近期勒索病毒事件
2018年2月,SamSam勒索软件感染科罗拉多州交通部,科罗拉多州当局最终为清除该感染花费了150万美元;2018年12月,莫斯科新缆车(市内轨交)的计算机系统遭遇勒索病毒入侵;(交通运输)
2019年1月,新型勒索软件LockerGoga攻击挪威铝制造巨头公司Norsk Hydro,造成其关闭网络之后仅仅几天,又被发现疑似入侵了另外两家美国化学公司Hexion和Momentive的计算机网络;(工业网络)
2019年3月9日发现的一款恶意软件袭击了英格兰与威尔士联邦警署(PFEW);(政府)
2019年3月11日开始,我国多地政府及医院遭遇勒索病毒攻击。
说起勒索病毒,其实最早从2006年开始就进入了中国大陆并在当年感染581例(国家计算机病毒应急处理中心统计),而真正让其“家喻户晓”则是2017年著名的“永恒之蓝”病毒的爆发,其范围之广,涉及系统之重要,让所有IT管理者闻之色变,遂掀起了一轮勒索病毒防范高潮,包括:
1. 打补丁:及时更新系统补丁,修补漏洞;
2. 改口令:对系统内服务器、主机均强行实施复杂密码策略,杜绝弱口令;
3. 关端口:尽量关闭不必要的文件共享及不必要的系统服务端口;
4. 装软件:安装终端防护软件及防病毒软件,并保证病毒库最新;
5. 重规划:合理规划网络区域,强化业务数据备份等;
手忙脚乱一阵,安全管理人员仍提心吊胆,究其原因,无外乎两方面:
一是“敌暗我明”,所谓勒索病毒/恶意软件及其变种层出不穷,隐藏技术和攻击手段难以预知,防不胜防;
二是传统防范措施防病毒软件已日渐苍老,不堪大用,靠特征比对,简单行为分析已难以识别和防范勒索病毒等新的安全威胁。
• “知彼知己,百战不殆。”
勒索病毒,早期叫勒索软件或勒索程序,是恶意软件或者叫恶意代码的一种,严格讲,勒索病毒是一种木马而不是病毒,木马和病毒是两种截然不同的威胁:
1. 隐蔽性。本质上,病毒极具感染性,且感染易发现;而木马则出于本身“任务”的特殊性要隐藏其行踪,以便“开展工作”。从这一点来讲,木马更强调隐蔽和伪装,近期发现的Clop勒索病毒会冒用有效的数字签名,骗取系统及防病毒软件的信任,披上“合法外衣”,令一般的防治手段形同虚设;
2. 危害性。病毒一般以破坏系统文件或控制系统为目标,而木马则带有明确的目标性。目标多为钱财或数据或政治利益,危害性更大。勒索病毒之所以被称为勒索,正是由于其索取利益的目标特征;
3. 复杂性。从已知的勒索病毒及其变种来看,传播手段包括利用系统漏洞、利用垃圾邮件、广告以及U盘等,可以说无论是在线系统或是隔离网络,均可能被感染;而从加密手段上,最新发现的勒索病毒会采用RSA+AES高强度加密文件,理论上破解毫无可能;
4. 广泛性。勒索病毒已有感染事例涵盖了世界各地各个国家的政府、高校、交通、制造、医院等,可以说无孔不入,尤其近期在我国主要以政府和医院被感染事例较多。
那么,中了勒索病毒,被加密的数据文件是否可以找回,可以。
第一种是按照勒索病毒感染后留下的线索提交“赎金”,可能拿到解开数据文件的密钥,从而恢复数据文件,但仅仅是可能,这个可能性目前看相当小,一般应急处置时安全专家都会建议直接格式化硬盘重做系统;
另一种是利用数据恢复类软件,针对勒索病毒加密数据文件后会将原数据文件删除的机制,努力恢复硬盘上的原文件,众所周知,此种方法要求硬盘第一时间“封盘”————感染后不做任何读写动作,可找回的几率很小。
由此看来,被加密数据文件是否可以找回,可以,但可能性极小。
• “工欲善其事,必先利其器。”
既然勒索病毒如此“狡猾狠毒”,该以何法处之呢?
近期无论是传统防病毒厂商还是传统网络安全厂商,均在各自产品中增加了EDR(终端检测与响应)技术/功能,来应对勒索病毒危害,EDR突出对终端的检测与响应,其中检测是根本,传统检测手段主要依靠特征比对,而EDR则突出行为检测,对系统中进程的行为进行实时检测以发现潜在威胁。一般性的关键系统文件访问、系统进程调用、网络访问等行为容易被检测,而对于勒索病毒及其变种则难以通过简单的检测奏效,因其为隐藏行踪,除了前文提到的取得“合法身份”变种之外,对于一些传统行为检测技术的防范也是勒索病毒必修之功课,如何检测并识别勒索病毒及其变种成为EDR首要技术任务。
1. 沙箱技术。Sandbox(又叫沙箱、沙盘) 是一个虚拟系统程序,允许在沙盘环境中运行浏览器或其他程序,运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。作为一个独立的虚拟环境,可以用来测试不受信任的应用程序或上网行为。利用沙箱技术,可以测试多数恶意代码程序,并令其 “现出原形” ,以做好防范。缺点是沙箱技术虚拟的系统环境相对简陋,对于一些高级木马变种尤其是勒索病毒已知变种来看,骗过沙箱检测技术已不无可能,沙箱技术已显落后。
2. 蜜罐技术。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。看起来蜜罐技术可以高明很多,作为靶机,诱使攻击方展开攻击,且不说是否能骗过勒索病毒及其变种,令其展开攻击并被有效收集,蜜罐被狡猾的入侵者反利用来攻击别人的例子也屡见不鲜,只要管理员在某个设置上出现错误,蜜罐就成了打狗的肉包子。
3. 仿真诱捕技术。“兵者,诡道也。故能而示之不能,用而示之不用,近而示之远,远而示之近;利而诱之,乱而取之,实而备之,强而避之,怒而挠之,卑而骄之,佚而劳之,亲而离之。攻其无备,出其不意。此兵家之胜,不可先传也。” ─《孙子兵法》。仿真诱捕古有研究,而作为网络防御技术前几年也有相关专家作过研究,EDR时代,仿真诱捕技术再次被启用,构建高仿真系统,设置勒索病毒感染陷阱,诱捕勒索病毒发作现身,针对具有反沙箱、蜜罐逃逸技术特征的恶意代码变种有奇效。
圣博润恶意代码检测与防御系统(简称LEDR),采用机器学习及大数据分析技术、高级行为分析技术和漏洞利用检测技术,结合有效的威胁情报,针对勒索软件等高级威胁提供及时检测和快速响应。高级行为分析技术核心即高仿真诱捕技术,LEDR利用此技术检测并识别勒索和零日恶意代码攻击。
