勒索软件的11种最新演变方式

来源 :计算机世界 | 被引量 : 0次 | 上传用户:qncy1239o
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  勒索软件检测和恢复工具以及相关技术正变得越来越强。然而,勒索软件开发者也是如此。他们让勒索软件更难以被发现,加密文件也更难以被恢复。
  安全运营相对于勒索软件的优势之一是它能够做出预测。它以线性的方式工作,这样,安全工具和安全部门在检测到勒索软件后就有机会尽量减少损害。而我们现在看到的迹象表明,勒索软件的制造者们也在尽力让自己的所作所为不被预测到。
  卡巴斯基实验室全球研究和分析部门(GReAT)高级安全研究员Brian Bartholomew介绍说:“在一天结束的时候,勒索软件必做的一件事就是覆写或者锁定文件系统。”他指出,与覆写或者锁定数据相关的线性活动使我们很容易检测到勒索软件。Bartholomew说:“如果把系统中所有的文件看成是一个列表,那么勒索软件就会按照列表顺序开始对文件进行加密。”
  黑客们也是越来越聪明,试着去改变勒索软件的可预测性,以避免被检测到。下面介绍了他们正在使用的一些新伎俩。
  减慢加密过程
  Bartholomew说:“一些勒索软件的创造者们把加密过程分散开来,这样就不会一次完成加密。而是在一段较长的时间内完成。”目的是让自己低于任何检测工具的触发阈值。Bartholomew解释说:“例如,防病毒软件会检测是否出现了10秒内访问1000个文件这种情况。那么,黑客们会把时间间隔延长到10分钟以上,这样就检测不到什么东西。我们看到这种情况越来越多了。”他补充说,黑客们把加密过程延展到很长一段时间,这样带来的一大危险是备份文件也可能被加密。
  加密过程被随机化
  勒索软件制造者也一直在对其加密或者覆写文件所采用的方法进行随机化处理,而不是线性地把文件过一遍。这有助于避免被使用寻找线性模式的反勒索软件工具检测到。
  通过文件而不是电子邮件传播勒索软件
  电子邮件中的恶意链接仍然是传播勒索软件最常用的方法。企业加强了对员工的教育,告诉他们不要点击可疑电子邮件链接,一些勒索软件犯罪分子随之开始改变策略。他們不再使用链接,而是PDF、微软Word或者其他常见文件类型等文档附件。这类文档会包含启动勒索软件的脚本。
  CyberSight公司销售反勒索软件产品,该公司首席运营官Hyder Rabbani指出:“我们现在看到的是,原本无害的PDF文件和JPEG照片现在携带了能够植入到企业环境中的恶意程序。你可能会收到一条短信,上面写着,‘这是’您的发票,或者‘这里’有您的照片。人们总是会点击这些东西。”
  加密硬盘卷标
  更恶劣的是,一些黑客绕过文件,直接对硬盘卷标下手。Bartholomew说:“我们看到有人瞄准了硬盘最核心的地方,主引导记录。这是硬盘的根本。如果他们能破坏这些地方,他们就可以控制硬盘其余的部分来进行勒索,不需要加密每一个文件。”
  使用多态编码
  多态编码的使用也使得更难以检测到勒索软件。Bartholomew说:“对于恶意软件安装在不同受害者上的每一具体情形,它都会稍微改变其编码,然后再去扩散。这样,静态的方法很难检测到勒索软件文件。”
  Rabbani指出,检测工作的难点在于多态编码变化的频次——快到每15秒或者20秒就变一次。他说:“一旦确定了勒索软件的签名,就比较容易去阻止它。然而,随着编码的不断变化,它看起来是某种新型勒索软件,那就很难去阻止它。”
  使用多线程攻击
  典型的勒索软件攻击一般会启动一个进程来执行加密。在多线程勒索软件攻击中,勒索软件主代码会启动多个子进程来加速加密过程,使其很难被停止。Rabbani介绍说:“你也许能停止一两个进程,但其他的会继续执行,直至造成损害。要停止并行攻击更是难上加难。”
  Rabbani见识过的恐怖场景是,多线程攻击结合了多态勒索软件。他说:“处理器和内存很快就会过载,所有的进程都会迅速慢下来。”
  7.提高勒索软件编程技巧
  随着勒索软件开发者不断提高自己的技巧,解密变得越来越困难。Bartholomew指出:“获得解密工具依赖于一些因素。例如,勒索软件作者在实施加密过程中犯了错误。他们没有管理好密钥,或者他们使用可预测的数字发生器来产生密钥。”利用这些错误,研究人员便能够找到勒索软件解密密钥。
  Bartholomew说:“这种情况经常发生。通常,写这些东西的人并不是加密专家。”然而,他注意到这也出现了变化,新版本的Crysis勒索软件便是这种情况。“在Crysis的早期版本中,作者在加密上犯了错误,所以我们能编写解密程序。现在他们修复好了,没有办法解密,我们只好一点点仔细地去梳理它。”
  8.利用勒索软件声东击西
  Bartholomew看到去年大幅攀升的另一趋势是,网络犯罪分子利用勒索软件作为转移注意力的手段,以隐藏其他类型的攻击,或者更容易去实施别的破坏活动。“他们把勒索软件当作一种普通的破坏攻击手段,背后是一些政治企图,或者要在互联网上造成严重破坏,也有可能把勒索软件当作一种掩饰,能让他们在其他地方安装恶意软件。”
  使用勒索软件获取经济利益仍然是犯罪分子最常见的动机。据SentinelOne最近的一项调查显示,所有勒索软件攻击中的62%是为了经济利益,而38%是为了破坏业务。只有24%的攻击是出于政治动机。Bartholomew担心这可能会改变。“我们发现了一些的确越过底线的犯罪分子,一旦越过底线,情况会变得更糟。更多的犯罪分子将采用这种技术。”他引用了一波WannaCry勒索软件攻击的例子,这波攻击让文件无法解密。
  新闻中经常出现的最可能发动破坏性勒索软件攻击的两类组织是以伊朗和朝鲜为代表的国家资助的犯罪分子组织,以及黑客组织。Bartholomew说:“这不是一名高中生能做的。要发动一场成功的破坏性攻击,需要利用漏洞。”他引用了WannaCry,这一勒索软件利用了大家都没有打上补丁的漏洞。“一旦开始,就根本没有办法阻止它的蔓延。”   企业要保护自己免受这类勒索软件攻击的唯一方法是,保持良好的安全习惯,确保员工得到了适当的勒索软件培训,并且有可靠的备份和恢复过程。Bartholomew指出,有些公司使用瘦客户机,在用户系统上没有硬盘,用户登录到虚拟系统中。他说:“这些都很容易恢复,因为它们是虚拟系统。”
  9.很少把现代操作系统作为攻击目标
  与以前的版本相比,最新版本的微软Windows 10和苹果MacOS让勒索软件攻击者很难得手。然而不幸的是,还有数以百万计运行旧操作系统而且没有打上补丁和进行更新的系统仍在使用中。
  Rabbani说:“针对新操作系统的攻击还不太常见,只是因为更容易攻击已知漏洞而已。”他指出,CyberSight在Windows XP系統上提供勒索软件保护方面有“巨大的客户需求”。他说:“例如,几乎每天都有在所有POS(销售点)系统上运行XP的客户和我们联系,他们发现自己存在可能被利用的漏洞。”
  10.寻找横向跨网的新方法
  Rabbani预计,勒索软件的横向跨网移动将“大幅上升”。例如,用户会在星巴克或者酒店里使用移动设备,那么有人就有可能通过被攻破的通信端口在设备上加载恶意软件。他说:“从这些地方,他们可以穿过网络进入公司服务器。这种情况可能会越来越多。”
  11.延缓勒索软件攻击
  Rabbani预计很快出现的一种战术是他所谓的“放置复活节彩蛋”,勒索软件感染系统,但处于休眠状态,一段时间后才被激活。他说:“有人可能会利用被攻破的凭据来植入勒索软件复活节彩蛋,一直隐藏下去。”在此期间,寻找机会来传播恶意软件。
  研究人员怎样适应不断变化的勒索软件威胁
  这些适应措施都有可能检测到勒索软件。Bartholomew在谈到卡巴斯基怎样适应勒索软件新策略时说:“必须把每一个勒索软件都当成是已知的,并针对它编写检测代码。分析它,看看它是怎样工作的,然后改变自己的检测方法。这是一场持续不断的猫捉老鼠的游戏。”
  一些反勒索软件工具采用了更为数据驱动的方法来对抗勒索软件不断变化的特性。例如,ShieldFS的开发者称自己的工具是“能够自我恢复、能够感知勒索软件的文件系统。”ShieldFS在去年夏天的黑帽USA大会上宣布建立了基于公开数据集的检测模型,该模型使其能够区分勒索软件行为和正常进程之间的区别。如果检测到勒索软件,ShieldFS能够自动恢复受损文件,使其恢复到勒索软件攻击前的状态。
  ShieldFS目前是NECSTLab.DEIB在意大利米兰的一个研究项目。你可以在从那里找到技术说明。那里还介绍了ShieldFS在黑帽大会上所做的WannaCry演示。
  良好的协作和沟通也是对抗勒索软件的重要因素。Bartholomew引用了卡巴斯基实验室共同发起的一个名为“拒绝勒索!”的项目。该项目收集并提供勒索软件解密工具,提出预防建议,以及向社区报告勒索软件犯罪的方法。
  与执法部门合作是“拒绝勒索”的一个重要因素!Bartholomew说:“我们可以通过让执法部门捕获攻击者使用的服务器来帮助我们获得密钥。”如果私有密钥在服务器上,项目成员可以通过网站并编写解密工具来得到密钥。
  一些勒索软件通过伪装或者修改勒索软件数字签名来避免被检测到,对此,有些供应商重点采用行为分析,有时利用机器学习来进行识别。这一方法对于已知威胁是有效的,但对于新型勒索软件,由于没有识别所需要的足够的数据,因此对新勒索软件不太有效。
  面临的挑战是识别新威胁,建立行为分析检测所需的数据集,然后尽快将这些数据集分发给所有需要的人们。这就是CyberSight在其RansomStopper产品上所做的。Rabbani说:“我们培育了最新最好的勒索软件毒株,然后通过运行我们的软件来观察其行为。”
  然后,他们使用机器学习为每个毒株创建基于机器的解决方案。Rabbani介绍说,通过联合云环境推出这些解决方案,在每一个运行CyberSight软件的系统上更新算法。
  机器学习将在识别勒索软件新变种方面发挥更大的作用。有人建议用它来预测某一毒株在早期版本的基础上经过迭代后会发生怎样的变化。这项工作还主要是理论上的,但它表明了机器学习最终能预测新的勒索软件威胁,为新出现的威胁做好准备。
其他文献
也许用户已经将自己的首个云原生Node.js应用程序部署到了亚马逊网络服务(AWS)上,随后又领受了将多个旧版.NET应用程序移植到公有云上的任务。那么用户这时是应当首先尝试使用Amazon Lightsail,还是应当评估微软Azure针对 .NET开发人员所提供的选项呢?  亦或是,用户的团队需要将正在Azure上运行的应用程序安全地与数据科学团队部署在谷歌云平台(Google Cloud P
毫不奇怪,新版《爱立信移动报告》看好5G技术的未来。本文简要介绍一些最重要的预测数据。  “随着一个又一个市场开启5G,我们正处在真正意义上的关键时刻。此前没有任何一代移动技术能够像5G那样推动经济的增长。它超越了人的互联,将全面实现物联网(IoT)和第四次工业革命。”这是2019年6月《爱立信移动报告》的开篇段落。  几乎所有重大的技术进步现在都要经历Gartner所说的“炒作周期”。如今,大家
[摘要]国民二军是20世纪20年代中国政局中的重要军事集团。北京政变后,由于种种原因国民二军毅然走上联俄之路。在苏联政府的大力援助下,国民二军获得迅猛发展。它的发展壮大,不仅直接打击了北洋军阀的统治,使河南和陕西境内的革命运动迅速高涨,为国民军经营西北打下基础,同时也有力地配合了南方巩固革命政权的军事行动。  [关键词]大革命时期,国民二军,苏联  [中图分类号]K26 [文献标识码]A [文
大半个世纪以来,围绕“中国社会史论战”、“中国古史分期问题”、“中国资本主义萌芽问题”等问题有过几次激烈的争论,然至今聚讼未决,难获共识,原因之一,便是“封建”等核心概念没有厘清。“封建”概念原本创制于中国,又由近代日本借以对译西文的新名,逆输入中国后逐步异化。20世纪20年代以降,随着苏俄和共产国际泛化封建观及“五种社会形态学说”传人中国,将以“君主专制”和“地主经济”等“非封建”的秦汉至明清称
边荣国 金鹏电子信息机器有限公司  副总经理兼CIO  曹光正 金杜律师事务所  信息系统管理部CIO  陈杰 青岛汉河集团股份有限公司  信息化推进办公室主任  陈俊辉 瑞昌市人民政府  信息化工作办公室主任  方军 浙江正泰网络科技有限公司  信息化部经理  封磊 江苏德惠集团  数字运营中心高级副总裁兼首席数字官  国庆义 烟台欣和企业食品有限公司  信息技术与创新产品中心CIO  何坤 易
与构建现场数据中心相比,能够以更低的价格和延迟,轻松访问多个云服务提供商,使得托管数据中心成为一个具有吸引力的选项。  数据中心工作负载正在发生迁移,但是迁移的目的地不仅仅是云端。它们正越来越多地转向托管设施,以作为私有数据中心的替代方案。  什么是托管数据中心  托管数据中心设施,即“colo”是一个数据中心,企业可以在其中为他们购买的服务器和其他计算硬件租用空间,但是管理工作由托管服务提供商负
有一个比我们正在使用的互联网好得多的互联网。但为什么用不上呢?  有一個版本的互联网要比我们正在使用的互联网好得多。  我们称其为超级互联网(Super Internet)。  超级互联网速度更快,功能更强大,而且更安全,更私密,它让大多数人访问不到的热门网站具备了模块化特性。  我认为数以百万计的人以及成千上万的企业都能够得益于超级互联网。  但是他们访问不到,因为他们不知道它的存在。  这就是
人工智能正在迅速成为企业的当务之急。无论是提高效率,寻找新商机,还是与时俱进,亦或是想在竞争中取得领先,各行各业的企业都在探索人工智能的商业优势,仅在过去的一年中人工智能的采用率就增加了两倍。  对于一些企业来说,这意味着从头开始构建人工智能系统。但是市场研究机构Gartner表示,找到合适的人才既困难又价格不菲,而且85%的人工智能项目有很高的失败风险。即使项目构建成功了,市场上的供应商也可能很
[摘要]马士作为研究中国问题的历史学家和长期在中国海关任职的税务司,其学术生涯和职业生涯在学术界已有一定的研究,本文尝试揭示马士在华期间作为通商口岸外国人领袖的社会生涯。1907年,马士在上海担任海关总税务司署造册处税务司期间,广泛参与亚洲文会北中国支会、中国基督教青年会和美商中华协会的各项活动,并在这些团体中担任重要职务,同时,马士还主持迎接了访问上海的美国陆军部长塔夫脱。本文试图说明,海关官员
分析平台生成的报告中总是有大量晦涩难懂的数字。如果以详细的彩色图形来显示这些数字,那么情况又会是另外一番局面。虽然这些图形也是分析软件生成的,但是大多数非技术用户却可以轻松掌握瞬息万变的发展趋势。  数据可视化工具将数据以可视化的形式表现了出来,例如创建图形、表格、导航图等,这使得分析对于业务用户来说更具意义。  鉴于人类大脑处理信息的方式,使用图表等图形元素实现复杂数据的可视化要比使用电子表格等