勒索病毒软件防御技术概论.docx
《勒索病毒软件防御技术概论.docx》由会员分享,可在线阅读,更多相关《勒索病毒软件防御技术概论.docx(11页珍藏版)》请在冰点文库上搜索。
勒索病毒软件防御技术概论
勒索病毒软件防御技术概论
勒索病毒软件的防御已是一个热门话题,尽管勒索软件有愈演愈烈的趋势,危害也越来越大,但是无论个人用户还是企业用户,很多人并不是完全的了解勒索软件,重视程度也不够,甚至还没有找到正确的防御方式。
下面讲着重进一步深度分析勒索软件,探讨勒索软件防御的最佳实践。
勒索软件典型传播途径
首先我们从技术角度来回顾一下勒索软件的传播途径,下面是一个典型的传播过程示意图:
·1. 攻击者一般是通过大量发送钓鱼邮件,广告邮件,散播各种入侵工具包,利用系统或应用存在的漏洞尝试入侵和安装,
·2. 一旦入侵成功后,勒索软件还会连接到C2主机,并且生成用于加密的公钥和私钥,并下载到受害者主机。
·3. 获取密钥后,勒索软件开始寻找特定类型的文件和目录,并对其进行加密。
通常勒索软件还要避免对系统文件加密,要确保系统能够正常启动并且支付赎金。
·4. 完成加密后,勒索软件会留下一个勒索通知,告诉被加密者如何支付勒索金钱。
勒索软件的常见入侵手段
勒索软件有很多方式实现对用户设备的入侵和感染,最常见的方式莫过于钓鱼邮件攻击和网站恶意代码的入侵。
邮件方式是最常见的勒索软件传播途径。
攻击者可以利用各种邮件列表,大量发送钓鱼邮件。
尽管很多企业用户都部署了各种邮件安全防护技术,但是很多人除了使用公司邮件账号以外,还会使用个人免费邮箱,而这些免费邮箱并没有太多安全保护。
当用户使用这些邮箱去访问,下载邮件附件或者访问钓鱼链接,有可能造成被勒索软件的感染。
访问网站的钓鱼链接也是比较常见的传播方式。
攻击者在利用了网站上的弹出的广告链接,当用户点击了网站上的恶意广告时,通常会被链接到一个感染网站上,导致电脑终端被入侵。
恶意广告宿主网站通常会使用多个不同的域名,并且经常变换域名,这些宿主网站带有各种入侵工具,并提供C2主机服务。
事实上,勒索软件正在快速的演变,融合了很多恶意软件的传播特性,新的变种能够在企业中快速的传播和感染整个网络,对能够访问的各种数据进行加密,甚至很多企业因此造成了业务的中断,这对企业的安全防御带来了巨大的挑战。
勒索软件的回连行为
我们提到的回连行为,指的是勒索软件到“命令与控制主机”即C2的通信行为,勒索软件回连到C2主机的目的,是获得加密的密钥和如何支付赎金的指令。
下表列出了常见勒索软件使用的回连方式:
绝大多数勒索软件和入侵工具都是通过DNS解析C2主机的IP地址,然后“回连”到C2主机获取密码和支付信息,也有的是直接通过IP地址连接,还有一些(比如SamSam)直接使用内置的加密密钥,除此之外,还有一些变种使用TOR路由封装的方式访问C2主机,这样做的目的是避免在DNS解析时被发现C2主机的地址。
勒索软件的“防御链条”
这里提到的名词“防御链条”,指的是在勒索软件传播的各个阶段中,根据其不同特征,对入侵行为进行拦截的能力。
首先,我们把勒索软件的整个攻击过程分为三个阶段,分别是寻找目标,入侵感染和驻留传播;而每个阶段还可以分为多个环节(如下图所示)。
当然并非每个攻击都会经历这些环节,这里列出了最典型的每个环节的分析。
·侦察
攻击者收集各种信息并寻找攻击目标,借助某些看上去可信的网站,通过挂马的方式,篡改广告链接作为访问跳板;或者通过钓鱼邮件的方式,诱骗用户点击钓鱼链接。
·启动
利用“侦察”阶段收集的信息,攻击者诱骗用户打开附件或点击恶意链接,结果导致主机被重定向到某个看上去可信的网站,这时候入侵工具或恶意代码镜开始启动。
·入侵
入侵工具开始对目标主机进行漏洞扫描和探测,寻找可以利用的漏洞,一旦发现存在可以利用的漏洞,将尝试获取目标主机的访问和控制权。
·安装
一旦获得了控制权限,在目标主机没有感知的情况下,入侵工具在后台悄悄将被安装勒索软件或者Trojan-Downloader恶意下载程序,这些勒索软件将会在后续对目标主机的文件进行加密。
这个环节也可能会下载一下其他的恶意代码用于将来的传播。
·回连
勒索软件完成安装,并且检测到网络联通后,就会“”“回连”到僵尸命令与控制主机C2主机,连接到C2后,获取到加密密钥和指令,最后对磁盘、网络映射驱动器以及USB设备进行检索,并对文档、音频、视频等类型文件进行加密。
·驻留
勒索软件完成对文件加密后,将通过发送通知邮件或者修改屏幕壁纸等方式,通知被加密主机支付赎金来恢复文件。
这些通知信息将一直存在,有时还会删除一些文件,给被加密者施加压力,促使其尽快支付赎金。
此外,入侵工具还会以这台主机为跳板,尝试入侵到其他的主机。
企业安全防御的现状
我们先来分析一下目前企业的安全防御现状。
据思科2017年安全报告统计数据显示,目前全球在信息安全领域的提供商超过了500家,而每个企业部署的安全产品种类,通常是在6~50种。
从企业IT的日常运维、威胁的有效响应以及安全信息协作的角度看,这里面存在着巨大的安全缺口,具体体现在几个方面:
·企业的安全意识薄弱
企业的IT运维团队通常是同时负责安全和其他产品的的运维,原因一方面与对安全的重视程度,另一方面与专业安全人士短缺有关。
由于IT部门的人员同时负责安全和其他产品的运维,要想精通每个安全产品的使用与维护,是不现实的,因此很多安全产品出现了“重部署,轻维护”的现象,一旦完成部署上线后,后续就很少有人去监控和管理了。
·专业安全人士缺乏
企业的IT运维团队通常是同时负责安全和其他产品的的运维,原因一方面与对安全的重视程度,另一方面与专业安全人士短缺有关。
由于IT部门的人员同时负责安全和其他产品的运维,要想精通每个安全产品的使用与维护,是不现实的,因此很多安全产品出现了“重部署,轻维护”的现象,一旦完成部署上线后,后续就很少有人去监控和管理了。
·安全产品兼容性问题
面对来自不同厂商的各类安全产品,彼此之间缺乏信息的整合与协作,变成了安全信息的孤岛,IT运维人员一旦遇到威胁事件时,需要分析和排查多种设备,结果导致威胁事件的响应速度大大下降。
很显然,面对包括勒索软件在内的,各种复杂的网络威胁,企业现有的安全防御架构的做法存在明显的安全缺口。
目前安全解决方案的缺口
我们以勒索软件为例,看看目前存在的安全解决方案存在的哪些缺口。
勒索软件在寻找目标阶段,攻击者利用了社交工程,绕过了现有的安全防护手段;在入侵感染阶段,利用系统存在的漏洞;在驻留传播阶段,利用了僵尸网络主机作为密码保存,对文件的加密过程是在后台悄悄的进行,等用户发现时,为时已晚。
因此,面对勒索软件的威胁愈演愈烈,传统的单点的安全防御手段,不再那么有效了,尽管很多企业部署了技术领先的安全产品,也只是实现某个环节的单点防御,仍然无法解决整体的威胁防御问题。
·安全可视化的不足
首先,传统的安全设备缺乏对网络、应用和系统的可视化与控制;其次,即使部署了下一代的安全产品如NGFW,也仅仅实现了表面的可视化,只是停留在对终端、系统和应用表明信息的识别,比如操作系统、应用类型等等,还缺乏深度可视化,无法做到对系统或者应用程序内部的漏洞信息的可视化。
·边界安全实现了部分威胁防御
部署在网络边界防火墙、上网行为管理甚至沙盒技术,解决了南北向流量的访问安全,而对于终端的访问控制与授权,东西向的访问行为与审计,边界的安全防御就无能为力了,而大量的攻击案例也显示,很多网络入侵事件往往是从内部发起的,那么如何实现东西向的网络流量监控,也是目前企业用户遇到的新的安全需求与挑战。
·安全产品的协作与联动
大安全产品都是独立部署,彼此之间相互割裂,缺乏信息的整合,成为一个个安全信息的孤岛。
事实上,针对安全事件的分析往往要涉及到多种设备,甚至不同的分析方法,难以做到快速有效的防御。
虽然SIEM(安全信息事件管理)产品的出现,就是专门来应对这个问题,而对于广大中小型用户,SIEM的部署仍然存在很大的难度。
如何实现全面的安全架构设计
从安全防御者的角度来看,任何一个攻击行为的发生,都离不开三个阶段:
攻击前、攻击中和攻击后。
思科公司提出的这个攻击过程的模型,覆盖了攻击发生的各个阶段,也提出了相应的防护方案。
·攻击前
在攻击发生之前,企业需要对其环境拥有全面可见性,包括主机、操作系统、应用、服务甚至漏洞信息等,而且要先于攻击者的发现这些信息,从发现、执行和加固入手,就可以切实部署解决方案,更好地降低网络基础设施存在的风险。
·攻击中
在攻击发生过程中,传统的防御方式是检测某个时间点的攻击,无法应对高级攻击。
思科提供的具备情景分析的防御方式,将网络入侵和全球攻击情报分析关联,判断是主动攻击、渗透和勘测,或者只是干扰噪音,提供精确的自动化的威胁防御。
·攻击后
威胁事件的追溯,其本质是安全性的大数据挑战,也是极少公司才能提供的持续性能力。
利用持续收集和分析数据来创建攻击行为的轨迹跟踪,企业能通过自动化威胁感染指数,发现被入侵的主机和影响范围,以及完整报文的捕获与分析,以便采取针对性的补救措施。
勒索软件攻击过程,包括了三个主要阶段寻找目标,入侵感染和驻留传播,而这三个阶段恰恰与是攻击发生周期的三个阶段相关联,分别对应攻击前、攻击中和攻击后。
,如果我们再进一步把每个阶段与对应的安全技术手段进行结合,那么就构成了所谓的“防御链条”。
本文介绍了勒索软件的工作方式,带给用户的危害,以及勒索软件的演化趋势和防御技术。
这是饮鸩止渴,将助长黑客开发更加难以防范的勒索软件,文章转自“思科网络通信”,仅用于技术交流和分享,更多内容请参看思科“再谈勒索软件防御系列”软文系列。
升级会员 