對付勒索軟體的方法主要以預防和響應為主。但是,檢測勒索軟體對于保護企業組織同樣重要。我們可以将勒索軟體檢測了解為勒索軟體體系化防護的事中階段,即勒索軟體已滲透到系統内部,但還未大規模爆發。在這一階段可以通過應用有效的監測防護手段,一方面防護的針對性較強,另一方面能夠降低勒索軟體爆發所産生的較嚴重後果。勒索軟體的檢測技術通常可以分為兩大類:基于終端、網絡的惡意樣本及惡意行為檢測:這種檢測行為具有較強的通用性,即将勒索軟體作為攻擊的一種進行防護,一般防毒軟體或者伺服器安全工具也具備對勒索軟體的識别,這種産品使用者可以優先選擇。專有勒索軟體檢測技術:随着勒索軟體威脅逐漸增加,安全廠商也不斷推出專門針對勒索軟體的檢測産品或檢測工具,這種産品可作為針對性勒索軟體防護的産品,在完成基礎部署後進一步采購應用。本文将介紹目前業界常用的五種勒索軟體檢測方法,并對其應用優缺點進行分析。
靜态檔案分析
如果企業的一台關鍵伺服器上觸發了警報,但警報資訊相當籠統,隻是報告某檔案可能是惡意軟體。更糟糕的是,如果檔案的哈希值不在VirusTotal(一個提供免費的可疑檔案分析服務的網站)上,那麼安全分析師将無法在網上找到任何資訊來确定該檔案是不是惡意檔案。這時候,要檢視該檔案是否可能是勒索軟體(或任何惡意軟體),最優選擇就是進行靜态檔案分析。靜态檔案分析是一種惡意軟體分析方法,它主要檢視可執行檔案是否可疑,但并不實際運作代碼。面對勒索軟體,靜态檔案分析會查找已知的惡意代碼序列或可疑字元串,比如經常被盯上的檔案擴充名和勒索信中所用的常用詞。分析工具會标記可執行檔案中的可疑部分,可用于檢查檔案中的嵌入字元串、庫、導入内容及其他攻陷名額(IOC)。不過此項檢測手段需要依賴于針對勒索軟體建構的威脅情報體系,不斷增擴充名、可疑字元串等。同時,此項手段需人工處置的比例較大,産品化可能較低。
靜态惡意軟體分析檢測執行個體
優點:•識别率較高,誤報率低;•可以相對有效地識别已知勒索軟體;•可以在勒索攻擊執行前阻止攻擊,是以并不加密檔案。缺點:•主要依靠手動分析,很費時,産品化程度不足;•可以使用打包器/加密器(Packer/Crypter)或隻需将字元換成數字或特殊字元,即可輕松繞過。
常見檔案擴充名檢測
借助檔案通路監控工具,組織可以将已知勒索軟體的擴充名檔案重命名操作列入黑名單,或者使用這類擴充名的新檔案一旦建立,就發出警報。比如說,Netapp的檔案通路監控工具讓你可以阻止某些類型的擴充名儲存在存儲系統和共享區上,比如WannaCry勒索軟體(.wncry)。其他勒索軟體黑名單解決方案包括ownCloud或Netwrix。研究人員已針對勒索軟體擴充名整理出衆多清單,包括附有常見勒索軟體擴充名的清單。可以較為友善的擷取使用。不過此項檢測手段也僅針對已知的勒索軟體,對于勒索軟體的變種防護能力較差。此手段可以作為一個基礎性防護工具,與使用者部署的終端安全産品形成關聯。
優點:•采用黑名單模式,檢測誤報率低;•可較有效對付常見已知勒索軟體;•不會對正常應用系統造成損壞。缺點:•可輕松繞過,難以識别采用新擴充名的勒索軟體;•很難找到擁有擴充名黑名單功能的檔案監控工具。
蜜罐檔案
蜜罐檔案是故意放到共享檔案夾/位置的虛假檔案,以便檢測可能存在的攻擊者。一旦蜜罐檔案被打開,就發出警報。比如說,一個名為passwords.txt的檔案可以用作工作站上的蜜罐檔案。目前,大陸主流安全廠商推出的勒索軟體防護方案中,都已采用此種方式進行防護,例如安天、安恒、奇安信、深信服等。建立快速簡便的蜜罐檔案的一種常見方法是使用Canarytokens。Canarytokens是Canary 公司提供的一款免費工具,可将令牌(獨特的辨別符)嵌入到文檔中,比如Microsoft Word、Microsoft Excel、Adobe Acrobat、圖檔和目錄檔案夾等更多文檔中。
優點:•可以檢測出靜态引擎無法捕獲的未知勒索軟體。缺點:•存在誤報,因為某些合法程式和使用者也可能接觸誘餌檔案;•如果勒索軟體接觸誘餌檔案,重要資料檔案将被主動加密;•如果勒索軟體跳過隐藏的檔案/檔案夾或攻擊特定檔案夾,即可繞過。
動态監控批量檔案操作
通過監控檔案系統以查找批量檔案操作(比如重命名、寫入或删除),安全人員也可以捕獲實時發生的勒索軟體攻擊,甚至可以自動阻止攻擊。檔案完整性監控(FIM)工具可以幫助你以這種方式檢測勒索軟體。FIM将檔案的最新版本與已知、受信任的“基準版本”進行比對,以此驗證和核實檔案;如果檔案被篡改、更新或删除,就發出警報。動态監控檔案操作需要有一套檔案的保管清單。市面上有衆多免費的開源FIM工具,比如OSSEC和Samhain File Integrity,其他解決方案擁有實時修複功能,是以可以通過威脅自動響應立即阻止檢測到的勒索軟體。
優點:•可以檢測出靜态引擎無法捕獲的勒索軟體。缺點:•如果超過定義的限制門檻值,檔案可能會被加密,影響業務開展;•如果勒索軟體在加密操作之間添加延遲,或生成多個程序來加密成批/成組檔案,可輕松繞過該檢測方式。
測量檔案資料的變化(熵)
在網絡安全界,檔案的熵是指一種測量随機性的特定名額,名為“香農熵”(Shannon Entropy):典型的文本檔案有較低的熵,而加密或壓縮的檔案有較高的熵。換句話說,通過跟蹤檔案的資料變化率,安全人員就可以确定檔案是否經過加密。使用檔案熵可以實作檢測并阻止加密個人檔案的非法程序。測量檔案熵的工具還可以在多次标記修改、出現重大變化後快速阻止惡意程序。
合法檔案的熵與惡意檔案的熵對比
優點:•可以檢測出靜态引擎無法捕獲的勒索軟體;•誤報率低于以上提到的動态檢測手段。缺點:•對終端裝置的CPU資源占用率高;•檔案将被加密,直至達到一定水準的可信度,是以無法阻止所有勒索破壞;•如果攻擊者僅加密檔案的一部分或分塊加密,可輕松繞過該檢測模式。
結語:檢測勒索軟體可能很棘手,攻擊者會使用多種混淆手法讓勒索軟體規避檢測,新的勒索軟體變體每天都在出現。是以,企業需要使用多種不同的勒索軟體檢測手段,并充分了解每種手段的優缺點。此外,安全人員要始終假設勒索攻擊會成功。是以企業需要随時確定有适當的勒索軟體預防和恢複政策。随着勒索攻擊能力向高層次發展,其攻擊的流程化、能力化已經與APT趨同,是以針對勒索攻擊防護體系建設需要形成持續的預測、防護、檢測、響應,依照攻擊發生的狀态,可分為勒索防護政策建立、勒索攻擊事前防護、勒索攻擊識别阻斷、勒索攻擊應急響應。