论文部分内容阅读
勒索软件检测和恢复工具以及相关技术正变得越来越强。然而,勒索软件开发者也是如此。他们让勒索软件更难以被发现,加密文件也更难以被恢复。
安全运营相对于勒索软件的优势之一是它能够做出预测。它以线性的方式工作,这样,安全工具和安全部门在检测到勒索软件后就有机会尽量减少损害。而我们现在看到的迹象表明,勒索软件的制造者们也在尽力让自己的所作所为不被预测到。
卡巴斯基实验室全球研究和分析部门(GReAT)高级安全研究员Brian Bartholomew介绍说:“在一天结束的时候,勒索软件必做的一件事就是覆写或者锁定文件系统。”他指出,与覆写或者锁定数据相关的线性活动使我们很容易检测到勒索软件。Bartholomew说:“如果把系统中所有的文件看成是一个列表,那么勒索软件就会按照列表顺序开始对文件进行加密。”
黑客们也是越来越聪明,试着去改变勒索软件的可预测性,以避免被检测到。下面介绍了他们正在使用的一些新伎俩。
减慢加密过程
Bartholomew说:“一些勒索软件的创造者们把加密过程分散开来,这样就不会一次完成加密。而是在一段较长的时间内完成。”目的是让自己低于任何检测工具的触发阈值。Bartholomew解释说:“例如,防病毒软件会检测是否出现了10秒内访问1000个文件这种情况。那么,黑客们会把时间间隔延长到10分钟以上,这样就检测不到什么东西。我们看到这种情况越来越多了。”他补充说,黑客们把加密过程延展到很长一段时间,这样带来的一大危险是备份文件也可能被加密。
加密过程被随机化
勒索软件制造者也一直在对其加密或者覆写文件所采用的方法进行随机化处理,而不是线性地把文件过一遍。这有助于避免被使用寻找线性模式的反勒索软件工具检测到。
通过文件而不是电子邮件传播勒索软件
电子邮件中的恶意链接仍然是传播勒索软件最常用的方法。企业加强了对员工的教育,告诉他们不要点击可疑电子邮件链接,一些勒索软件犯罪分子随之开始改变策略。他們不再使用链接,而是PDF、微软Word或者其他常见文件类型等文档附件。这类文档会包含启动勒索软件的脚本。
CyberSight公司销售反勒索软件产品,该公司首席运营官Hyder Rabbani指出:“我们现在看到的是,原本无害的PDF文件和JPEG照片现在携带了能够植入到企业环境中的恶意程序。你可能会收到一条短信,上面写着,‘这是’您的发票,或者‘这里’有您的照片。人们总是会点击这些东西。”
加密硬盘卷标
更恶劣的是,一些黑客绕过文件,直接对硬盘卷标下手。Bartholomew说:“我们看到有人瞄准了硬盘最核心的地方,主引导记录。这是硬盘的根本。如果他们能破坏这些地方,他们就可以控制硬盘其余的部分来进行勒索,不需要加密每一个文件。”
使用多态编码
多态编码的使用也使得更难以检测到勒索软件。Bartholomew说:“对于恶意软件安装在不同受害者上的每一具体情形,它都会稍微改变其编码,然后再去扩散。这样,静态的方法很难检测到勒索软件文件。”
Rabbani指出,检测工作的难点在于多态编码变化的频次——快到每15秒或者20秒就变一次。他说:“一旦确定了勒索软件的签名,就比较容易去阻止它。然而,随着编码的不断变化,它看起来是某种新型勒索软件,那就很难去阻止它。”
使用多线程攻击
典型的勒索软件攻击一般会启动一个进程来执行加密。在多线程勒索软件攻击中,勒索软件主代码会启动多个子进程来加速加密过程,使其很难被停止。Rabbani介绍说:“你也许能停止一两个进程,但其他的会继续执行,直至造成损害。要停止并行攻击更是难上加难。”
Rabbani见识过的恐怖场景是,多线程攻击结合了多态勒索软件。他说:“处理器和内存很快就会过载,所有的进程都会迅速慢下来。”
7.提高勒索软件编程技巧
随着勒索软件开发者不断提高自己的技巧,解密变得越来越困难。Bartholomew指出:“获得解密工具依赖于一些因素。例如,勒索软件作者在实施加密过程中犯了错误。他们没有管理好密钥,或者他们使用可预测的数字发生器来产生密钥。”利用这些错误,研究人员便能够找到勒索软件解密密钥。
Bartholomew说:“这种情况经常发生。通常,写这些东西的人并不是加密专家。”然而,他注意到这也出现了变化,新版本的Crysis勒索软件便是这种情况。“在Crysis的早期版本中,作者在加密上犯了错误,所以我们能编写解密程序。现在他们修复好了,没有办法解密,我们只好一点点仔细地去梳理它。”
8.利用勒索软件声东击西
Bartholomew看到去年大幅攀升的另一趋势是,网络犯罪分子利用勒索软件作为转移注意力的手段,以隐藏其他类型的攻击,或者更容易去实施别的破坏活动。“他们把勒索软件当作一种普通的破坏攻击手段,背后是一些政治企图,或者要在互联网上造成严重破坏,也有可能把勒索软件当作一种掩饰,能让他们在其他地方安装恶意软件。”
使用勒索软件获取经济利益仍然是犯罪分子最常见的动机。据SentinelOne最近的一项调查显示,所有勒索软件攻击中的62%是为了经济利益,而38%是为了破坏业务。只有24%的攻击是出于政治动机。Bartholomew担心这可能会改变。“我们发现了一些的确越过底线的犯罪分子,一旦越过底线,情况会变得更糟。更多的犯罪分子将采用这种技术。”他引用了一波WannaCry勒索软件攻击的例子,这波攻击让文件无法解密。
新闻中经常出现的最可能发动破坏性勒索软件攻击的两类组织是以伊朗和朝鲜为代表的国家资助的犯罪分子组织,以及黑客组织。Bartholomew说:“这不是一名高中生能做的。要发动一场成功的破坏性攻击,需要利用漏洞。”他引用了WannaCry,这一勒索软件利用了大家都没有打上补丁的漏洞。“一旦开始,就根本没有办法阻止它的蔓延。” 企业要保护自己免受这类勒索软件攻击的唯一方法是,保持良好的安全习惯,确保员工得到了适当的勒索软件培训,并且有可靠的备份和恢复过程。Bartholomew指出,有些公司使用瘦客户机,在用户系统上没有硬盘,用户登录到虚拟系统中。他说:“这些都很容易恢复,因为它们是虚拟系统。”
9.很少把现代操作系统作为攻击目标
与以前的版本相比,最新版本的微软Windows 10和苹果MacOS让勒索软件攻击者很难得手。然而不幸的是,还有数以百万计运行旧操作系统而且没有打上补丁和进行更新的系统仍在使用中。
Rabbani说:“针对新操作系统的攻击还不太常见,只是因为更容易攻击已知漏洞而已。”他指出,CyberSight在Windows XP系統上提供勒索软件保护方面有“巨大的客户需求”。他说:“例如,几乎每天都有在所有POS(销售点)系统上运行XP的客户和我们联系,他们发现自己存在可能被利用的漏洞。”
10.寻找横向跨网的新方法
Rabbani预计,勒索软件的横向跨网移动将“大幅上升”。例如,用户会在星巴克或者酒店里使用移动设备,那么有人就有可能通过被攻破的通信端口在设备上加载恶意软件。他说:“从这些地方,他们可以穿过网络进入公司服务器。这种情况可能会越来越多。”
11.延缓勒索软件攻击
Rabbani预计很快出现的一种战术是他所谓的“放置复活节彩蛋”,勒索软件感染系统,但处于休眠状态,一段时间后才被激活。他说:“有人可能会利用被攻破的凭据来植入勒索软件复活节彩蛋,一直隐藏下去。”在此期间,寻找机会来传播恶意软件。
研究人员怎样适应不断变化的勒索软件威胁
这些适应措施都有可能检测到勒索软件。Bartholomew在谈到卡巴斯基怎样适应勒索软件新策略时说:“必须把每一个勒索软件都当成是已知的,并针对它编写检测代码。分析它,看看它是怎样工作的,然后改变自己的检测方法。这是一场持续不断的猫捉老鼠的游戏。”
一些反勒索软件工具采用了更为数据驱动的方法来对抗勒索软件不断变化的特性。例如,ShieldFS的开发者称自己的工具是“能够自我恢复、能够感知勒索软件的文件系统。”ShieldFS在去年夏天的黑帽USA大会上宣布建立了基于公开数据集的检测模型,该模型使其能够区分勒索软件行为和正常进程之间的区别。如果检测到勒索软件,ShieldFS能够自动恢复受损文件,使其恢复到勒索软件攻击前的状态。
ShieldFS目前是NECSTLab.DEIB在意大利米兰的一个研究项目。你可以在从那里找到技术说明。那里还介绍了ShieldFS在黑帽大会上所做的WannaCry演示。
良好的协作和沟通也是对抗勒索软件的重要因素。Bartholomew引用了卡巴斯基实验室共同发起的一个名为“拒绝勒索!”的项目。该项目收集并提供勒索软件解密工具,提出预防建议,以及向社区报告勒索软件犯罪的方法。
与执法部门合作是“拒绝勒索”的一个重要因素!Bartholomew说:“我们可以通过让执法部门捕获攻击者使用的服务器来帮助我们获得密钥。”如果私有密钥在服务器上,项目成员可以通过网站并编写解密工具来得到密钥。
一些勒索软件通过伪装或者修改勒索软件数字签名来避免被检测到,对此,有些供应商重点采用行为分析,有时利用机器学习来进行识别。这一方法对于已知威胁是有效的,但对于新型勒索软件,由于没有识别所需要的足够的数据,因此对新勒索软件不太有效。
面临的挑战是识别新威胁,建立行为分析检测所需的数据集,然后尽快将这些数据集分发给所有需要的人们。这就是CyberSight在其RansomStopper产品上所做的。Rabbani说:“我们培育了最新最好的勒索软件毒株,然后通过运行我们的软件来观察其行为。”
然后,他们使用机器学习为每个毒株创建基于机器的解决方案。Rabbani介绍说,通过联合云环境推出这些解决方案,在每一个运行CyberSight软件的系统上更新算法。
机器学习将在识别勒索软件新变种方面发挥更大的作用。有人建议用它来预测某一毒株在早期版本的基础上经过迭代后会发生怎样的变化。这项工作还主要是理论上的,但它表明了机器学习最终能预测新的勒索软件威胁,为新出现的威胁做好准备。
安全运营相对于勒索软件的优势之一是它能够做出预测。它以线性的方式工作,这样,安全工具和安全部门在检测到勒索软件后就有机会尽量减少损害。而我们现在看到的迹象表明,勒索软件的制造者们也在尽力让自己的所作所为不被预测到。
卡巴斯基实验室全球研究和分析部门(GReAT)高级安全研究员Brian Bartholomew介绍说:“在一天结束的时候,勒索软件必做的一件事就是覆写或者锁定文件系统。”他指出,与覆写或者锁定数据相关的线性活动使我们很容易检测到勒索软件。Bartholomew说:“如果把系统中所有的文件看成是一个列表,那么勒索软件就会按照列表顺序开始对文件进行加密。”
黑客们也是越来越聪明,试着去改变勒索软件的可预测性,以避免被检测到。下面介绍了他们正在使用的一些新伎俩。
减慢加密过程
Bartholomew说:“一些勒索软件的创造者们把加密过程分散开来,这样就不会一次完成加密。而是在一段较长的时间内完成。”目的是让自己低于任何检测工具的触发阈值。Bartholomew解释说:“例如,防病毒软件会检测是否出现了10秒内访问1000个文件这种情况。那么,黑客们会把时间间隔延长到10分钟以上,这样就检测不到什么东西。我们看到这种情况越来越多了。”他补充说,黑客们把加密过程延展到很长一段时间,这样带来的一大危险是备份文件也可能被加密。
加密过程被随机化
勒索软件制造者也一直在对其加密或者覆写文件所采用的方法进行随机化处理,而不是线性地把文件过一遍。这有助于避免被使用寻找线性模式的反勒索软件工具检测到。
通过文件而不是电子邮件传播勒索软件
电子邮件中的恶意链接仍然是传播勒索软件最常用的方法。企业加强了对员工的教育,告诉他们不要点击可疑电子邮件链接,一些勒索软件犯罪分子随之开始改变策略。他們不再使用链接,而是PDF、微软Word或者其他常见文件类型等文档附件。这类文档会包含启动勒索软件的脚本。
CyberSight公司销售反勒索软件产品,该公司首席运营官Hyder Rabbani指出:“我们现在看到的是,原本无害的PDF文件和JPEG照片现在携带了能够植入到企业环境中的恶意程序。你可能会收到一条短信,上面写着,‘这是’您的发票,或者‘这里’有您的照片。人们总是会点击这些东西。”
加密硬盘卷标
更恶劣的是,一些黑客绕过文件,直接对硬盘卷标下手。Bartholomew说:“我们看到有人瞄准了硬盘最核心的地方,主引导记录。这是硬盘的根本。如果他们能破坏这些地方,他们就可以控制硬盘其余的部分来进行勒索,不需要加密每一个文件。”
使用多态编码
多态编码的使用也使得更难以检测到勒索软件。Bartholomew说:“对于恶意软件安装在不同受害者上的每一具体情形,它都会稍微改变其编码,然后再去扩散。这样,静态的方法很难检测到勒索软件文件。”
Rabbani指出,检测工作的难点在于多态编码变化的频次——快到每15秒或者20秒就变一次。他说:“一旦确定了勒索软件的签名,就比较容易去阻止它。然而,随着编码的不断变化,它看起来是某种新型勒索软件,那就很难去阻止它。”
使用多线程攻击
典型的勒索软件攻击一般会启动一个进程来执行加密。在多线程勒索软件攻击中,勒索软件主代码会启动多个子进程来加速加密过程,使其很难被停止。Rabbani介绍说:“你也许能停止一两个进程,但其他的会继续执行,直至造成损害。要停止并行攻击更是难上加难。”
Rabbani见识过的恐怖场景是,多线程攻击结合了多态勒索软件。他说:“处理器和内存很快就会过载,所有的进程都会迅速慢下来。”
7.提高勒索软件编程技巧
随着勒索软件开发者不断提高自己的技巧,解密变得越来越困难。Bartholomew指出:“获得解密工具依赖于一些因素。例如,勒索软件作者在实施加密过程中犯了错误。他们没有管理好密钥,或者他们使用可预测的数字发生器来产生密钥。”利用这些错误,研究人员便能够找到勒索软件解密密钥。
Bartholomew说:“这种情况经常发生。通常,写这些东西的人并不是加密专家。”然而,他注意到这也出现了变化,新版本的Crysis勒索软件便是这种情况。“在Crysis的早期版本中,作者在加密上犯了错误,所以我们能编写解密程序。现在他们修复好了,没有办法解密,我们只好一点点仔细地去梳理它。”
8.利用勒索软件声东击西
Bartholomew看到去年大幅攀升的另一趋势是,网络犯罪分子利用勒索软件作为转移注意力的手段,以隐藏其他类型的攻击,或者更容易去实施别的破坏活动。“他们把勒索软件当作一种普通的破坏攻击手段,背后是一些政治企图,或者要在互联网上造成严重破坏,也有可能把勒索软件当作一种掩饰,能让他们在其他地方安装恶意软件。”
使用勒索软件获取经济利益仍然是犯罪分子最常见的动机。据SentinelOne最近的一项调查显示,所有勒索软件攻击中的62%是为了经济利益,而38%是为了破坏业务。只有24%的攻击是出于政治动机。Bartholomew担心这可能会改变。“我们发现了一些的确越过底线的犯罪分子,一旦越过底线,情况会变得更糟。更多的犯罪分子将采用这种技术。”他引用了一波WannaCry勒索软件攻击的例子,这波攻击让文件无法解密。
新闻中经常出现的最可能发动破坏性勒索软件攻击的两类组织是以伊朗和朝鲜为代表的国家资助的犯罪分子组织,以及黑客组织。Bartholomew说:“这不是一名高中生能做的。要发动一场成功的破坏性攻击,需要利用漏洞。”他引用了WannaCry,这一勒索软件利用了大家都没有打上补丁的漏洞。“一旦开始,就根本没有办法阻止它的蔓延。” 企业要保护自己免受这类勒索软件攻击的唯一方法是,保持良好的安全习惯,确保员工得到了适当的勒索软件培训,并且有可靠的备份和恢复过程。Bartholomew指出,有些公司使用瘦客户机,在用户系统上没有硬盘,用户登录到虚拟系统中。他说:“这些都很容易恢复,因为它们是虚拟系统。”
9.很少把现代操作系统作为攻击目标
与以前的版本相比,最新版本的微软Windows 10和苹果MacOS让勒索软件攻击者很难得手。然而不幸的是,还有数以百万计运行旧操作系统而且没有打上补丁和进行更新的系统仍在使用中。
Rabbani说:“针对新操作系统的攻击还不太常见,只是因为更容易攻击已知漏洞而已。”他指出,CyberSight在Windows XP系統上提供勒索软件保护方面有“巨大的客户需求”。他说:“例如,几乎每天都有在所有POS(销售点)系统上运行XP的客户和我们联系,他们发现自己存在可能被利用的漏洞。”
10.寻找横向跨网的新方法
Rabbani预计,勒索软件的横向跨网移动将“大幅上升”。例如,用户会在星巴克或者酒店里使用移动设备,那么有人就有可能通过被攻破的通信端口在设备上加载恶意软件。他说:“从这些地方,他们可以穿过网络进入公司服务器。这种情况可能会越来越多。”
11.延缓勒索软件攻击
Rabbani预计很快出现的一种战术是他所谓的“放置复活节彩蛋”,勒索软件感染系统,但处于休眠状态,一段时间后才被激活。他说:“有人可能会利用被攻破的凭据来植入勒索软件复活节彩蛋,一直隐藏下去。”在此期间,寻找机会来传播恶意软件。
研究人员怎样适应不断变化的勒索软件威胁
这些适应措施都有可能检测到勒索软件。Bartholomew在谈到卡巴斯基怎样适应勒索软件新策略时说:“必须把每一个勒索软件都当成是已知的,并针对它编写检测代码。分析它,看看它是怎样工作的,然后改变自己的检测方法。这是一场持续不断的猫捉老鼠的游戏。”
一些反勒索软件工具采用了更为数据驱动的方法来对抗勒索软件不断变化的特性。例如,ShieldFS的开发者称自己的工具是“能够自我恢复、能够感知勒索软件的文件系统。”ShieldFS在去年夏天的黑帽USA大会上宣布建立了基于公开数据集的检测模型,该模型使其能够区分勒索软件行为和正常进程之间的区别。如果检测到勒索软件,ShieldFS能够自动恢复受损文件,使其恢复到勒索软件攻击前的状态。
ShieldFS目前是NECSTLab.DEIB在意大利米兰的一个研究项目。你可以在从那里找到技术说明。那里还介绍了ShieldFS在黑帽大会上所做的WannaCry演示。
良好的协作和沟通也是对抗勒索软件的重要因素。Bartholomew引用了卡巴斯基实验室共同发起的一个名为“拒绝勒索!”的项目。该项目收集并提供勒索软件解密工具,提出预防建议,以及向社区报告勒索软件犯罪的方法。
与执法部门合作是“拒绝勒索”的一个重要因素!Bartholomew说:“我们可以通过让执法部门捕获攻击者使用的服务器来帮助我们获得密钥。”如果私有密钥在服务器上,项目成员可以通过网站并编写解密工具来得到密钥。
一些勒索软件通过伪装或者修改勒索软件数字签名来避免被检测到,对此,有些供应商重点采用行为分析,有时利用机器学习来进行识别。这一方法对于已知威胁是有效的,但对于新型勒索软件,由于没有识别所需要的足够的数据,因此对新勒索软件不太有效。
面临的挑战是识别新威胁,建立行为分析检测所需的数据集,然后尽快将这些数据集分发给所有需要的人们。这就是CyberSight在其RansomStopper产品上所做的。Rabbani说:“我们培育了最新最好的勒索软件毒株,然后通过运行我们的软件来观察其行为。”
然后,他们使用机器学习为每个毒株创建基于机器的解决方案。Rabbani介绍说,通过联合云环境推出这些解决方案,在每一个运行CyberSight软件的系统上更新算法。
机器学习将在识别勒索软件新变种方面发挥更大的作用。有人建议用它来预测某一毒株在早期版本的基础上经过迭代后会发生怎样的变化。这项工作还主要是理论上的,但它表明了机器学习最终能预测新的勒索软件威胁,为新出现的威胁做好准备。