尽管对勒索软件进行了许多研究,但仍然缺乏对勒索攻击的全面分类。在许多将付款视为唯一选择的重要组织中,知道攻击的类型可能会导致做出不同的决定。
本文调查了勒索软件攻击,并提供了所有基于恐惧的威胁的详尽分类法。提出了勒索软件攻击链的划分方案,并详细说明了每个阶段。本工作详细阐述了每个阶段涉及的所有技术的作用,最后基于攻击链研究了安全解决方案,攻击链可以帮助识别勒索软件表现出的行为模式并提供有效的防御策略。
0x01 Case study
为了说明I2CE3链的适用性,对几个不同的勒索软件系列进行了案例研究。这项研究表明,不同的勒索软件样本,无论它们属于哪个子类别,在攻击的每个阶段都具有相似的指标。下图分别描述了基于I2CE3的TorrentLocker和Koler攻击的六个步骤。
下表列出了在I2CE3链的每个阶段从其他勒索软件样本(包括Crypto和Wiper-Ransomware)中提取的指标。
0x02 Role of involved technologies
受最近技术推广的推动,勒索软件攻击在数量、多功能性和复杂性方面均显着增加。了解勒索软件变体的工作方式以及攻击流程中包含的技术可以使厂家更好地了解如何超越和击败它们。显然,理解感染媒介的特征,恶意有效载荷的传递以及C&C服务器接收指令的网络流量的特征,将有助于安全团队了解预期的内容,并采取适当的对策来防止或最小化这时勒索软件造成的损害。接下来,总结了此网络威胁中涉及的一些组件,并对其进行了探索。
密码学:勒索软件使用多种技术来阻止用户访问其资源,最常见技术是密码学。传统上,加密技术是一种用于即时保护信息安全的有用技术。它本质上是防御性的,并为用户提供隐私,自动和安全性。但是,此技术可能会被滥用。加密病毒学的概念最早由Adam Young和Moti Yung提出,这是对密码学的攻击性利用。加密病毒学是科学研究领域,重点研究密码技术和恶意软件的结合。病毒或Crypto Ransomware采用此技术来劫持数据。只要受害者没有支付赎金,解密密钥就不会交付给她/他。
各种对称和非对称加密算法均用于此目的,为了获得可接受的速度、高性能和鲁棒性,大多数勒索软件攻击使用混合方法。属于此类别的许多勒索软件通常使用快速对称算法(例如AES)来加密文件,然后使用诸如RSA和ECC之类的公钥算法来加密秘密密钥。 ECC比RSA应用相对较短的加密密钥。结果,与具有相同密钥长度的RSA相比,它更快并且需要更少的计算能力。该概念的证明是密钥大小为1024位的160位ECC和RSA的等效强度。相反,RSA的实现比ECC容易,并且由于缺乏复杂性,出错的可能性更低。 AES是采用共享密钥进行加密和解密的对称块密码,是勒索软件攻击中最常用的算法之一。该算法已在各种勒索软件中以不同的模式部署。
例如,TorrentLocker的早期版本在CTR(计数器)模式下采用AES算法来加密数据资源。但是,由于容易解密的错误,以后的版本取代了从CTR到CBC(密码块链接)的操作模式。 TeslaCrypt使用AES并利用CBC作为其操作模式。根据分类,属于Wiper-Ransomware类别的Petya和NotPetya利用流密码Salsa20进行磁盘加密。
密码库的普遍可用性及其易于使用是近年来有毒勒索软件攻击快速增长的关键因素之一。除了加密在加密和擦除勒索软件组中的作用外,该技术还用于保护勒索软件与其C&C服务器之间的通信安全。由于许多勒索软件系列在与C&C服务器通信时会获得加密密钥,因此确保C&C通信的成功进行非常重要。加密技术使得难以在网络级别检测恶意C&C通信。勒索软件攻击背后的帮派使用其他方法来保护C&C通道,例如CryptoWall 3.0版通过I2P网络与其命令中心进行通信,而以前的版本则利用Tor来模糊C&C通信。洋葱路由是大多数勒索软件攻击中通常提供的匿名通信项目之一,也使用加密技术。它利用多重和嵌套的加密过程来实现隐私
社会工程学:社会工程学一直是骗子手中流行的工具。在2000年代初期,它在网络攻击中变得更加激进。根据提出的针对勒索软件攻击的六步链,社会工程技术在感染和勒索阶段均发挥着至关重要的作用。通常,通过刺激用户的情绪(如玩笑,恐惧,紧迫感等)来执行勒索软件攻击中的社交工程。考虑到安全措施的进步和复杂性,可以说社会工程技术是传播恶意软件的最简单方法。如前所述,垃圾邮件是需要用户交互的主要污染媒介之一。大多数勒索软件攻击是通过诱使受害者访问恶意网页或通过社交工程技术打开网络钓鱼电子邮件中受感染的附件而发起的。为此,许多勒索软件垃圾邮件活动被伪装成例行信件,例如发票和交付通知。 Locky是2016年最臭名昭著的勒索软件之一,它使用此方法传播和煽动用户以接收恶意附件。
恐吓是在恐吓软件中勒索的主要心理因素。各种勒索软件系列还利用社会工程学策略来利用人们在勒索阶段的恐惧。许多勒索说明都包含倒数计时器,这意味着犯罪集团将以指数形式增加赎金的数量,或者在某些情况下,将在有效期过后永远消除大量文件。此外,规定的截止日期将导致受害人不愿寻求正规解决方案并在决策中犯错误。这些险恶的技巧将在诸如“时间”起着关键作用的医院等公司和组织中更加有效,因此大多数受害者都认为自己被迫支付了赎金。 WannaCry,SamSam,Defray和BitPaymer是这种情况的示例。
僵尸网络:垃圾邮件僵尸网络是大规模网络犯罪攻击的主要支柱之一。鉴于垃圾邮件网络钓鱼电子邮件是主要的感染媒介之一,因此必须将垃圾邮件僵尸网络问题视为分发勒索软件的主要行为者之一。简而言之,僵尸网络是在僵尸网络管理员的指挥下,成千上万台受感染机器的网络,即所谓的僵尸。通过对大量分布式机器人进行编程,基于僵尸网络的垃圾邮件活动可以在短时间内将成千上万的垃圾邮件发送给许多用户。僵尸网络在许多网络攻击中一直起着举足轻重的作用,包括DDoS、银行木马、垃圾邮件、勒索软件和加密矿工。
僵尸网络的体系结构从简单的客户端-服务器模型到对等设计。 CryptoLocker是2013年最糟糕,最臭名昭著的勒索软件之一,一直在使用Gameover ZeuS僵尸网络将其发布给受害者。 ZeuS是一个对等僵尸网络,它使用Cutwail垃圾邮件僵尸网络来传输大量诱人的网络钓鱼电子邮件。它主要用于金融犯罪。 Necurs是有史以来最大的已知僵尸网络之一,有许多受感染的僵尸程序,它通过勒索软件分发活动来安装,目的是向数百万用户发送垃圾邮件。从发动DDoS攻击到分发恶意软件,它涉及许多网络犯罪。 Necurs的踪迹是在勒索软件的传播中发现的,包括Locky、Jaff、GlobeImposter和Scarab。据报道,Necurs僵尸网络已从交付诸如Locky勒索软件和Dridex银行木马等恶意软件中获得了很多收入。但是,其转向了更复杂的欺诈,例如pump-and-dump股票欺诈。
Kelihos是另一个僵尸网络,为客户提供“垃圾邮件即服务” 。它被用于传播某些勒索软件系列,包括Troldesh(也称为Shade),Wildfire,CryptFIle和MarsJoke。僵尸网络在勒索软件攻击中的使用比迄今为止所看到的更加危险。在撰写本文时,就僵尸网络技术的新颖使用而言,Virobot是最新的已知勒索软件。被趋势科技标识为RANSOM_VIBOROT.THIAHAH的Virobot是具有勒索软件和僵尸网络功能的新型病毒。这意味着,一旦Virobot攻击了设备,除了进行加密之外,受感染的计算机将成为垃圾邮件发送者僵尸网络的一部分,以将勒索软件本身发送给更多受害者。
匿名网络:匿名网络的用途之一是在数字勒索攻击中的用途。在网络犯罪中采用匿名网络技术的原因很多。其中最突出的是执法机构和当局缺乏可追溯性。在通信中使用匿名性可以抵消许多安全工具中嵌入的黑名单策略。在I2CE3链的三个阶段(即通信,勒索和解锁)中,这项技术显而易见。许多勒索软件系列利用Tor和I2P等各种匿名网络与C&C服务器通信,以绕过网络流量检查。 Tor可通过TCP在实体之间提供匿名通信,它使用了一组志愿者机器来引导互联网流量。通信方的匿名性通常是通过洋葱路由实现的。在洋葱网络中,消息被封装到加密层中。但是,该技术可能会被诸如时序分析之类的方法所破坏。 I2P是另一个通过端到端加密提供匿名对等通信的示例。为此,它采用了 garlic routing。 CryptoWall 3.0版是典型的勒索软件,它利用I2P与其命令中心建立连接。
地下市场主要利用匿名网络与比特币等加密货币进行交易和走私商品。基本上,勒索软件背后的犯罪分子为受害者提供了勒索票据上的隐藏服务URL,这些URL需要安装Tor浏览器之类的应用程序或使用Tor2web之类的服务才能访问(支付赎金和释放劫持资源)。这种通信可防止窃听网络流量。例如,在完成文件加密之后的勒索和解锁阶段,CTB-Locker将通过Tor执行所有通信。通常,这是通过多个代理网站完成的,这些网站充当Tor隐藏服务的中继。 TeslaCrypt向受害者显示勒索说明,其中提供了使用Tor隐藏服务以及如何用比特币支付赎金的说明。同样,Cerber勒索软件为用户提供了用于付款的Tor2web网关列表。
DGA:C&C服务器是许多勒索软件系列的重要组成部分,它们扮演着攻击要素的协调角色。绝大多数勒索软件必须与C&C服务器通信,以进行破坏性行为,或者在收到勒索后清理受害者的机器并释放资源。 C&C服务器地址可以以IP地址或域名的形式硬编码在恶意软件二进制文件内部,可以通过静态分析轻松检测和阻止。
在许多情况下,攻击的持续时间取决于命令中心的可用性以及从命令中心收到的指令。勒索软件活动利用各种技术绕过安全系统,以防止其C&C服务器停机。这就是DGA作为与C&C服务器通信的秘密机制而发挥作用的地方。应用该技术至少在完全对算法进行逆向之前,将很难关闭C&C服务器。
域生成算法会在短时间内根据种子值定期生成大量伪随机域。这些域通常是附加到顶级域(TLD)的乱七八糟的字符串。生成的伪随机域根据其结构布局分为六个不同的组。负责处理C&C服务器的漫游器牧民注册一个或几个生成的域名。勒索软件将DNS查询发送到生成的域,以解析并连接到已注册的域。因此,由于这些查询,可能会做出几个NXDomain响应。域名的数量取决于DGA的结构和设计,例如Gameover ZeuS每天生成1000个唯一域,此方法有助于加强针对黑名单策略和基于签名的技术的攻击。尽管该技术仍然存在弱点,但在通过DGA机制与C&C通信的勒索软件中使用动态种子有助于增强其命令服务器。
加密货币:勒索软件是发展最快的行业之一,因为它提供了一种无需花费太多技巧或精力就能赚钱的方法。但是,在当前时代,网络犯罪分子不再仅仅出于经济动机,还出于政治动机。因此,根据攻击的目的,对手要求的赎金可以是金钱的,也可以是非金钱的。网络犯罪集团需要确保金融交易的安全,以确保攻击成功。因此,倾向于使用全球和分散的货币体系,而不是法定货币。数字货币和区块链技术通过消除中介机构并提供匿名性,为网络犯罪创造了获利机会。
如今,加密货币已成为计算机安全论坛中的热门话题,因为它的足迹已出现在勒索软件,加密矿工和网络钓鱼诈骗等许多攻击中。隐秘的货币由于其几乎无法追踪的性质,助长了勒索软件攻击的成功。随着2009年比特币作为第一种去中心化加密货币的出现,地下经济世界引发了革命,网络犯罪分子的注意力被吸引到了这种新的转账方式上。比特币是一种点对点的加密货币,它使用一个公开可用的共享交易分类帐,称为区块链。在大多数勒索软件攻击中,例如WannaCry,都是使用比特币付款。在网络攻击中使用数字货币的困难之一是市场的动荡,这使犯罪集团无法确切知道他们对受害者的要求是多少。因此,一些勒索软件家族(如 Scarab)在勒索阶段增加了谈判赎金金额的协商能力。除了比特币(勒索软件攻击最广泛使用的付款方式之一)外,诸如门罗币(Monero)之类的其他加密货币也越来越受到犯罪分子的欢迎。这种加密货币具有额外的安全性和隐私功能,可防止跟踪交易。例如, Kirk索软件将Monero用作勒索付款选项。
RaaS:在过去的几年中,勒索软件的威胁急剧上升。取得这种进展的原因之一是勒索软件即服务的概念,即RaaS。 RaaS平台的出现使任何用户都具有恶意创建自己的勒索软件变体的能力,即使没有知识。通过这种方式,勒索软件的主要作者专注于恶意代码的开发和推广,并将其传播委托给分支机构。通过轻松访问RaaS,网络犯罪分子可以轻松地迁移到提供RaaS的网站,并且只需花费很少的精力即可构建自己的勒索软件变体。 RaaS提供商小组会为每次成功感染赚取一部分赎金。
RaaS为僵尸网络的所有者或以任何方式访问许多计算机的人提供了良好的获利机会,Tox和Shark是RaaS平台的示例。这种平台的运营商主要使用匿名网络(例如Tor)来提供服务。此外,许多臭名昭著的勒索软件家族,例如Cerber,都利用这种业务模型在用户中广泛传播并获得更多利润。因此,可以将RaaS视为勒索软件攻击成功的因素之一。
0x03 Defensive approaches based on attack chain
网络安全威胁在不断发展,违法者正在寻找绕过保护系统的新颖方法。在过去的几年中,网络世界目睹了各种勒索软件攻击,并带有令人生畏的趋势。这种恶意软件已迅速成为全球个人和企业面临的最有害的网络安全威胁之一。不同的勒索软件系列采用了各种技术来规避安全监控系统规避的情况。由于勒索软件攻击的结果几乎是不可逆的,因此必须优先选择早期阶段的预防方法和/或检测。抵御勒索软件攻击的防御措施与抵制其他网络攻击中的程序有些相似。这些基于签名或基于异常的方法既可以部署为网络中的流量监视器,也可以部署为主机中的端点保护解决方案。由于在实践中基于签名的策略存在局限性,特别是在勒索软件变体的显着增长和采用打包和混淆等反法医学技术方面,行为检测方法已在网络安全范围内引起了广泛的关注。因此,基于行为的解决方案具有提供详细特征和识别零时差攻击的能力,因此更为有效。但是,这些技术还受到包括误报率高,资源显着消耗以及难以实施的限制。
通常,防御方法包括分析,检测,预防和恢复。在这里,将从建议的I2CE3攻击链的角度对勒索软件的最新防御性研究进行分类和调查。表3总结了其中的一些研究,以下各节对此进行了描述。
(1)感染阶段的防御
规避任何攻击的最有效策略首先是要防止这种攻击。了解各种勒索软件感染设备的类型对于抵御此类威胁至关重要。由于大多数勒索软件是通过网络钓鱼邮件中包含的恶意附件或链接进行传递的,因此分析和保护电子邮件是必不可少的主题。垃圾邮件及其恶意内容的调查可以协作进行勒索软件变种的分析,并在感染系统之前首先帮助识别它们。导致感染和勒索软件释放的恶意附件主要是MS Office,pdf或Zip文件的格式。诸如为愿意利用全部功能的用户禁用Microsoft Office文档中的宏之类的解决方案将是不可取的。同样,这些解决方案也不能推广到包含恶意有效负载的其他类型的文件。
由于攻击者使用社交工程技术在感染阶段取得成功,因此对用户进行教育是一种明确的策略,大多数文献中都建议这样做。但是,一些研究工作已从技术上解决了检测垃圾邮件和恶意内容的问题。在检测垃圾邮件和网络钓鱼站点方面的许多研究也可以扩展到勒索软件攻击。专注于移动网络钓鱼攻击和针对它们的防御机制,并提供了建议策略的全面分类法。为了检测恶意电子邮件,可以利用机器学习方法对特征进行了研究,这些特征是从电子邮件组件中提取的,并将随机森林评估为结果中的最佳分类器。可以利用机器学习方法来区分恶意电子邮件附件和良性电子邮件附件,检查两种类型的附件:压缩档案和Microsoft Office文档。可以在感染阶段使用的另一个解决方案是垃圾邮件陷阱,它属于蜜罐类别。
Android勒索软件系列中的感染媒介主要包括在应用程序商店中作为合法程序提供的恶意应用程序以及通过SMS或其他媒体链接到用户的恶意登陆页面。尽管移动勒索软件所遭受的损害要小于同类勒索软件,但由于移动设备的广泛使用,应将其视为严重威胁。 RanDroid是一种用于识别Android勒索软件种类的自动化轻量级方法。 RanDroid旨在在将APK文件安装到用户设备上之前对其进行检查。它利用静态和动态分析来从APK提取信息,例如锁定屏幕的外观和威胁性字符串。对于采用蠕虫式传播方法的勒索软件变体,可以限制对网络共享的访问。另外,如前所述,用于交付勒索软件的另一种常见方法是漏洞利用工具。漏洞利用工具是可自动利用漏洞的工具包。使用漏洞利用使他们不需要用户交互和社会工程。在这种情况下,更新操作系统和应用程序以及拒绝安装不必要的程序或过时的插件会很有帮助。
(2)安装阶段的防御
无论感染媒介是什么,恶意负载都以可执行二进制文件或脚本或嵌入文件中的宏的形式传递给受害者的系统,需要进行安装才能继续进行攻击。此阶段最好的防御策略是在端点上监视文件和过程。但是,这些方法的应用在执行阶段稍有变化。静态和动态分析是检查文件和生成与良性和恶意代码相关的签名数据集的两种主要方法。静态分析是调查文件并检测潜在恶意代码的快速方法。由于静态方法实际上并未运行代码,因此它们无法识别使用复杂技术的勒索软件系列。
此外,与其他恶意软件一样,大多数勒索软件也利用混淆和打包技术来阻止静态分析并绕过安全系统。因此,动态分析方法(也称为行为分析)开始起作用。通过在受控环境中执行代码的动态技术将能够观察其行为和功能。为此,可以使用诸如沙箱之类的技术来为新的和未知的勒索软件创建签名。这些分析工具将有助于监视和审查进程,注册表修改和网络活动,这是勒索软件安装阶段的主要支柱。
解决了代码注入问题的机制考虑了每个过程以及整个系统的短暂和长期历史记录。检测二进制代码内部的加密功能是另一种解决方案,可以在安装阶段使用,并且可以作为安全工具的补充方法。一种自动识别二进制代码中的密码原语的方法基于数据流图(DFG)同构,由于DFG是显示操作之间相关性的方法,因此应将其用于密码算法的识别。在所提出的方法中,首先,DFG被构造为对应于输入的二进制代码。然后使用重写规则对该DFG进行标准化。最后,搜索DFG中具有给定密码算法签名的同构子图。鉴于最后两个阶段是计算密集型的,为了获得可接受的性能,必须将二进制代码分段并用作输入。
CryptoHunt即使在各种混淆条件下,它也能够识别二进制代码内的常用加密功能,包括TEA,AES,RC4,MD5和RSA。为此,提出了一种称为位精确符号循环映射的技术。 HelDroid的目标是检测Android设备上的移动勒索软件。它基于静态分析,并在应用程序层考虑了勒索软件的行为。作者应用了基于NLP功能的文本分类器来识别威胁短语。建议方法的诊断能力取决于训练数据集。
一种基于形式方法的检测方法可以识别Android平台中的勒索软件代码指令。方法通过应用程序的字节码(而非源代码)识别勒索软件系列。因此,它独立于源编程语言和混淆技巧。作者重用了现有的复杂模型检查器,以避免性能下降。 EldeRan是一种机器学习方法,用于动态分析勒索软件攻击并对其进行分类。为此,它在安装阶段监视应用程序的早期活动。在此框架中,勒索软件最相关的动态功能是通过互信息(MI)准则识别的。 EldeRan因其速度快,易于训练和更新功能而使用正则化Logistic回归分类器,以便区分勒索软件和好软件。
一种基于结构熵和模糊逻辑算法的方法可以以区分Android勒索软件和合法合法的移动应用程序,直接在可执行文件上执行了分析。 通过将勒索软件样本的操作码序列转换为N-gram序列,然后为每个计算TF-IDF以选择特征N-gram来实现此目的。作者采用了五种机器学习算法来构建分类模型,并将其模型应用于来自八个家族的1787年勒索软件样本。
可以利用顺序模式挖掘技术来识别和提取加密勒索软件程序的最佳特征,以将其与良性应用程序进行分类和区分。应用的数据集涉及动态链接库(DLL)的日志,注册表和文件系统活动。这些日志是从运行勒索软件和良性程序的前10秒钟收集的。最后,利用包括J48,Random Forest,Bagging和MLP在内的分类算法来评估其所选功能的有用性。
一个名为DRTHIS的系统可部署在 fog层上,以检测勒索软件并确定其各自的家族。利用并比较了两种深度学习技术,即长期短期记忆(LSTM)和卷积神经网络(CNN)进行分类。作者关于使用机器活动功能作为模型输入而不是使用API调用的观点是,API调用容易受到篡改,并在通过神经网络进行样品分类时引起错误。
(3)通信阶段的防御
许多网络攻击需要与其指挥中心进行通信,以完成攻击过程,传播和感染更多设备或泄露受害者的信息。勒索软件也不例外。在许多使用非对称加密的勒索软件系列中,由于仅在与C&C服务器成功连接后才生成密钥对,因此,如果通信受到安全措施的干扰或从未建立,则攻击将不会进入破坏性执行阶段。因此,在此阶段部署防御方法可以有效防止进一步的损害。识别恶意C&C通信并不是一个新话题,并且已经考虑了很长时间。一些勒索软件活动使用二进制本身中的硬编码IP地址或域名进行通信,这些通信可以通过静态分析工具轻松发现。此域和IP地址的列表被称为恶意的,可以在基于网络签名的监视系统中使用。因此,为了逃避网络安全工具,许多勒索软件使用DGA来建立通道并与C&C服务器通信。该策略可以中和网络中的黑名单和基于签名的方法。结果,DGA流量的发现和识别以及诸如机器学习,信息检索和数据挖掘之类的技术的使用将有助于设计更有效的解决方案来对抗通信阶段的勒索软件攻击。
长期以来,一直在研究将恶意C&C流量与合法流量区分开来,尤其是在僵尸网络识别的情况下。 有一种解决方案解决了通过DGA检测随机生成的域而无需进行恶意软件逆向工程的问题。这种方法背后的见解是,由恶意软件或漫游器进行的查询将导致不存在域(NXDomain)响应。 一种识别勒索软件系列中DGA发出的DNS请求的方法用于发现并连接到实时C&C服务器,作者利用马尔可夫链来检测乱码查询,声称提出的框架能够识别使用DGA与命令中心进行通信并交换公钥的勒索软件。
一种基于软件定义的网络工作(SDN)的系统受其对两个勒索软件系列CryptoWall和Locky的流量特性的观察启发,分析HTTP消息的顺序及其各自的内容大小足以识别此类威胁。 。
(4)执行阶段的防御
尽管执行阶段的防御有些晚,但有人认为在此阶段部署了针对以前未知的勒索软件系列的最实用的防御解决方案。 DoDR勒索软件需要文件的读写操作来加密或篡改其内容。在执行阶段防御勒索软件最有效且最常用的方法之一是通过各种方法来监视文件系统活动,包括挂钩系统服务描述符表(SSDT)。同样,在Crypto-Ransomware类中,一种防御策略是利用加密算法的设计和实现中的缺陷。在使用对称加密技术的情况下,由于密钥一直保留在受害者的机器中,直到用户在线并将密钥发送回C&C服务器为止,因此可以利用内存取证工具进行内存转储。此阶段的另一项安全措施是审查勒索软件系列中常见的文件夹列表操作。但是,文件系统扫描仪也表现出此行为。监视和保护主文件表(MFT),其中包含有关NTFS卷上所有已存储文件和目录的信息,是执行阶段的防御策略之一。由于在数字勒索攻击中(尤其是在LockerRansomware类别中)对MBR的操纵,因此现阶段还建议观察MBR的变化。
控制和限制对密码工具的访问可能是勒索攻击中提出的第一个对策,其重点是防御的执行阶段。但是,此方法无法检测在其内部采用嵌入式加密方法的勒索软件实例。如前所述,在执行阶段,勒索软件狂热地遍历文件系统以查找目标文件。ShieldFS,一种保护Windows本机文件系统免受勒索软件威胁的附加驱动程序。它创建了一组自适应模型,其中包含由不同的良性应用程序生成的超过17亿个I / O请求数据包(IRP),并通过监视一段时间内的低级文件系统活动来对其进行更新。提议的方法将这些信息与数据(例如写入熵,时间戳等)结合起来,以区分运行中的软件和好软件。任何违反此类模型的进程都将被检测为恶意程序,并且其操作将被回滚。此外,ShieldFS寻找指示符来说明对称密码原语的使用。为此,它调查了潜在恶意进程的内存,以查找典型的块密码密钥计划的痕迹。
通过查看I / O请求并保护NTFS文件系统中的MFT,可以检测并防止大量新的勒索软件攻击。UNVEIL是一种动态分析系统,该系统能够分析、识别和建模勒索软件攻击的行为,基于监视文件系统访问并检查勒索软件执行的前中后所截取的屏幕快照的相似性分数。 UNVEIL中的文件系统监视组件可以直接访问I / O请求中涉及的数据缓冲区。它通过Windows Filesystem Minifilter驱动程序而不是使用挂钩技术来观察文件系统I / O活动。在Locker-Ransomware类别的情况下,作者利用开放源代码OCR引擎从屏幕截图中提取威胁文本(在勒索说明中常见)。但是,UNVEIL并不是端点解决方案,其设计目的是分析和建模勒索软件攻击。
鉴于某些类型的勒索软件使用自己的加密功能,仅监督对标准密码库的调用是不够的。一种以数据为中心的方法,称为CryptoDrop,可以用于检测和阻止倾向于操纵文件的勒索软件攻击。 CryptoDrop不是监视程序,而是检查用户数据是否存在可疑更改。作者利用三个主要指标来识别这些恶意更改。文件类型更改,使用哈希函数的相似性度量以及Shannon熵。
一种基于白名单的勒索软件检测方法将访问控制策略应用于文件操作过程。白名单包含应用程序使用模式的记录,并且不需要由信任方进行更新。提出的方案包括内核模式下的文件监视组件,用户模式下的访问控制组件和访问控制DB。方法仅关注文档和系统文件。基于蜜文件的方法会检测和阻止勒索软件攻击。一旦恶意进程读取了在目标环境中部署的蜜文件,就使用的名为R-Locker的工具就会阻止攻击。
(5)勒索阶段的防御
勒索软件攻击背后的团伙不仅在寻找安全和无法追踪的东西,而且还为受害者提供了简便的付款和交换方法,使用的最著名的数字货币是比特币。然而,门罗币的足迹也出现在互联网攻击中,尤其是加密矿工。同意受害者支付勒索赎金可以帮助强化勒索软件背后的黑客,但不能保证恢复数据并针对同一受害者重复这种攻击。虽然在勒索阶段之前已经进行了许多破坏性行动,并阻止了对资源的访问,但这一阶段也可以提供防御的机会
在勒索阶段,大多数有关防御的研究都集中在对比特币交易进行分析和分类。例如在CryptoLocker的情况下,考虑了通过检查赎金支付时间戳来分析比特币交易的问题。
一个名为BitIodine的模块化框架,该框架能够解析属于同一实体的区块链和集群地址。作者发布了此框架以构建比特币取证工具,特别关注从比特币网络中提取的信息的可视化。用于恶意目的的比特币地址共享相似的交易记录,包括活动时间短,发现量少,交易记录少等。实际上,它们根据交易历史记录对地址进行区分和分类。
(6)解锁阶段的防御
通过留在受害者机器上的勒索票据中包含的信息或通过分析方法来识别勒索软件系列,对于解锁或解密受影响的文件很有用。因为,某些勒索软件变体已经被第三方安全公司发现并发布了对策。因此,在此阶段,也可以使用所有确定了运行软件家族的研究。除了防御性解决方案外,制定备份计划以抵制和减轻勒索软件攻击的影响也是很不容易的。备份文件应保存在安全,隔离的位置,并且不受勒索软件威胁的影响。因为某些勒索软件系列已开始将备份文件作为目标,这是其执行阶段的一部分。检查备份的准确性并在测试平台中从备份中恢复文件应视为备份计划的一部分。
CloudRPS为用户提供备份计划,同时分析和防止勒索软件攻击。RDS3通过隐式备份计算设备的备用空间中的数据来提供恢复功能。通过协调访问文件的请求并将特权请求重定向到受保护区域,可以保持用户原始数据的一致状态,从而提供补救功能。一种通过备份技术恢复受勒索软件感染的文件和系统的方法,当勒索软件调用加密库的功能时,所提出的程序将被触发并将秘密密钥存储在安全的存储库中。
可以将PayBreak实施为一种针对加密勒索软件威胁的主动防御机制。提出的模型监视程序,这些程序调用加密功能并拦截对此类功能的调用。然后,通过引入密钥托管机制,将对称会话密钥安全地存储在密钥库中。通过提供此功能,PayBreak允许受害者无需支付赎金即可检索受感染的文件。FlashGuard是耐勒索软件的固态驱动器(SSD),可提供固件级别的恢复系统。它的设计者修改了SSD的垃圾收集机制,以保护受影响和加密数据的副本的安全。结果,它能够通过返回其先前版本来恢复所有被覆盖的页面。
0x04 Conclusion
在过去的几年中,诸如勒索软件,Doxware和恶意加密矿工之类的网络犯罪攻击被在野利用。网络犯罪分子一直在寻求创新方法,以便根据人们的恐惧进行数字勒索。勒索软件被认为是通过地下市场勒索赚钱的最成功方法之一。蠕虫式传播机制已经为勒索软件活动引入了快速分发。得益于RaaS商业模式,勒索软件行业变得更加繁荣,坏人可以轻松地拥有定制的勒索软件而无需太多的技能和时间。基于勒索软件行业的不断增长和投资的快速回报,人们期望勒索软件开发人员将继续为自己的变体提供新功能,以扩展目标领域并扩大业务范围。因此,开发一种针对此类攻击的保护机制非常重要。但是,如果不全面了解这些威胁,几乎不可能设计出有效的防御系统.
在每个阶段确定的指标使安全专业人员可以根据这些指标建立解决方案,并在早期阶段消除攻击。尽管勒索软件领域正在进行研究,但仍存在一些需要解决的挑战。 主要挑战之一是缺少具有代表性特征的勒索软件实例的完整数据库,因此基于机器学习和统计技术的技术可以使用通用数据集来测试其方法并将其与其他方法进行比较。 这是未来研究计划的一部分。 考虑到研究的分类,可以看出在执行阶段更加注重提供防御性解决方案,而以牺牲大量文件为代价。 由于这种攻击具有不可逆的影响,因此在预执行阶段需要对预防性解决方案进行更多工作。 在安装阶段提取特征也是另一个有趣的研究主题。