FireEye勒索软件解决方案:了解它,打击它

关注 2017-12-05 14:57:57 查看数 7639 ,评论数 0 技术控

引言

Mandiant公司2016年调查了大多数客户针对网络勒索事件的反应措施,调查结果在2016年度网络威胁报告做了说明。大多数案例中,数据的保密性和可用性会受到影响。存储有敏感数据的组织更容易成为攻击目标,攻击者大部分使用商用的勒索软件,如TorrentLocker或CryptoWall。一个备受瞩目的案例发生在位于洛杉矶的好莱坞长老院医疗中心,这家私人医院在2016年2月5日遭受了黑客攻击,导致医院的电子病历和电子邮件无法访问,业务系统和行政职能受到了严重影响,最终医院支付了约为17000美元的赎金。

1. 勒索软件的危害

与其它使用先进攻击技术的比较隐秘的攻击相比,勒索软件的影响是直接的。 勒索软件本质是一种恶意软件,使得受害者的计算机或特定的文件不可用或不可读,只有受害人支付了赎金,才有可能获取用于恢复电脑或解密被加密文件的密钥。 勒索软件会向受感染的主机显示明确而具体的付款信息,大部分使用虚拟途径或虚拟货币,如PayPal或Bitcoin,这样做是为了给保护自身不容易被追溯。受害人会面临金钱损失和业务中断的威胁。 勒索软件的主要危害表现为以下三种: 1.1 企业和个人的文档和数据被加密 勒索软件通过Web或Email的途径感染目标主机。一旦被感染,在大多数情况下,没有攻击者的密钥,完全恢复几乎是不可能的,勒索软件的破坏几乎都是瞬间的、不可避免的,至少在被感染的那一刻,可用性已经收到了影响。 1.2 二次或三次损害 公司的其它文件服务器或共享PC/服务器也存在被感染的威胁,如果最初被感染的机器还与其它共享机器保持着连接,那么勒索软件的影响会扩展到整个共享资源。攻击者可能会使用其它工具窃取受害者的电子邮件证书,从而获取到更多的账号信息,便于进一步分发勒索软件。由此可见,一台被勒索软件感染的PC,就可能会给整个企业造成重大损害。  1.3 机密或知识产权信息,在尝试恢复的期间遭到泄露 在系统尝试恢复的过程中,机密或知识产权信息遭泄露。攻击者可能会试图从受感染的系统中窃取数据,或者实施其他恶意行为。多数情况下,勒索软件攻击者都具备窃取数据的能力,而使用勒索软件感染主机,仅仅是整个金融欺诈行为链条的起始点。

2. 勒索软件的现状

勒索软件的数量和种类日益增多,攻击者也越来越猖狂,很多攻击者都叫嚣着如果受害者不在规定的时间内支付赎金,就会直接摧毁机密文件、或者把它们公布到网上。根据FireEye的威胁情报系统观察到:CryptoWall在2015年6月这一个月的时间就收获了100万美元,另一款名为TeslaCrypt的勒索软件在2015年2月7日至2015年4月8日期间为攻击者吸收了76522美元的违法所得。 勒索软件易于部署,一个新手很容易就可以掌握,可以预见未来几年使用勒索软件进行网络攻击的行为将继续增长。

3. 应对策略(一):识别攻击机制

解除勒索软件的威胁,并没有单一的解决方案。受害者通常会采取两种方式进行处理:一是向攻击者妥协,支付赎金,希望威胁停止;二是冒着重大业务被中断的风险,采取策略试图自我恢复。 直接向攻击者交付赎金,并不是一个真正的解决方案,攻击者不会因为你很听话就放过你,反而会变本加厉的继续勒索。执法机构对此也给不出确切的处理方案,他们通常强调加强预防和应急响应预案。 一般而言,可以采取一下措施:
    1. 及时更新操作系统和应用程序到最新的版本; 2.在访问新闻、广告或其他可能有安全漏洞的网站时,要谨慎小心; 3.加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患; 4.养成定期备份的习惯,这样即使被感染,也有助于减轻损害并加快恢复的时间。
在深入的分析勒索软件的攻击机制和认真评估安全措施的基础上,再去寻找并实施安全策略,这样的安全解决方案才可能是健全的、有效的。 通过WEB进行传染 勒索软件通常会利用存在漏洞的网站进行传播。攻击者使用漏洞利用工具查找网站存在的可以被利用的浏览器漏洞或应用程序漏洞,然后感染这些合法的网站,插入恶意代码,将网站访问者重定向到另一个可以使用漏洞利用工具包的站点。例如Angler 和 RIG就是通过检索那些有漏洞的机器(使用了旧版本的Java或Flash组件 ),诱导访问者下载并运行恶意代码。一旦访问者的计算机被感染,勒索软件会连接到命令和控制服务器,向攻击者发送有价值的信息。 上图展示了恶意软件通过WEB进行感染的流程,需要强调的是:1.涉及到了多层次的漏洞利用;2.勒索软件在植入时采用了加密格式;3.被感染主机会向命令和控制服务器发送信息。 使用WEB进行传染的勒索软件,需要从多级流量中识别出用户被重定向的、受恶意软件感染的原始网站,才能明确勒索软件的感染路径。恶意软件使用了一定的加密方式,伪装成一个普通的软件,以便于植入受害者的计算机。 如此看来,为了确定加密后的恶意代码,基于行为的分析是必要的。 为了减轻危害,必须阻断被感染主机与命令和控制服务器的联系,确保不再接收其他的恶意代码或向外发送敏感信息。 针对这类通过WEB进行传染的勒索软件,可以使用以下四种措施进行有效的打击: 1. 彻底分析整个感染过程:从用户原始访问的正常网站,到重定向的页面,再到最后被感染的站点; 2. 在浏览器运行中禁用脚本执行功能; 3. 对恶意代码采用基于行为的分析方法,用以确定其真正的目的和系统受感染的指标; 4. 阻断主机与命令和控制服务器的通信。 实施上述四种行动,可以将勒索软件的危害最小化。 通过电子邮件进行感染 勒索软件也可以通过电子邮件进行感染。事实上,大多数被报告的勒索软件都是通过电子邮件及性能感染的。根据网络威胁联盟(Cyber Threat Alliance,CTA)的报告,造成过3亿2500美元损失的著名的勒索软件CryptoWall,673.%是通过电子邮件发起钓鱼攻击进而在全球范围内进行传播的。 勒索软件通常以邮件附件的形式,通过电子邮件进行传播。采取的格式包括:压缩软件、文档文件、HTML文件、电子邮件或文件附件中的链接等。攻击者使用社会工程技术诱导用户点击链接或执行文件。 使用基于行为的方法来分析这种方式的勒索软件也是有效的。 上面是恶意软件通过邮件进行感染的流程示意图,需要强调的是:1.会尝试使用文件附件、恶意链接等进行感染;2.会使用各种类型的文件进行感染;3.会采用社工技术诱使用户激活恶意代码。

4. 应对策略(二):实施安全防御

各大安全厂商迅速的推出了旨在打击勒索软件的解决方案,然而,很多“最佳”解决方案专注在文件备份或检测特定勒索软件特征方面。这些方案一般并不提供明确的信息来阐明勒索软件是使用什么方式、如何成功感染目标计算机的,也无法提供有效的方案来阻止攻击的发生。 更有效的解决方案,需要能够对勒索软件攻击的过程进行分析,基于他们对入侵路径采取对应的安全措施(Web或电子邮件)。 电子邮件安全是第一道防线 一个电子邮件安全解决方案可以有效检测和阻断通过电子邮件进行感染的勒索软件(通常以电子邮件附件或嵌入恶意链接的形式进行感染)。大多数勒索软件会首选以电子邮件的方式对目标进行入侵,如常见的鱼叉式钓鱼工具。鱼叉式网络钓鱼攻击需要有超高的社会工程技巧,难以被检测到,甚至可以迷惑住安全专家和高级技术经理。只需要一封设计好的邮件,就可以激活勒索软件并成功的锁定目标。 所以,采取有效的安全电子邮件解决方案,可以通过执行和分析可疑电子邮件的附件和链接地址,识别并阻止恶意电子邮件。 阻止危害被扩张 采取有效的网络安全解决方案可以识别勒索软件的分布和感染路径,从而有效降低勒索软件的实际危害。 下面以防御“基于WEB进行感染的勒索软件:为例进行说明,此类型的勒索软件可以通过精准的识别分发勒索软件的网站源头来阻止它们的入侵。 勒索软件入侵过程可以分为三个阶段:初始感染;加密文件;访问命令和控制服务器。 第一阶段: 初始感染 在这个阶段,受害者从正常网站被重定向到分发恶意代码的站点,然后利用漏洞被激活。必须识别Web全流量才能识别和阻止这些分发恶意代码的站点。 从安全厂商的角度而言,需要拥有及时收集和准确定位恶意站点的能力;从公司自身的角度而言,需要及时更新Web应用的相关组件(Flash, Java, Silverlight 等)到最新版本。  第二阶段:加密文件 在这个阶段,被俄罗软件感染的系统可能会表现出一些异常行为。如果进展到了这一步,检测产品就需要对恶意代码进行详细的分析,通过判断相关指标来阻断勒索软件,采取对应的措施,识别被感染的主机。举个例子,如果勒索软件禁用了窗口恢复功能或文件加密能力,那么这些行为都应该被分析,并向用户提供详细的跟踪指标。这样做不仅有助于检测同一类攻击,还可以防止勒索软件影响到整个关联系统。 第三阶段:访问命令和控制服务器 在这个阶段,勒索软件向命令和控制服务器发送被感染主机的相关信息,或者接受来自命令和控制服务器传来的加密密钥。有效的阻断被感染主机与命令和控制服务器的通信,勒索软件就不能继续加密文件或造成其他类型的损害。

5. 结论

“知己知彼,百战不殆”,这就是网络安全的奥秘。 先进的检测和预防,是最好的防御。 为了减少勒索攻击的机会,企业安全管理人员的工作内容,不仅需要深刻的了解其内部系统的安全水平,还要充分掌握网络攻击者的工具、策略和程序。

资料来源

FireEye :《EFFECTIVE RANSOMWARE  RESPONSES : UNDERSTANDING RANSOMWARE AND HOW TO SUCCESSFULLY COMBAT IT 》  

*本文由MottoIN小编翻译并整理,转载请注明来自MottoIN

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...