肆虐全球的勒索软件如何防御?

日前,360互联网安全中心发布了《2017勒索软件威胁形势分析报告》,报告指出,2017年勒索软件继续呈现出全球性蔓延态势,攻击手法和病毒变种也进一步多样化。特别是5月份全球爆发的永恒之蓝勒索蠕虫WannaCry和随后在乌克兰等地流行的Petya病毒,使人们对于勒索软件的关注达到了空前的高度。

如果说,挂马攻击是2016年勒索软件攻击的一大特点,那么2017年,勒索软件的攻击则呈现出以下六个明显的特点:无C2服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、影响大的家族赎金相对少、境外攻击者多于境内攻击者。

攻 | 勒索软件的六大攻击特点

1、无C2服务器加密技术流行

报告发现,2017年黑客在对文件加密的过程中,一般不再使用C2服务器,而是采用了无C2服务器加密技术。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。

2、攻击目标转向政企机构

2017年勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。

3、针对关键信息基础设施的攻击

以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。

4、攻击目的开始多样化

在我们的认知中,勒索软件目的就是勒索钱财,但这种传统认知在2017年被打破,以进行网络及组织破坏为目的的勒索软件已经出现并开始流行,其中最为典型的代表就是类Petya,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。

5、勒索软件平台化运营

2017年勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。

6、境外攻击者多于境内攻击者

2017年勒索软件的攻击源头以境外为主,绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。

防 | 勒索软件的新防御技术

在反勒索软件方面,以下技术最有可能成为主流趋势:文档自动备份隔离保护技术、智能诱捕技术、行为追踪技术、智能文件格式分析技术和数据流分析技术等。对于企业级用户来说,云端免疫技术、密码保护技术等也将起到至关重要的作用。

1、文档自动备份隔离保护

文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。只要电脑里的文档出现被篡改的情况,它会第一时间把文档自动备份在隔离区保护起来,用户可以随时恢复文件。无论病毒如何变化,只要它有篡改用户文档的行为,就会触发文档自动备份隔离,从而使用户可以免遭勒索,不用支付赎金也能恢复文件。

2、综合性反勒索软件技术

与一般的病毒和木马相比,勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击,已经成为一种主流的技术趋势,相关技术主要包括:智能诱捕、行为追踪、智能文件格式分析、数据流分析等。

3、云端免疫技术

由云端直接下发免疫策略或补丁,帮助用户电脑做防护或打补丁;对于无法打补丁的电脑终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵;除此之外,云端还可以直接升级本地的免疫库或免疫工具,保护用户的电脑安全。但是,云端免疫技术只是一种折中方案,并不是万能或一劳永逸的,未打补丁系统的安全性仍然存在隐患,但就当前国内众多政企机构的实际网络环境而诺言,云端免疫不失为一种有效的解决方案。

4、密码保护技术

具体来看,加强密码保护主要从三个方面入手:一是采用弱密码检验技术,强制网络管理员使用复杂密码;二是采用反暴力破解技术,对于陌生IP的登陆位置和登陆次数进行严格控制;三是采用VPN或双因子认证技术,从而使攻击者即便盗取了管理员帐号和密码,也无法轻易的登陆企业服务器。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171221A0BSR000?refer=cp_1026

相关快讯

扫码关注云+社区