本帖最后由 mr.bo 于 2018-8-15 20:05 编辑
勒索软件保护
通过使用多层保护堆栈中的技术,在恶意软件交付及运行阶段防范勒索软件。 勒索软件是一种特洛伊木马,通过修改受害者电脑上的用户数据,使受害者无法再使用数据或正常运行电脑。一旦数据被“人质劫持”(被锁定或加密),用户就会收到支付赎金的要求。最后告诉受害者为犯罪分子支付赎金;收到消息后,网络犯罪分子承诺向受害者发送用于恢复数据或恢复电脑的程序。 勒索软件是目前网络世界最受欢迎的威胁之一,原因如下: · 这种威胁具有十分明确的货币模式 · 这种恶意软件很容易实现 勒索软件可能很复杂也可能很简单,具体取决于被计划的受害者: · 常见的勒索软件通过恶意垃圾邮件、漏洞攻击工具包等方式广泛传播 · 复杂的勒索软件被用于针对性攻击 勒索软件攻击有几个阶段: · 交付到受害者的计算机:垃圾邮件中的恶意附件,漏洞利用,在针对性攻击中渗透 · 执行:加密重要的用户文件 · 索取赎金 · 数据解密(可选) 为了有效防范勒索软件,安全解决方案必须使用一个多层保护模型。卡巴斯基实验室的下一代多层次保护可以使产品在攻击的交付及执行阶段检测勒索软件。让我们更深入地了解这些阶段。 交付阶段:垃圾邮件中的恶意附件 如今,分发勒索软件最常见的方法之一是在电子邮件(垃圾邮件)中发送带有可执行脚本的档案。作为一个替代方案,带有恶意宏的微软Office文档也将用作附件。 在卡巴斯基实验室的产品中,组件Mail AV分析整个消息的内容(包括邮件附件),并对其应用强大的启发式方案。 交付阶段:漏洞利用 自动漏洞保护(AEP)是一种特殊组件,它被用作阻止恶意软件(包括勒索软件)通过软件漏洞进行渗透。受AEP保护的重要应用程序包括浏览器、办公应用程序、PDF阅读器等。对于上述软件的每个可疑操作,例如子进程启动,该组件应用针对它们的恶意行为模式的额外安全性分析。AEP有助于阻止勒索软件,包括CryptXXX和许多其他软件。 2017年,全世界都意识到使用网络漏洞作为勒索软件分发的方法。通过SMB漏洞利用,WannaCry勒索软件感染激增。这种漏洞只能在网络层面阻止。卡巴斯基实验室的产品具有用于网络流量分析的特殊组件——入侵检测系统(IDS)。该组件分析低级别的网络数据包,并对其使用启发式分析来检测恶意网络波动。该组件成功检测到了EternalBlue/Eternalromance漏洞利用。这有助于阻止WannaCry感染。 执行阶段 威胁开发者试图通过不同的方法绕过静态检测。在这种情况下,行为检测成为最后强大的防线。分析每个进程活动来揭示恶意模式。之后,产品终止进程并回滚更改。基于行为的检测即使在面对未知威胁,包括勒索软件也是有效的。基本的勒索软件模式包含几个步骤: 1、在受害者电脑上找到重要文件 2、阅读每个文件的内容 3、加密内容并保存更改到磁盘 针对这类恶意行为模式,行为引擎阻止进程并回滚更改。通过这种模式成功检测勒索软件的例子包括Polyglot,WannaCry(恶意软件的加密部分)等。 勒索软件的检测不受上述模式的限制,其他许多模式也可以有效地抵御这类威胁。 2017年7月勒索软件ExPetr的攻击证明了这种方法的有效性。威胁开发者使用Petya勒索软件的低级部分作为主文件表(MFT,包含NTFS文件系统的所有文件,目录和文件元数据)加密。为了执行它,它们运行了一个高级组件,它会重写硬盘的主引导记录(MBR)。威胁行为引擎组件将此行为标记成恶意行为,并停止了这个过程。即使其他威胁开发者编写相似的勒索软件,无论使用什么类型的混淆/反仿真技术,它的功能也会失效。 针对性攻击中的勒索软件 2017年,卡巴斯基实验室注册了几个攻击组织的小组,主要目标是:加密他们的数据。 在许多针对性攻击的情况下,使用了用于磁盘、文件加密的合法程序。例如,使用 Cryptor进行加密,使用PSExec通过企业网络进行大规模安装。由于是在合法使用的情况下产生误报,因此对合法程序的静态和基本行为检测将十分低效。对于上述事例,通过PSExec程序进行加密的程序安装模式可能是可疑的,并且产品的相应保护措施将防止数据损坏,而不会为其他用户提供额外的错误警报。
| 
发表于 2018-8-15 20:02:53
