为什么勒索软件会不断躲避防御？

通过 | 译者 Nir ​​Gaist | 刘志勇 自1989年以来，组织的网络防御未能全面防御勒索软件。

长期以来，勒索软件一直是对组织和消费者的威胁。 全球每年的损失估计约为 100 亿美元。 这么多年过去了，为什么勒索软件仍然如此普遍且具有破坏性？ 答案是，安全行业对勒索软件的反应基本上是勒索软件开发者如何利用心理学诱使用户认为他们是在响应同事的请求，甚至是向儿童慈善机构捐赠比特币的无效历史。

勒索软件并不是什么新鲜事物，因为它自 1989 年以来一直存在。但是，它仍然是当今最常见和最成功的攻击类型之一。 仅在 2018 年上半年，就报告了超过 1.8 亿次勒索软件攻击。 加密货币和 Tor 的采用大大增加了勒索软件的流行。

“尽管在网络安全方面投入了数十亿美元，并且公司部署了数十年的防火墙和防病毒解决方案，但勒索软件仍然远远落后。 要了解原因，需要研究恶意软件的工作原理以及我们现有的防御措施为什么会失败。”

每 14 秒，世界上某个地方的组织就会成为勒索软件攻击的目标。 然而，黑客并不局限于他们的关注点，他们往往同时针对许多组织和用户。 例如比特币加密器，让我们回想一下肆虐全球并造成近 40 亿美元损失的 WannaCry 攻击。

勒索软件如何运作

研究勒索软件攻击如何渗透系统或组织的细节，即它的攻击媒介是无关紧要的。 因为它可能是网络钓鱼，所以它可能会暴露 RDP（远程桌面协议）或勒索软件开发人员可以利用的其他途径。

相反，让我们看看当勒索软件实际与您的文件系统交互并加密数据时会发生什么。 首先，勒索软件进程找到它想要加密的文件。 这些通常基于文件扩展名并以最有价值的资产为目标，例如 Microsoft Office 文档或照片，同时完整保留操作系统的文件以确保系统仍可正常启动。 然后，恶意软件会加密存储中的数据并破坏原始文件。

勒索软件使用的一种方法是将加密数据保存到新文件中，然后删除原始文件。

另一种可能是最隐蔽的方法是将加密数据写入原始文件本身。 在这种情况下，原始文件名保持不变，因此很难区分加密文件和未加密文件，使恢复工作变得复杂。

第三种方法是让勒索软件像第一种方法一样创建一个新文件，但它不是删除原始文件，而是使用重命名来替换原始文件。

完成加密过程后，勒索软件会显示臭名昭著的提示。 这部分情况我们早就从新闻报道中非常清楚地知道了。

安防行业做得不够好

现在您已了解勒索软件如何与文件交互以加密和破坏原始文件，让我们来看看安全行业为阻止勒索软件攻击而开发的五种最常见的解决方案。 不幸的是，这些选项都不能始终如一地工作。

第一种技术：静态文件分析。 用于防病毒、反恶意软件或 EPP 产品中恶意软件检测的相同技术。 这些产品寻找已知的恶意代码行为或序列、字符串，例如那些常见的目标文件扩展名列表，以及勒索软件提示中经常出现的常用词（例如比特币、加密等）。 这是一种基于签名和机器学习来检测恶意代码的方法。

这种方法有几个优点，包括产生较低的假阳性 (FP) 率。 基于签名的防病毒软件很少将良性文件标记为恶意文件，这一点很重要，否则安全专业人员可能会被错误警报淹没并遭受警报疲劳。 还有一点很重要的是，这种技术不会等待勒索软件执行，而是在它执行之前将其停止，这样就不会造成伤害，也不会加密任何文件。

注释：真实类是指模型正确地将正类样本预测为正类。 同理，真正的负类是指模型将Fu类的样本正确预测为负类。 假正类是指模型将正类样本错误预测为正类，假负类是指模型将正类样本错误预测为祝福类。

报警疲劳（英语：alarm fatigue）是指暴露者在大量、频繁的报警中出现的脱敏现象。 脱敏会导致反应时间变长，甚至会忽略重要警报。 许多行业都会出现警报疲劳，包括但不限于：建筑、采矿和医疗。 《狼来了》就是警报疲劳的一个例子。

然而，事实证明静态分析太容易被攻击者绕过。 恶意软件编写者可以使用加壳程序、加密程序和其他工具来混淆和更改其签名，从而轻松绕过此问题。 业内众所周知，大多数现代和下一代防病毒解决方案的有效性约为 50-80%，这意味着多达一半的攻击未被发现。

Nyotron 研究团队最近对领先的防病毒工具的有效性进行了一项研究，不是针对新的高级攻击，而是针对已经存在多年（在某些情况下为数十年）的旧的已知恶意软件软件。 我们执行的各种测试包括对旧恶意软件的简单修改，以实现签名的细微变化。 结果，检测效率显着下降，在某些情况下甚至下降到 60%。 同样，这是针对旧的已知恶意软件。

第二种技术依赖于勒索软件常用的文件扩展名黑名单，并将其传送到加密文件。 优点与现有技术相似：误报率低。 它会立即停止勒索软件加密，因此不会造成任何伤害，也不会加密任何文件。

但是，它也很容易绕过。 只需提供新的或随机的文件扩展名，即可轻松绕过勒索软件。 例如，CryptXXX 和 Cryptowall 变体使用随机扩展而不是特定扩展。 或者，勒索软件可以保留原始文件名和原始扩展名。

第三种技术使用所谓的“蜜罐文件”，通过诱骗文件并监视攻击者如何尝试更改它们来欺骗攻击者。 一旦触及，即视为攻击。 然而，这种技术有几个缺点，包括：

第四种检测技术是监视文件系统在一段时间内是否有大量的文件操作，例如重命名、写入或删除。 如果超过定义的阈值，则终止违规进程。 这种技术的好处在于它不依赖于某些特定的签名或文件扩展名，而是依赖于通常与勒索软件相关的异常活动。

但是，某些文件将被加密，直到超过定义的阈值。 恶意软件还可以通过使用“缓慢和缓慢的方法”来绕过这种检测方法，例如在加密之间添加延迟或产生多个加密过程。

第五个值得注意的方法是跟踪文件数据的变化率。 安全产品通过熵计算来衡量文件中数据的随机性。 与以前的方法一样，在检测到某个更改阈值后，违规进程被认为是恶意的并中止。

与上述动态技术相比，这种方法的误报率较低。 缺点包括文件将被加密，直到达到一定的置信度，因此无法避免所有损坏。 此外，可以通过仅加密部分文件或加密块来绕过此技术。 或者，使用多个进程进行加密也是一种有效的规避技术。

“大多数现代安全产品都试图利用这些技术中的一些甚至是其中大部分技术的组合来提高其有效性，并取得了不同程度的成功。但是，如果我们看看最近的一些勒索软件示例，就会清楚为什么这些方法都不是证明有效。”

CryptoMix，或其最新变体 DLL CryptoMix比特币加密器，就其技术本身而言并不是特别值得注意，但它已被证实可以绕过用户安装的一种领先的防病毒产品。 然而，真正让 CryptoMix 与众不同的是攻击者为增加受害者支付赎金的可能性而采取的方法。

他们声称来自帮助生病儿童的慈善机构，例如国际儿童慈善组织。 他们甚至拥有真正需要帮助的儿童的资料，希望如果受害者认为支付的部分赎金将捐给慈善机构，他们会更愿意支付。 但我向你保证，一分钱都不会给任何孩子。 这些恶魔！

LockerGoga 是一种勒索软件，它已经关闭了至少一个 Norsk Hydro 设施，造成的损失估计约为 4000 万美元。 据报道，Norsk Hydro 实际上部署了新一代杀毒产品，但 LockerGoga 无论如何都设法绕过了它。 为了绕过安全产品，它使用生成多个进程的方法对文件进行加密。 也就是说，要确保即使一个进程触及诱饵文件或被勒索软件检测技术终止，其他进程仍将继续加密。 至少有一个 LockerGoga 样本甚至使用了有效的数字签名，使其更值得静态分析技术信赖。 加密本身非常慢，但这可能是它长时间未被发现并造成严重破坏的原因。

Chimera 不是一种新型勒索软件，但它的独特之处在于它声称如果受害者不支付赎金，攻击者会将敏感数据（包括照片和视频）连同受害者的联系方式发布到互联网上. 他们是否真的这样做取决于你是谁以及你拥有什么样的数据，这肯定会鼓励你支付赎金。

当然，如果不提及 WannaCry，这份勒索软件列表就不完整。 毕竟，它可能是最著名的勒索软件，因为它影响了大约 150 个国家/地区的数十万个系统，造成的经济损失估计高达 40 亿美元。

让 WannaCry 更令人沮丧的是它是完全可以预防的。 为了安全起见，组织唯一必须做的就是用最新的补丁更新操作系统。 微软在攻击发生前两个月发布了针对该潜在漏洞的补丁。

防范勒索软件

WannaCry 给所有组织上了重要一课：保持所有补丁都是最新的。

“你的组织可能仍在为基本资产管理而苦苦挣扎。换句话说，你不知道你拥有什么。如果你真的不知道你拥有什么，你怎么能保护它呢？”

实施可靠的备份策略。 您可能已经实施了适当的实施来保护您的服务器，无论是在本地还是在云端。 但是，重要的是您要意识到端点也处于危险之中，因为这至少是您公司的部分知识产权所在的地方。

最后，大多数安全解决方案和流程只是追捕“坏人”，这是一场你赢不了的猫捉老鼠游戏。 事实上，世界上有如此多的恶意软件，只需一次成功的攻击就能让您的 IT 系统瘫痪。

使用完全相反的方法来补充现有的安全层并确保什么是“好”的。 请注意，我使用了“补充”一词。 我并不是在提倡您停止使用现有的解决方案。 虽然单一的检测技术可能不是很有效，但是结合一些技术还是可以在一定程度上防止商业勒索病毒的发生。 通过应用类似白名单的方法，将这些工具与那些跟踪良好的工具相结合。 这不仅创建了一个真正的纵深防御模型，而且还作为抵御恶意软件和勒索软件的最后一道防线，能够逃避您的前线防御，例如防病毒。

原文链接

字节跳动的私有云平台TCE承载了今日头条、抖音、字节跳动的国际业务等数以万计的内部在线微服务。 机器负载越高，操作和维护就越困难。 为提高资源利用率，通过动态超订实现业务实例的高密度部署，通过优化Kubernetes资源模型有效保障时延敏感业务的QoS。 具体在7月12日的深圳ArchSummit架构师峰会上，可以找到一些针对容器化场景下运维痛点的解决方案。扫描二维码或点击阅读原文，了解详情。

全价期请联系票务汇汇17326843116报名