信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“科技云報(bào)到”。

今年上半年的數(shù)據(jù)表明，勒索軟件活動(dòng)和贖金金額有望創(chuàng)下歷史新高。

Check Point Research在《2023年年中安全報(bào)告》中指出，今年上半年，隨著新的勒索軟件團(tuán)伙不斷涌現(xiàn)，勒索軟件攻擊態(tài)勢(shì)持續(xù)升級(jí)。

區(qū)塊鏈分析公司Chainaanalysis的報(bào)告顯示，勒索軟件是2023年迄今為止唯一呈上升趨勢(shì)的基于加密貨幣的犯罪形式，勒索贖金有望創(chuàng)下新的紀(jì)錄。

截至6月份，勒索軟件攻擊者已勒索至少4.491億美元，累計(jì)收入已達(dá)到2022年總收入的90%。

勒索攻擊已經(jīng)成為了互聯(lián)網(wǎng)世界的頑疾，近年來(lái)幾乎所有國(guó)家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受勒索攻擊影響。

在面對(duì)新型勒索軟件攻擊時(shí)，大多數(shù)企業(yè)組織會(huì)處于極度弱勢(shì)，根本難以招架。

勒索攻擊呈五大趨勢(shì)

日前，安全服務(wù)商Heimdal Security的安全研究人員分析了近一年來(lái)的勒索攻擊典型案例后發(fā)現(xiàn)，各大勒索攻擊團(tuán)伙一直在不斷改進(jìn)攻擊手法和模式，使得新一代勒索軟件攻擊變得更加復(fù)雜和更有針對(duì)性。

●關(guān)基設(shè)施勒索攻擊仍在繼續(xù)

“勒索軟件團(tuán)伙破壞了至少860個(gè)關(guān)鍵基礎(chǔ)設(shè)施組織的網(wǎng)絡(luò)。”這一數(shù)據(jù)出自美FBI在今年一季度發(fā)布的2022年的互聯(lián)網(wǎng)犯罪報(bào)告。媒體報(bào)道指出，該數(shù)據(jù)僅限于“投訴數(shù)據(jù)”，實(shí)際數(shù)量可能更高。

安全機(jī)構(gòu)統(tǒng)計(jì)了2022年發(fā)生的600起勒索軟件攻擊事件稱，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊翻了一倍。

針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊要更具威脅性，這些企業(yè)可能的妥協(xié)（傾向于贖金支付）一方面來(lái)自于數(shù)據(jù)的重要性，更重要的是對(duì)企業(yè)核心生產(chǎn)連續(xù)性的威脅。

●勒索軟件組織優(yōu)先考慮數(shù)據(jù)泄露

通常企業(yè)在遭受勒索軟件攻擊之后，支付贖金并不是他們的第一選擇。現(xiàn)在，勒索組織將視野轉(zhuǎn)向數(shù)據(jù)，并威脅企業(yè)如不支付贖金就會(huì)泄露數(shù)據(jù)，從而主動(dòng)挑起企業(yè)安全違規(guī)事件。

勒索軟件組織越來(lái)越多地針對(duì)數(shù)據(jù)泄露，而不再是過(guò)去的系統(tǒng)不可用性。

這方面有多家安全組織的報(bào)告都支撐了這一點(diǎn)，如在2022年勒索軟件贖金支付下降了約40%，這一點(diǎn)也出自于企業(yè)已經(jīng)投資于更強(qiáng)的安全性和更好的備份。

數(shù)據(jù)備份、針對(duì)業(yè)務(wù)系統(tǒng)做好容災(zāi)建設(shè)，是安全企業(yè)在對(duì)應(yīng)勒索攻擊的后期兜底建議，有一部分企業(yè)認(rèn)識(shí)到了這一點(diǎn)，他們就可以有勇氣在受到勒索之后不支付贖金，利用安全系統(tǒng)來(lái)恢復(fù)業(yè)務(wù)或數(shù)據(jù)。但如果勒索組織威脅泄露數(shù)據(jù)，留給企業(yè)在安全與合規(guī)之間的問(wèn)題就有些麻煩了。

●勒索軟件受害者可能很快面臨后續(xù)攻擊

根據(jù)Akamai公司的研究報(bào)告，一旦受到勒索軟件的攻擊，企業(yè)很快就會(huì)面臨第二次攻擊的更高風(fēng)險(xiǎn)。報(bào)告稱，事實(shí)上，被多個(gè)勒索軟件組織攻擊的受害者在前三個(gè)月內(nèi)遭受后續(xù)攻擊的可能性幾乎是遭遇第一次攻擊之后的六倍。

該報(bào)告警告說(shuō)，遭受勒索軟攻擊并支付贖金也不能保證企業(yè)的安全，與其相反，它增加了被同一個(gè)或多個(gè)勒索軟件組織再次攻擊的可能性。

如果受害企業(yè)沒(méi)有關(guān)閉其外圍的漏洞/修復(fù)攻擊者第一次破壞其網(wǎng)絡(luò)時(shí)濫用的漏洞，那么很可能會(huì)再次被利用。

此外，如果受害者選擇支付贖金，他們可能會(huì)被同一組織和其他人視為潛在的目標(biāo)。

●勒索軟件智能化

隨著人工智能和機(jī)器學(xué)習(xí)技術(shù)不斷完善，攻擊者也開始利用這些創(chuàng)新技術(shù)使勒索軟件攻擊更具針對(duì)性和復(fù)雜性。

研究人員發(fā)現(xiàn)，勒索軟件組織開始使用人工智能技術(shù)來(lái)識(shí)別漏洞、撰寫逼真的網(wǎng)絡(luò)釣魚郵件，并根據(jù)防御措施實(shí)時(shí)調(diào)整攻擊策略，這對(duì)勒索軟件防護(hù)工作構(gòu)成了重大挑戰(zhàn)。

由于勒索軟件的智能化程度正在迅速增長(zhǎng)，組織也需要及時(shí)關(guān)注更先進(jìn)、更智能的網(wǎng)絡(luò)安全措施，同時(shí)加強(qiáng)員工安全意識(shí)培訓(xùn)，以防范這種日益嚴(yán)峻的威脅。

●攻擊并不常見(jiàn)的應(yīng)用系統(tǒng)

任何泄露事件都可能帶來(lái)災(zāi)難，因此在面對(duì)新型勒索軟件攻擊時(shí)，任何攻擊途徑都不能被忽視。

在新型勒索軟件攻擊模式下，攻擊者會(huì)更加重視一些沒(méi)有備份的業(yè)務(wù)系統(tǒng)，或者一些并不常見(jiàn)的應(yīng)用，這些看上去的“小應(yīng)用”往往會(huì)給組織帶來(lái)大威脅。

佐治亞理工學(xué)院的安全研究人員已經(jīng)驗(yàn)證，勒索軟件攻擊可以通過(guò)屢試不爽的已知漏洞利用代碼部署到程序邏輯控制器（PLC）中。

遺憾的是，這類設(shè)備的重建或更換成本過(guò)高，新型勒索軟件組織正是瞅準(zhǔn)了這一點(diǎn)以勒索受害者。

企業(yè)應(yīng)如何防范勒索攻擊？

目前活躍在市面上的勒索攻擊病毒種類繁多，極高頻率的變種使得基于病毒特征庫(kù)的傳統(tǒng)殺毒軟件在應(yīng)對(duì)海量新型勒索病毒時(shí)，毫無(wú)用武之地。

要防范勒索病毒攻擊，需要從勒索病毒本身出發(fā)，深度剖析勒索病毒的普遍性特點(diǎn)，有針對(duì)性地進(jìn)行干預(yù)和防范。

其實(shí)，勒索病毒行為具有高度趨同性，整個(gè)勒索殺傷鏈涉及：感染準(zhǔn)備、遍歷加密、破壞勒索三個(gè)環(huán)節(jié)。

感染準(zhǔn)備階段主要行為是漏洞利用、自身模塊釋放、進(jìn)程中止和服務(wù)清除；遍歷加密階段主要行為是文件遍歷、數(shù)據(jù)加密；破壞勒索階段主要行為是刪除系統(tǒng)備份、彈出勒索通知。

摸清楚了勒索病毒殺傷鏈的典型行為特征，接下來(lái)就能有效應(yīng)對(duì)勒索病毒，企業(yè)可以從檢測(cè)、防護(hù)、恢復(fù)三個(gè)階段來(lái)應(yīng)對(duì)勒索病毒。

●勒索行為監(jiān)測(cè)

勒索病毒的磁盤遍歷、進(jìn)程終止、文件加密、回收站清空等行為，實(shí)際上都是在調(diào)用操作系統(tǒng)底層驅(qū)動(dòng)的高危指令。

所以防勒索系統(tǒng)安裝操作系統(tǒng)后，會(huì)接管操作系統(tǒng)底層的進(jìn)程、文件、磁盤、網(wǎng)絡(luò)驅(qū)動(dòng)，勒索病毒在執(zhí)行高危指令調(diào)用時(shí)，必然優(yōu)先被防勒索系統(tǒng)感知。

防勒索系統(tǒng)內(nèi)置惡意行為監(jiān)測(cè)引擎，通過(guò)規(guī)則樹的匹配來(lái)識(shí)別惡意破壞行為，進(jìn)而實(shí)現(xiàn)對(duì)勒索病毒的攔截和阻斷。

●關(guān)鍵業(yè)務(wù)保護(hù)

勒索病毒加密文件前，會(huì)優(yōu)先終止業(yè)務(wù)進(jìn)程，以解除文件占用，便于文件加密或刪除操作。所以防勒索系統(tǒng)安裝到操作系統(tǒng)后，會(huì)接管操作系統(tǒng)進(jìn)程驅(qū)動(dòng)。

當(dāng)有進(jìn)程終止或線程退出指令時(shí)，防勒索系統(tǒng)會(huì)對(duì)指令來(lái)源和指令類型進(jìn)行判斷。

如果是不可信的進(jìn)程發(fā)起的跨進(jìn)程、跨地址空間的指令行為，防勒索系統(tǒng)將會(huì)對(duì)指令操作進(jìn)行攔截，從而避免勒索病毒對(duì)關(guān)鍵業(yè)務(wù)進(jìn)程的破壞，在保障業(yè)務(wù)連續(xù)性的同時(shí)，保持關(guān)鍵應(yīng)用對(duì)數(shù)據(jù)文件的持續(xù)占用，進(jìn)而確保數(shù)據(jù)文件不會(huì)被加密勒索。

●勒索病毒誘捕

勒索病毒在遍歷文件時(shí)，會(huì)優(yōu)先檢索系統(tǒng)常規(guī)路徑，如桌面、文檔路徑、磁盤根目錄等，然后破壞這些文件。

防勒索系統(tǒng)安裝后在系統(tǒng)中投放誘餌文件，并持續(xù)監(jiān)控對(duì)誘餌文件的操作，由于正常應(yīng)用一般不會(huì)訪問(wèn)誘餌文件，因此對(duì)誘餌文件的操作基本上可以判定為勒索病毒，防勒索系統(tǒng)會(huì)直接殺死可疑進(jìn)程并置于隔離區(qū)。

●核心數(shù)據(jù)保護(hù)

未安裝防勒索系統(tǒng)時(shí)，無(wú)論是正常的應(yīng)用如word、數(shù)據(jù)庫(kù)服務(wù)，還是勒索病毒，對(duì)應(yīng)用數(shù)據(jù)的讀寫都是不受限制的，勒索病毒隨意的對(duì)數(shù)據(jù)文件進(jìn)行加密寫入，致使用戶無(wú)法正常使用數(shù)據(jù)文件。

安裝防勒索系統(tǒng)后，通過(guò)內(nèi)置規(guī)則及動(dòng)態(tài)識(shí)別技術(shù)，可以很方便地建立可信應(yīng)用與應(yīng)用數(shù)據(jù)間的訪問(wèn)關(guān)系模型。

因?yàn)槔账鞑《静辉诳尚艖?yīng)用列表內(nèi)，不具備應(yīng)用數(shù)據(jù)的訪問(wèn)權(quán)限，所以勒索病毒嘗試加密系統(tǒng)中文檔、數(shù)據(jù)庫(kù)、工程文件、音視頻等數(shù)據(jù)文件時(shí)，將會(huì)被攔截阻斷。

核心數(shù)據(jù)保護(hù)功能一方面可避免應(yīng)用數(shù)據(jù)被惡意加密，防范典型的文件加密勒索行為，另一方面還可以防范雙重勒索中文件信息泄露的勒索行為。

●數(shù)據(jù)智能備份

備份恢復(fù)技術(shù)用于對(duì)抗勒索病毒很有效，因?yàn)橛捎谡`操作、安全策略配置不當(dāng)可能導(dǎo)致檢測(cè)、防護(hù)能力被繞過(guò)，所以還需要備份恢復(fù)能力做技術(shù)兜底。

防勒索系統(tǒng)安裝后，任何文件的操作均會(huì)觸發(fā)防勒索的安全檢查，可信應(yīng)用文件操作放行，非可信應(yīng)用文件操作將觸發(fā)備份動(dòng)作。

在備份入庫(kù)前，防勒索系統(tǒng)會(huì)檢查入庫(kù)數(shù)據(jù)的安全性，通過(guò)文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷。

這是因?yàn)楸焕账鞑《炯用艿奈募?huì)被修改文件名、后綴名，文件的熵值和方差值會(huì)發(fā)生顯著變化，基于防勒索系統(tǒng)可識(shí)別被勒索加密的文件，已經(jīng)被勒索加密的文件將直接丟棄，并對(duì)操作該文件的進(jìn)程進(jìn)行終止和隔離操作，被識(shí)別為正常的數(shù)據(jù)文件則經(jīng)過(guò)重復(fù)檢查后進(jìn)入備份區(qū)。

此外，防勒索系統(tǒng)的備份機(jī)制并非是全盤備份，而是經(jīng)過(guò)巧妙設(shè)計(jì)的按需觸發(fā)，既可以實(shí)現(xiàn)勒索病毒的精準(zhǔn)防范，又能確保最小的系統(tǒng)資源消耗。

結(jié)語(yǔ)

未來(lái)的勒索軟件攻擊還將持續(xù)演進(jìn)，并且增長(zhǎng)速度也會(huì)更快，攻擊的目標(biāo)和形勢(shì)不斷變化，防御對(duì)抗將是長(zhǎng)期性的。

為了共同抵抗這項(xiàng)威脅，還需要全行業(yè)攜手合作、推動(dòng)創(chuàng)新，共同應(yīng)對(duì)勒索攻擊的挑戰(zhàn)，才能保障企業(yè)的安全和穩(wěn)定發(fā)展，打贏這場(chǎng)持久戰(zhàn)。