行為分析技術(shù)和漏洞利用檢測技術(shù)���,結(jié)合有效的威脅情報(bào)信息����,針對類似于勒索病毒等高級威脅提供及時檢測和快速響應(yīng)����。尤其是采用高仿真誘捕技術(shù),可以有效檢測并識別惡意代碼攻擊(包括勒索病毒和0day利用)�����。確保了行業(yè)客戶的網(wǎng)絡(luò)系統(tǒng)安全高效和正常運(yùn)營。
參考文獻(xiàn)
[1] 方興東.中國信息安全: 勒索病毒事件對全球網(wǎng)絡(luò)治理的影響[J].2017.
[2] 金重振�,葛萬龍.信息與電腦(理論版): 局域網(wǎng)勒索病毒的防護(hù)策略研究 ——以WannaCry為例[J].2017.
[3] 秦玉杰. 信息技術(shù)與網(wǎng)絡(luò)安全:一種基于分布式蜜罐技術(shù)的勒索蠕蟲病毒監(jiān)測方法[J].2018.
(新媒體責(zé)編:syhz0808)
京公網(wǎng)安備 11010602130064號
