序論:在您撰寫淺談勒索軟件檢測技術時���,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的1篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度���。
摘要:勒索軟件是指通過鎖定設備�����、加密或損毀文件等攻擊形式進行金錢勒索的惡意軟件�。近年來��,全球勒索攻擊呈爆發(fā)式增長,為遏制勒索攻擊的高發(fā)勢態(tài)��,安全研究人員提出諸多檢測技術�,以實現(xiàn)對勒索軟件的快速研判響應。本文對現(xiàn)有研究工作進行系統(tǒng)歸納總結���,并根據(jù)勒索軟件的發(fā)展趨勢����,討論檢測技術未來可行的研究方向���。
關鍵詞:勒索軟件�����;攻擊檢測���;網(wǎng)絡安全
隨著互聯(lián)網(wǎng)技術的快速發(fā)展,針對數(shù)字資產(chǎn)的勒索攻擊已經(jīng)成為網(wǎng)絡安全領域的重要威脅����。據(jù)安恒信息威脅情報中心統(tǒng)計,僅2021年上半年,全球至少發(fā)生了1200起勒索軟件攻擊事件��,所造成的直接經(jīng)濟損失高達300億美元[1]�����。2022年��,哥斯達黎加成為首個因勒索攻擊而宣布進入“緊急狀態(tài)”的國家����,三星��、英偉達�����、豐田等大型企業(yè)機構也紛紛遭受勒索攻擊[2]��,足以說明勒索攻擊已成為席卷政府��、制造�����、交通等多行業(yè)的全球性安全威脅。而早發(fā)現(xiàn)�、早響應是遏制勒索攻擊,降低資產(chǎn)損失的重要手段���,為實現(xiàn)對勒索攻擊的快速響應��,國內(nèi)外安全研究人員在梳理勒索軟件攻擊流程的基礎上�����,開展了大量的勒索軟件檢測技術研究�。
1勒索軟件攻擊流程
勒索軟件主要可分為三種類型:恐嚇型��、鎖屏型和加密型�����?���?謬樞屠账鬈浖棾鐾{消息,利用被害者的恐懼心理來實施勒索�����,但一般不會對系統(tǒng)造成實際性破壞。鎖屏型勒索軟件會鎖定設備屏幕或鍵盤�,但通常可采用進入安全模式后開啟殺毒軟件的方式進行查殺���。加密型勒索軟件會對受害者的數(shù)據(jù)資產(chǎn)實施加密,以解密數(shù)據(jù)為要挾來索要贖金����,是作案范圍最廣、造成經(jīng)濟損失最嚴重的勒索攻擊形式�。因此,本文將重點介紹加密型勒索軟件的一般化攻擊流程����。
1.1入侵嘗試
勒索軟件采用系統(tǒng)漏洞、網(wǎng)頁掛馬�、遠程桌面協(xié)議(RemoteDesktopProtocol,RDP)暴力破解等方式來實現(xiàn)入侵��。勒索軟件所利用的系統(tǒng)漏洞可分為零日漏洞和未修補漏洞��,零日漏洞是尚未被公開披露���,無補丁的安全漏洞�,因此具備滲透成功率高、影響范圍大的特性����;未修補漏洞存在官方補丁,但由于大量機構疏于安全管理����,漏洞未被及時修復,因此可被勒索軟件重復利用�。在網(wǎng)頁掛馬攻擊中,攻擊者會在網(wǎng)頁中嵌入惡意代碼��,當用戶訪問網(wǎng)頁時����,代碼會自動執(zhí)行勒索軟件的下載與運行操作。RDP暴力破解會掃描Windows主機的3389端口��,如端口開啟��,則證明當前主機允許遠程連接�����,之后再采用字典攻擊去嘗試猜測登錄密碼�����,以實現(xiàn)對Windows系統(tǒng)的非法訪問。鑒于后疫情時代下常態(tài)化遠程辦公模式的影響��,RDP暴力破解已成為勒索軟件的首要攻擊切入點[3]����。
1.2信道建立與橫向滲透
多數(shù)勒索軟件在實現(xiàn)入侵后,會與命令與控制服務器(Command-and-Controlserver����,C&Cserver)建立連接��,以實現(xiàn)加強控制���、傳遞數(shù)據(jù)�、獲取密鑰等目的��。例如勒索軟件會將用戶數(shù)據(jù)回傳至服務器��,后續(xù)以泄露數(shù)據(jù)為威脅�����,強化勒索效果;或根據(jù)C&C服務器下發(fā)指令執(zhí)行潛伏操作�,有效躲避安全軟件監(jiān)測。此外�,在機構內(nèi)網(wǎng)環(huán)境中,勒索軟件還會以當前主機為跳板����,利用從C&C服務器中下載的惡意載荷來實現(xiàn)橫向滲透,不斷擴大攻擊的影響范圍����。
1.3文件加密
勒索軟件會嘗試尋找系統(tǒng)中的高價值數(shù)據(jù),例如根據(jù)文件擴展名����,將.doc、.pdf等類型的用戶文件作為加密目標�����。出于效率考慮����,多數(shù)勒索軟件會采用對稱加密與非對稱加密相結合的混合加密模式。以WannaCry勒索軟件為例��,其采用AES與RSA相結合的加密方式,先根據(jù)文件數(shù)量�,隨機生成等量的AES密鑰,對受害人文件進行加密��;再提取攻擊者預先生成�����、內(nèi)嵌在代碼中的RSA公鑰��,采用兩級RSA加密的方式加密AES密鑰�,并將加密結果寫回對應加密文件頭部[4]。除非獲取到攻擊者預先生成的RSA私鑰���,否則無法解密被加密文件。
1.4勒索實施
在完成加密操作后�,勒索軟件會在系統(tǒng)明顯位置展示勒索警告,告知被害者需繳納的贖金數(shù)額與支付方式�����。而加密貨幣的匿名與去中心化特性能大幅降低贖金被追蹤定位的可能�����,因此,近年來勒索軟件多通過匿名網(wǎng)絡向被害者提供加密貨幣贖金地址���。此外�����,勒索軟件還會采用設定支付時限���、發(fā)布攻擊公告、公開部分數(shù)據(jù)等威脅方式來施加壓力����,迫使受害者盡快妥協(xié)并支付贖金。
2勒索軟件檢測技術分析
安全人員提出了諸多檢測方法來實現(xiàn)對勒索軟件的快速響應與阻斷���。根據(jù)檢測方法的特性����,本文將檢測方法劃分為靜態(tài)特征檢測���、動態(tài)沙箱檢測��、蜜罐觸發(fā)����、網(wǎng)絡行為分析、文件行為分析五類����,以下將進行分類介紹。
2.1靜態(tài)特征檢測
靜態(tài)特征檢測指在不運行程序的情況下�,通過提取分析程序文件結構、調(diào)用函數(shù)����、字符串常量等靜態(tài)特征來判定程序?qū)傩缘囊环N檢測方法。靜態(tài)特征檢測多采用特征碼匹配的方式��,會利用勒索軟件中的字節(jié)序列��、字符串集等信息生成特征庫��;在檢測時�,掃描獲取軟件的相關特性�,并與特征庫中的信息進行匹配,如匹配成功�,則證明其為勒索軟件。靜態(tài)特征檢測的優(yōu)勢是檢測速度快��,至今仍是安全軟件中運用最為廣泛的檢測方法;劣勢是泛化能力差�,勒索軟件可通過加殼、代碼混淆��、多態(tài)實現(xiàn)等方式來改變程序靜態(tài)特征���,進而逃避檢測����。
2.2動態(tài)沙箱檢測
沙箱檢測是指在安全隔離或受控虛擬環(huán)境中運行可疑軟件��,通過監(jiān)控并分析軟件運行產(chǎn)生的多維行為數(shù)據(jù)來判定軟件惡意屬性的一種檢測技術���。沙箱的監(jiān)控是細粒度的�����,能獲取注冊表�、文件���、內(nèi)存���、網(wǎng)絡等資源訪問關鍵行為與API調(diào)用序列����。許多沙箱還內(nèi)置了檢測模型���,能自動化開展勒索軟件檢測����,例如360發(fā)布的沙箱云產(chǎn)品����。此外,部分沙箱還提供交互服務功能�,能為安全人員開展后續(xù)分析提供數(shù)據(jù)來源,例如文獻[5]基于ANY.RUN沙箱所采集的勒索軟件運行API序列進行特征向量轉(zhuǎn)換���,并建立機器學習算法模型開展檢測���,實驗結果顯示模型對于未知勒索軟件樣本的檢出率可達96.7%。沙箱檢測主要有兩項缺陷:一是易被規(guī)避����,近年來的Colossus、PyLocky等勒索軟件內(nèi)置了用戶交互行為檢測���、延時啟動��、真實系統(tǒng)特征查詢等沙箱規(guī)避技術��,將大幅降低沙箱的檢測效果���;二是沙箱的細粒度監(jiān)控所帶來的系統(tǒng)性能高負載與檢測結果高延遲,導致其難以適用于實時檢測場景��。
2.3蜜罐觸發(fā)
蜜罐觸發(fā)是一種基于欺騙的檢測方法�,蜜罐是部署在真實環(huán)境中的虛假高價值目標,旨在吸引勒索軟件率先對蜜罐實施入侵�,并在入侵發(fā)生后,利用監(jiān)控系統(tǒng)對攻擊行為進行記錄�����、識別與阻斷����。蜜罐的可定制化程度高,能根據(jù)部署場景進行靈活變更��,例如在機構內(nèi)網(wǎng)環(huán)境中可被設定為關鍵應用數(shù)據(jù)庫,而在用戶系統(tǒng)中可被設定為敏感路徑下的誘餌文件��。文獻[6]實現(xiàn)了Windows平臺上基于誘餌文件的勒索軟件檢測�,核心思想是在系統(tǒng)關鍵位置動態(tài)部署誘餌文件,同時監(jiān)視針對誘餌文件的可疑訪問行為�����,將修改誘餌文件的進程判定為勒索軟件���。蜜罐觸發(fā)檢測方法有兩點優(yōu)勢:一是誤報率低�����,蜜罐作為誘騙陷阱�����,基本不會被正常用戶訪問��,因此針對蜜罐的訪問或操作均可被認為是異常行為���;二是可以檢測未知威脅,因為蜜罐監(jiān)控入侵結果��,而不關注入侵行為的具體實現(xiàn)方式,所以可檢出采出新變種的勒索軟件���。但缺陷在于檢測效果極度依賴于勒索軟件的攻擊路徑選擇,而當勒索軟件未觸發(fā)蜜罐或觸發(fā)時刻較晚時�����,系統(tǒng)就會遭受較大損失���,因此該方法在檢出率和實時性上的表現(xiàn)欠佳�����。
2.4網(wǎng)絡流量分析
多數(shù)勒索軟件會在入侵后嘗試與C&C服務器建立連接�,因此C&C服務器域名檢測技術成為識別勒索軟件的關鍵一環(huán)�����。域名黑名單可攔截傳統(tǒng)的硬編碼域名���,但無法將利用域名生成算法(DomainGenerationAlgorithm���,DGA)生成的大量備選域名全部添加到黑名單中���。當前的DGA域名識別技術利用了信息熵、域名長度���、字符轉(zhuǎn)移概率等特征的傳統(tǒng)機器學習方法和深度學習模型�,并取得了較好的檢測效果�。但研究發(fā)現(xiàn)勒索軟件正逐步使用DNS加密協(xié)議來傳輸DGA域名,這將導致以明文DNS請求為數(shù)據(jù)源的域名檢測方法失效���。此外�����,由于勒索軟件會執(zhí)行獲取加密密鑰����、上傳機密數(shù)據(jù)等操作而產(chǎn)生異常網(wǎng)絡流量�����,因此�,對網(wǎng)絡數(shù)據(jù)包的端口號、目的IP����、通信協(xié)議等多維特征開展分析的流量識別技術能運用于勒索軟件檢測���。例如文獻[7]通過識別TCP連接中顯著增加的RST與ACK包,檢測出Locky勒索軟件����。當前�,針對非加密流量的檢測研究已取得一定成果,但針對加密流量的檢測研究多集中于特定類型的加密協(xié)議���,因此�,勒索軟件可采用未知協(xié)議和加密方式來規(guī)避檢測��。
2.5文件行為分析
勒索軟件會在文件加密攻擊階段進行大量文件操作����,因此可采用基于異常的檢測方式,即設定正常系統(tǒng)中的文件讀寫���、刪除�����、類型更改等行為閾值�����,并監(jiān)視當前系統(tǒng)中的文件操作���,如超出閾值則判定存在勒索軟件�。此外�,勒索軟件還會修改文件內(nèi)容,因此低文件相似度與高熵值數(shù)據(jù)寫入也是判定勒索軟件的重要指標�。前者指加密操作會完全修改原文件內(nèi)容,導致加密文件與原文件相似度趨近于0��,異常于修改或新增部分文件內(nèi)容的正常操作�����;后者指加密后數(shù)據(jù)相比于明文�����,擁有更強的隨機性�����,因此信息熵值更高,勒索軟件將表現(xiàn)出寫入高熵值加密數(shù)據(jù)的特性���。文獻[8]通過文件過濾驅(qū)動來收集上述文件行為��,并利用樸素貝葉斯����、隨機森林等多種算法開展特征學習��,生成勒索軟件實時檢測器���,實驗結果顯示分類準確率可達96%,但會給系統(tǒng)帶來8%的額外開銷�����。該檢測方法的缺陷在于難以檢出只進行少量文件內(nèi)容加密的勒索軟件�,例如Unlock92勒索軟件僅對文件頭部進行加密修改,但能規(guī)避上述檢測機制�����;此外,文件加密壓縮��、文件批處理等行為可能會觸發(fā)誤報����。
3勒索軟件發(fā)展趨勢
3.1攻擊目標多元化
攻擊者試圖研發(fā)跨平臺勒索軟件來感染盡可能多的設備、擴大攻擊的影響范圍��。近年來��,勒索軟件在繼續(xù)主攻Windows系統(tǒng)的同時��,還向Linux���、Android等平臺擴散蔓延����,例如Tycoon能同時針對Windows和Linux平臺發(fā)動攻擊��。而物聯(lián)網(wǎng)設備廣泛存在的弱口令����、暴露面廣、漏洞修復緩慢等安全問題����,正在促使其成為勒索軟件的下一個攻擊目標�。目前����,VedereLabs安全研究機構已展示了物聯(lián)網(wǎng)勒索軟件攻擊的概念證明[9],一旦該類勒索軟件開始流行�����,不僅會導致攻擊事件激增�,還會給經(jīng)濟民生、社會穩(wěn)定乃至國家安全帶來巨大威脅��。此外�,勒索軟件攻擊還呈現(xiàn)出普遍性與針對性并存的特征,即在通過廣撒網(wǎng)攻擊手法對個人用戶�、中小型企業(yè)造成威脅的同時��,還向政府���、大型企業(yè)機構發(fā)動定制化攻擊�����,以破壞關鍵基礎設施或機密數(shù)據(jù)為要挾來勒索高額贖金��?��?梢灶A見�,勒索軟件在未來一段時間內(nèi)會繼續(xù)在多平臺����、多場景中發(fā)動攻擊,將給全球網(wǎng)絡安全造成更大的威脅�。
3.2勒索軟件即服務主流化
勒索軟件的高收益特性驅(qū)使勒索軟件向產(chǎn)業(yè)化、鏈條化方向演進�����,勒索軟件即服務(Ransomware-as-a-Service�����,RaaS)應運而生����。RaaS是一種由開發(fā)者制作勒索軟件、多級分銷者擴散分發(fā)軟件���、攻擊者實施入侵��,并由三者共同參與贖金分配的黑產(chǎn)營銷模式�����。RaaS中的攻擊者無須任何編程基礎����,就能直接依靠開發(fā)者提供的全套解決方案來實現(xiàn)勒索攻擊,大幅降低了勒索攻擊門檻�。而RaaS中的開發(fā)者在提供核心技術、獲取高額收益的同時���,卻擁有極低的暴露風險�。這給相關部門的打擊治理帶來了挑戰(zhàn)��,且一旦上游未被完全摧毀���,整條產(chǎn)業(yè)極易死灰復燃。近年來�,RaaS在勒索軟件中得到了廣泛運用,諸如REvil�、Conti等廣泛傳播的勒索軟件均采用了該模式���,這也標志著勒索攻擊已呈現(xiàn)出系統(tǒng)化、便捷化的發(fā)展趨勢��。
3.3多重勒索模式興起
早期勒索軟件大都單純以恢復被加密數(shù)據(jù)為要挾���,但隨著越來越多的企業(yè)和個人開始定期備份數(shù)據(jù)���,此類勒索方式的威脅效力大幅下降。因此���,勒索攻擊正逐步演進為兼具竊取與加密數(shù)據(jù)行為���,并威脅目標如不繳納贖金則公開數(shù)據(jù)的“雙重勒索”模式。攻擊者會在暗網(wǎng)上宣傳攻擊事件和贖金繳納期限����,并通過泄露少量機密數(shù)據(jù)予以佐證,為目標施加數(shù)據(jù)泄露壓力���。近年來����,佳能、富士康等知名公司均遭受了“雙重勒索”��,也因拒絕繳納贖金�,承受了數(shù)據(jù)泄露所帶來的巨額損失。自2021年以來���,勒索攻擊還出現(xiàn)“三重勒索”�����、“四重勒索”模式��,即針對目標�,采用分布式拒絕服務攻擊破壞網(wǎng)站可用性��,或向其商業(yè)伙伴�、客戶宣傳攻擊事件,不斷制造壓力來迫使目標支付贖金�����。勒索攻擊追求利益最大化的特性��,將促使其采用多樣化手段來增加目標支付贖金的可能�����,因此�����,多重勒索將成為下階段勒索軟件的主要運作模式����。
3.4供應鏈攻擊成新目標
軟件供應鏈涵蓋上游的開發(fā)工具、開源代碼等外部依賴與下游的軟件下載更新����,涉及組件多,一旦其中某環(huán)節(jié)遭到入侵����,將導致所有使用該軟件的系統(tǒng)均面臨安全風險。這種“入侵一點�����,威脅一片”的攻擊模式�,在近年來備受勒索軟件青睞。例如在2021年7月�,REvil勒索軟件團隊利用運維管理平臺軟件KaseyaVSA中的零日漏洞發(fā)布惡意更新包�����,成功在所有搭載該軟件的本地客戶端中部署了勒索軟件�,影響范圍涉及17個國家與1500家下游廠商���。相較于傳統(tǒng)入侵模式�,供應鏈攻擊具備暴露攻擊面廣�、傳播效率高、隱匿性強�����、影響范圍大等優(yōu)勢�,必將成為勒索攻擊的新型威脅手段。
4未來研究方向
4.1端點檢測響應技術端點檢測響應(EndpointDetectionandResponse���,EDR)是一種在云端威脅情報信息的支撐下���,對本地終端行為數(shù)據(jù)進行自動化監(jiān)測分析,并及時阻止惡意行為的主動式端點安全防護技術�����。EDR能與勒索軟件就端點入侵展開對抗,且相較于沙箱�����、蜜罐等檢測方法�,具有實時響應�����、全系統(tǒng)監(jiān)控�����、抗逃逸性強等優(yōu)勢����;但也存在一些發(fā)展難點,如終端數(shù)據(jù)采集的性能開銷大�����、檢測精度有待提升��。對于前者,鉤子技術(hook)雖能收集全系統(tǒng)的行為語義�,但全局hook會極大影響程序的運行效率,且在Windows7版本后���,內(nèi)核hook不再被微軟官方支持��;而系統(tǒng)原生事件雖是端點上的可信數(shù)據(jù)源��,但存在語義缺失��、數(shù)據(jù)量過大等缺陷�,因此���,如何實時����、低負載地對系統(tǒng)原生事件進行語義還原和去冗����,是當前研究中亟須解決的關鍵問題。在構建高精度檢測模型方面�����,機器學習方法已成為新的研究熱點。
4.2機器學習
機器學習能獲取勒索軟件與正常軟件的特征區(qū)別����,并根據(jù)訓練所生成的分類模型開展檢測,而擺脫了對規(guī)則庫的依賴��,能更好地應對當下日益泛濫的勒索攻擊�����。目前��,相關研究工作所利用的特征有:可執(zhí)行文件的字節(jié)碼���、指紋灰度圖等靜態(tài)統(tǒng)計特征,API調(diào)用序列����、程序執(zhí)行流程圖等動態(tài)行為模式,及程序運行中產(chǎn)生的網(wǎng)絡流量等�����。但機器學習檢測模型也面臨諸多挑戰(zhàn)���,例如準確率極度依賴于訓練數(shù)據(jù)�����,如數(shù)據(jù)出現(xiàn)偏差�,會導致模型的魯棒性、泛化性欠佳�����。攻擊者也可通過修改勒索軟件的部分特征或采用新行為模式來實施逃逸攻擊�,如Cerber勒索軟件就曾利用內(nèi)存注入技術繞過檢測;或通過污染訓練數(shù)據(jù)來改變模型的分類邊界�����,實現(xiàn)數(shù)據(jù)投毒攻擊����。綜上所述,當前針對機器學習檢測模型的安全攻防對抗正在激烈上演���。
4.3零信任體系建設
零信任技術強調(diào)網(wǎng)絡中的所有身份��、設備和行為均不可信�,應當建立以身份為中心、基于認證和授權的訪問控制信任基礎���,對訪問者行為進行持續(xù)跟蹤與分析��,以動態(tài)調(diào)整訪問控制策略�����。零信任將網(wǎng)絡防御的重點從傳統(tǒng)分布式網(wǎng)絡環(huán)境下的邊界安全轉(zhuǎn)移到用戶與資產(chǎn)上��,以“持續(xù)驗證”理念來應對當下遠程辦公����、物聯(lián)網(wǎng)設備接入所帶來的網(wǎng)絡邊界弱化問題��,是遏制勒索軟件攻擊的有效手段�����。在零信任場景下���,即便勒索軟件已通過供應鏈或系統(tǒng)漏洞等方式入侵至內(nèi)網(wǎng)環(huán)境,也會在零信任的最小權限與資源受控安全訪問機制的限制下�,無法訪問敏感數(shù)據(jù)或向更關鍵節(jié)點移動���,而勒索軟件的異常訪問行為也會因觸發(fā)安全機制而被檢出,因此能將攻擊損失限定在較小范圍��。零信任作為一種全新的網(wǎng)絡安全理念���,相關解決方案離規(guī)?;涞厣杏幸欢ň嚯x����,因此,開展零信任產(chǎn)品化探索是下階段檢測工作的重點研究內(nèi)容�。
5結束語
后疫情時代下的遠程辦公模式將會暴露出更多的安全風險,因此勒索攻擊在未來一段時間內(nèi)仍會是全球網(wǎng)絡安全的主要威脅����。本文系統(tǒng)總結了現(xiàn)有的檢測工作成果,并根據(jù)近年來勒索軟件在攻擊目標�����、運作方式��、勒索形式等方面的變化�����,給出了檢測工作的未來研究重點:端點檢測響應技術、融合機器學習的檢測模型與零信任技術的落地應用���。
參考文獻:
[1]獵影實驗室.2021年上半年全球勒索軟件趨勢報告[R].2021.
[2]360政企安全集團高級威脅研究分析中心.2022年03月勒索病毒流行態(tài)勢分析[R].2022.
[3]360高級威脅研究分析中心.2021年勒索病毒流行勢態(tài)報告[R].2022.
[4]郭春生��,程光.基于APIHooking勒索軟件WannaCry的解密方法[J].網(wǎng)絡空間安全���,2018,9(1):8-14.
[5]陳長青�,郭春,崔允賀����,等.基于API短序列的勒索軟件早期檢測方法[J].電子學報,2021��,49(3):586-595
[6]傅建明����,劉暢��,解夢飛��,等.基于誘捕的軟件異常檢測綜述[J].網(wǎng)絡與信息安全學報,2022��,8(1):15-29.
[7]田鋒����,周安民,劉亮��,等.ARS:基于文件行為的勒索軟件主動防御技術研究[J].四川大學學報(自然科學版)�,2021,58(2):91-99.
作者:阮琳琦 梁桂花 李宇航 單位:浙江警察學院
