Michael Nadeau Charles

勒索軟件檢測和恢復工具以及相關技術正變得越來越強。然而，勒索軟件開發(fā)者也是如此。他們讓勒索軟件更難以被發(fā)現(xiàn)，加密文件也更難以被恢復。

安全運營相對于勒索軟件的優(yōu)勢之一是它能夠做出預測。它以線性的方式工作，這樣，安全工具和安全部門在檢測到勒索軟件后就有機會盡量減少損害。而我們現(xiàn)在看到的跡象表明，勒索軟件的制造者們也在盡力讓自己的所作所為不被預測到。

卡巴斯基實驗室全球研究和分析部門（GReAT）高級安全研究員Brian Bartholomew介紹說：“在一天結束的時候，勒索軟件必做的一件事就是覆寫或者鎖定文件系統(tǒng)。”他指出，與覆寫或者鎖定數(shù)據(jù)相關的線性活動使我們很容易檢測到勒索軟件。Bartholomew說：“如果把系統(tǒng)中所有的文件看成是一個列表，那么勒索軟件就會按照列表順序開始對文件進行加密?！?/p>

黑客們也是越來越聰明，試著去改變勒索軟件的可預測性，以避免被檢測到。下面介紹了他們正在使用的一些新伎倆。

減慢加密過程

Bartholomew說：“一些勒索軟件的創(chuàng)造者們把加密過程分散開來，這樣就不會一次完成加密。而是在一段較長的時間內(nèi)完成。”目的是讓自己低于任何檢測工具的觸發(fā)閾值。Bartholomew解釋說：“例如，防病毒軟件會檢測是否出現(xiàn)了10秒內(nèi)訪問1000個文件這種情況。那么，黑客們會把時間間隔延長到10分鐘以上，這樣就檢測不到什么東西。我們看到這種情況越來越多了?！彼a充說，黑客們把加密過程延展到很長一段時間，這樣帶來的一大危險是備份文件也可能被加密。

加密過程被隨機化

勒索軟件制造者也一直在對其加密或者覆寫文件所采用的方法進行隨機化處理，而不是線性地把文件過一遍。這有助于避免被使用尋找線性模式的反勒索軟件工具檢測到。

通過文件而不是電子郵件傳播勒索軟件

電子郵件中的惡意鏈接仍然是傳播勒索軟件最常用的方法。企業(yè)加強了對員工的教育，告訴他們不要點擊可疑電子郵件鏈接，一些勒索軟件犯罪分子隨之開始改變策略。他們不再使用鏈接，而是PDF、微軟Word或者其他常見文件類型等文檔附件。這類文檔會包含啟動勒索軟件的腳本。

CyberSight公司銷售反勒索軟件產(chǎn)品，該公司首席運營官Hyder Rabbani指出：“我們現(xiàn)在看到的是，原本無害的PDF文件和JPEG照片現(xiàn)在攜帶了能夠植入到企業(yè)環(huán)境中的惡意程序。你可能會收到一條短信，上面寫著，‘這是您的發(fā)票，或者‘這里有您的照片。人們總是會點擊這些東西?！?/p>

加密硬盤卷標

更惡劣的是，一些黑客繞過文件，直接對硬盤卷標下手。Bartholomew說：“我們看到有人瞄準了硬盤最核心的地方，主引導記錄。這是硬盤的根本。如果他們能破壞這些地方，他們就可以控制硬盤其余的部分來進行勒索，不需要加密每一個文件。”

使用多態(tài)編碼

多態(tài)編碼的使用也使得更難以檢測到勒索軟件。Bartholomew說：“對于惡意軟件安裝在不同受害者上的每一具體情形，它都會稍微改變其編碼，然后再去擴散。這樣，靜態(tài)的方法很難檢測到勒索軟件文件?！?/p>

Rabbani指出，檢測工作的難點在于多態(tài)編碼變化的頻次——快到每15秒或者20秒就變一次。他說：“一旦確定了勒索軟件的簽名，就比較容易去阻止它。然而，隨著編碼的不斷變化，它看起來是某種新型勒索軟件，那就很難去阻止它?！?/p>

使用多線程攻擊

典型的勒索軟件攻擊一般會啟動一個進程來執(zhí)行加密。在多線程勒索軟件攻擊中，勒索軟件主代碼會啟動多個子進程來加速加密過程，使其很難被停止。Rabbani介紹說：“你也許能停止一兩個進程，但其他的會繼續(xù)執(zhí)行，直至造成損害。要停止并行攻擊更是難上加難。”

Rabbani見識過的恐怖場景是，多線程攻擊結合了多態(tài)勒索軟件。他說：“處理器和內(nèi)存很快就會過載，所有的進程都會迅速慢下來。”

7.提高勒索軟件編程技巧

隨著勒索軟件開發(fā)者不斷提高自己的技巧，解密變得越來越困難。Bartholomew指出：“獲得解密工具依賴于一些因素。例如，勒索軟件作者在實施加密過程中犯了錯誤。他們沒有管理好密鑰，或者他們使用可預測的數(shù)字發(fā)生器來產(chǎn)生密鑰?！崩眠@些錯誤，研究人員便能夠找到勒索軟件解密密鑰。

Bartholomew說：“這種情況經(jīng)常發(fā)生。通常，寫這些東西的人并不是加密專家。”然而，他注意到這也出現(xiàn)了變化，新版本的Crysis勒索軟件便是這種情況。“在Crysis的早期版本中，作者在加密上犯了錯誤，所以我們能編寫解密程序。現(xiàn)在他們修復好了，沒有辦法解密，我們只好一點點仔細地去梳理它?！?/p>

8.利用勒索軟件聲東擊西

Bartholomew看到去年大幅攀升的另一趨勢是，網(wǎng)絡犯罪分子利用勒索軟件作為轉移注意力的手段，以隱藏其他類型的攻擊，或者更容易去實施別的破壞活動。“他們把勒索軟件當作一種普通的破壞攻擊手段，背后是一些政治企圖，或者要在互聯(lián)網(wǎng)上造成嚴重破壞，也有可能把勒索軟件當作一種掩飾，能讓他們在其他地方安裝惡意軟件?！?/p>

使用勒索軟件獲取經(jīng)濟利益仍然是犯罪分子最常見的動機。據(jù)SentinelOne最近的一項調(diào)查顯示，所有勒索軟件攻擊中的62%是為了經(jīng)濟利益，而38%是為了破壞業(yè)務。只有24%的攻擊是出于政治動機。Bartholomew擔心這可能會改變?！拔覀儼l(fā)現(xiàn)了一些的確越過底線的犯罪分子，一旦越過底線，情況會變得更糟。更多的犯罪分子將采用這種技術?！彼昧艘徊╓annaCry勒索軟件攻擊的例子，這波攻擊讓文件無法解密。

新聞中經(jīng)常出現(xiàn)的最可能發(fā)動破壞性勒索軟件攻擊的兩類組織是以伊朗和朝鮮為代表的國家資助的犯罪分子組織，以及黑客組織。Bartholomew說：“這不是一名高中生能做的。要發(fā)動一場成功的破壞性攻擊，需要利用漏洞?！彼昧薟annaCry，這一勒索軟件利用了大家都沒有打上補丁的漏洞。“一旦開始，就根本沒有辦法阻止它的蔓延?！?/p>

企業(yè)要保護自己免受這類勒索軟件攻擊的唯一方法是，保持良好的安全習慣，確保員工得到了適當?shù)睦账鬈浖嘤枺⑶矣锌煽康膫浞莺突謴瓦^程。Bartholomew指出，有些公司使用瘦客戶機，在用戶系統(tǒng)上沒有硬盤，用戶登錄到虛擬系統(tǒng)中。他說：“這些都很容易恢復，因為它們是虛擬系統(tǒng)?！?/p>

9.很少把現(xiàn)代操作系統(tǒng)作為攻擊目標

與以前的版本相比，最新版本的微軟Windows 10和蘋果MacOS讓勒索軟件攻擊者很難得手。然而不幸的是，還有數(shù)以百萬計運行舊操作系統(tǒng)而且沒有打上補丁和進行更新的系統(tǒng)仍在使用中。

Rabbani說：“針對新操作系統(tǒng)的攻擊還不太常見，只是因為更容易攻擊已知漏洞而已?！彼赋?，CyberSight在Windows XP系統(tǒng)上提供勒索軟件保護方面有“巨大的客戶需求”。他說：“例如，幾乎每天都有在所有POS（銷售點）系統(tǒng)上運行XP的客戶和我們聯(lián)系，他們發(fā)現(xiàn)自己存在可能被利用的漏洞?！?/p>

10.尋找橫向跨網(wǎng)的新方法

Rabbani預計，勒索軟件的橫向跨網(wǎng)移動將“大幅上升”。例如，用戶會在星巴克或者酒店里使用移動設備，那么有人就有可能通過被攻破的通信端口在設備上加載惡意軟件。他說：“從這些地方，他們可以穿過網(wǎng)絡進入公司服務器。這種情況可能會越來越多?！?/p>

11.延緩勒索軟件攻擊

Rabbani預計很快出現(xiàn)的一種戰(zhàn)術是他所謂的“放置復活節(jié)彩蛋”，勒索軟件感染系統(tǒng)，但處于休眠狀態(tài)，一段時間后才被激活。他說：“有人可能會利用被攻破的憑據(jù)來植入勒索軟件復活節(jié)彩蛋，一直隱藏下去?！痹诖似陂g，尋找機會來傳播惡意軟件。

研究人員怎樣適應不斷變化的勒索軟件威脅

這些適應措施都有可能檢測到勒索軟件。Bartholomew在談到卡巴斯基怎樣適應勒索軟件新策略時說：“必須把每一個勒索軟件都當成是已知的，并針對它編寫檢測代碼。分析它，看看它是怎樣工作的，然后改變自己的檢測方法。這是一場持續(xù)不斷的貓捉老鼠的游戲。”

一些反勒索軟件工具采用了更為數(shù)據(jù)驅(qū)動的方法來對抗勒索軟件不斷變化的特性。例如，ShieldFS的開發(fā)者稱自己的工具是“能夠自我恢復、能夠感知勒索軟件的文件系統(tǒng)?！盨hieldFS在去年夏天的黑帽USA大會上宣布建立了基于公開數(shù)據(jù)集的檢測模型，該模型使其能夠區(qū)分勒索軟件行為和正常進程之間的區(qū)別。如果檢測到勒索軟件，ShieldFS能夠自動恢復受損文件，使其恢復到勒索軟件攻擊前的狀態(tài)。

ShieldFS目前是NECSTLab.DEIB在意大利米蘭的一個研究項目。你可以在從那里找到技術說明。那里還介紹了ShieldFS在黑帽大會上所做的WannaCry演示。

良好的協(xié)作和溝通也是對抗勒索軟件的重要因素。Bartholomew引用了卡巴斯基實驗室共同發(fā)起的一個名為“拒絕勒索！”的項目。該項目收集并提供勒索軟件解密工具，提出預防建議，以及向社區(qū)報告勒索軟件犯罪的方法。

與執(zhí)法部門合作是“拒絕勒索”的一個重要因素！Bartholomew說：“我們可以通過讓執(zhí)法部門捕獲攻擊者使用的服務器來幫助我們獲得密鑰?！比绻接忻荑€在服務器上，項目成員可以通過網(wǎng)站并編寫解密工具來得到密鑰。

一些勒索軟件通過偽裝或者修改勒索軟件數(shù)字簽名來避免被檢測到，對此，有些供應商重點采用行為分析，有時利用機器學習來進行識別。這一方法對于已知威脅是有效的，但對于新型勒索軟件，由于沒有識別所需要的足夠的數(shù)據(jù)，因此對新勒索軟件不太有效。

面臨的挑戰(zhàn)是識別新威脅，建立行為分析檢測所需的數(shù)據(jù)集，然后盡快將這些數(shù)據(jù)集分發(fā)給所有需要的人們。這就是CyberSight在其RansomStopper產(chǎn)品上所做的。Rabbani說：“我們培育了最新最好的勒索軟件毒株，然后通過運行我們的軟件來觀察其行為?！?/p>

然后，他們使用機器學習為每個毒株創(chuàng)建基于機器的解決方案。Rabbani介紹說，通過聯(lián)合云環(huán)境推出這些解決方案，在每一個運行CyberSight軟件的系統(tǒng)上更新算法。

機器學習將在識別勒索軟件新變種方面發(fā)揮更大的作用。有人建議用它來預測某一毒株在早期版本的基礎上經(jīng)過迭代后會發(fā)生怎樣的變化。這項工作還主要是理論上的，但它表明了機器學習最終能預測新的勒索軟件威脅，為新出現(xiàn)的威脅做好準備。