对付勒索病毒的方法主要是预防和应对。然而,检测勒索软件对于保护企业组织同样重要。我们可以将勒索病毒检测理解为系统性勒索病毒防护的一个过渡阶段,即勒索病毒已经渗透到系统中,但还没有大规模爆发。在这个阶段,可以应用有效的监控和保护方法。一方面防护更有针对性,另一方面可以减少勒索病毒爆发带来的更严重的后果。勒索病毒检测技术通常可以分为两类:基于终端的、基于网络的恶意样本和恶意行为检测:这种检测行为具有很强的通用性,勒索病毒作为一种攻击来保护,一般的杀毒软件或者服务器安全工具也具备识别勒索软件的能力,此类产品的用户可以优先选择。专有的勒索病毒检测技术:随着勒索病毒威胁的逐渐增多,安全厂商也在不断推出专门针对勒索病毒的检测产品或工具。本产品可作为针对性勒索防护产品。采购申请。本文将介绍业界常用的五种勒索软件检测方法,并分析其应用的优缺点。静态文件分析如果在企业的其中一台关键服务器上触发警报,但警报消息相当笼统,只是报告文件可能是恶意软件。更糟糕的是,如果文件的哈希值不在VirusTotal(一个提供免费可疑文件分析服务的网站)上,安全分析师将无法在网上找到任何东西来确定文件是否是恶意的。此时,查看文件是否可能是勒索软件(或与此相关的任何恶意软件)的最佳选择是静态文件分析。静态文件分析是一种恶意软件分析方法,它在不实际运行代码的情况下查看可执行文件是否可疑。对于勒索软件,静态文件分析会查找已知的恶意代码序列或可疑字符串,例如常见的目标文件扩展名和赎金记录中使用的常用词。分析工具标记可执行文件中的可疑部分,并可用于检查文件中嵌入的字符串、库、导入和其他危害指标(IOC)。但这种检测方式需要依赖于为勒索软件构建的威胁情报系统,并且扩展名和可疑字符串在不断增加。同时,这种方式需要人工加工的比例较大,产品化程度可能较低。静态恶意软件分析检测实例的优点:?识别率高,误报率低;?可以相对有效地识别已知的勒索软件;?勒索软件攻击可以在执行前被阻止,因此文件不会被加密。缺点:?主要依靠人工分析,耗时长,产品化程度不够;?可以通过使用加壳器/加密器(Packer/Crypter)或简单地用数字或特殊字符替换字符来轻松绕过。常见文件扩展名检测借助文件访问监控工具,组织可以将具有勒索软件已知扩展名的文件重命名列入黑名单,或者在创建具有此类扩展名的新文件时发出警报。例如,Netapp的文件访问监控工具可让您阻止特定类型的扩展名(例如WannaCry勒索软件(.wncry))保存在存储系统和共享中。其他勒索软件黑名单解决方案包括ownCloud或Netwrix。研究人员编制了大量勒索软件扩展列表,包括常见勒索软件扩展列表。可以更方便的获取和使用。但该检测方法仅针对已知勒索病毒,对勒索病毒变种的防护较差。该方法可作为基础防护工具,与用户部署的终端安全产品形成联动。优点:?采用黑名单模式,误检率低;?可有效应对常见的已知勒索软件;?不会对正常的应用系统造成破坏。缺点:?易于绕过,难以识别具有新扩展的勒索软件;?很难找到具有扩展黑名单功能的文件监控工具。蜜罐文件蜜罐文件是故意放置在共享文件夹/位置中以检测可能的攻击者的虚假文件。一旦打开蜜罐文件,就会发出警报。例如,名为passwords.txt的文件可以用作工作站上的蜜罐文件。目前我国主流安全厂商推出的勒索病毒防护方案均采用这种方式进行防护,如安天、安恒、奇安信、深信服等。创建快速简单的蜜罐文件的常用方法是使用Canarytokens。Canarytokens是Canary的一款免费工具,可将令牌(唯一标识符)嵌入MicrosoftWord、MicrosoftExcel、AdobeAcrobat、图片和目录文件夹等文档中。优点:?可以检测静态引擎无法捕获的未知勒索软件。缺点:?存在误报,因为一些合法程序和用户也可能接触到诱饵文件。?如果勒索软件触及诱饵文件,重要数据文件将被主动加密;?如果勒索软件跳过隐藏文件/文件夹或攻击特定文件夹,则可以绕过。批量文件操作动态监控通过监控文件系统中批量文件操作(如重命名、写入或删除),安全人员还可以在勒索软件攻击发生时实时捕捉,甚至自动阻止攻击。文件完整性监控(FIM)工具可以帮助您以这种方式检测勒索软件。FIM通过将文件的最新版本与已知的、可信的“基线”进行比较来验证和验证文件,并在文件被篡改、更新或删除时发出警报。文件操作的动态监控需要一套文件存储列表。市场上有许多免费和开源的FIM工具,例如OSSEC和SamhainFileIntegrity,其他解决方案具有实时修复功能,因此可以通过威胁自动响应立即停止检测到的勒索软件。优点:?可以检测静态引擎无法捕获的勒索软件。缺点:?如果超过定义的节流阈值,文件可能会被加密,从而中断业务运营。?如果勒索软件在加密操作之间增加延迟,或生成多个进程来加密批次/文件组,则很容易绕过检测方法。衡量文件数据的变化(熵)在网络安全领域,文件熵是指一种特定的随机性指标,称为“香农熵”(ShannonEntropy):典型的文本文件具有较低的熵,而加密或压缩文件具有较高的熵。换句话说,通过跟踪文件数据更改的速率,安全人员可以确定文件是否已加密。使用文件熵来检测和阻止加密个人文件的非法进程。测量文件熵的工具还可以在多次标记更改、重大更改后快速阻止恶意进程。合法文件熵与恶意文件熵对比优点:?可以检测静态引擎无法捕获的勒索软件;?误报率低于上述动态检测方法。缺点:?终端设备的CPU资源使用率高;?文件将被加密直到达到一定程度的可信度,因此并非所有勒索软件破坏都可以避免;?如果攻击者只加密文件的一部分或加密块,则可以轻松绕过这种检测模式。底线:检测勒索软件可能很棘手,攻击者使用各种混淆技术来逃避检测,并且每天都会出现新的勒索软件变体。因此,组织需要使用多种不同的勒索软件检测方法,并充分了解每种方法的优缺点。此外,安全人员应始终假设勒索软件攻击会成功。因此,组织需要确保他们始终有适当的勒索软件预防和恢复策略。随着勒索软件攻击能力向更高层次发展,其攻击流程和能力已经与APT趋同。因此,勒索攻击防护体系的构建需要形成连续的预测、防护、检测和响应。根据受攻击的状态,可分为针对勒索病毒防护策略的建立、勒索病毒攻击的提前预防、勒索病毒攻击的识别与阻断、勒索病毒攻击的应急响应。
