位置 :  首頁 > 行業動態 > 知識/文庫 >
谘詢熱線:0731-88753086

一不留神,勒索軟件“改頭換麵”,如何抵禦

來源:長沙網站建設      作者:長沙網站建設

注:勒索軟件常有,而“想哭”勒索蠕蟲風波不常有。“想哭”在全世界搞事以後,僅僅知道如何抵抗它這種“一次性”安全行為還不夠,曾有安全專家預言,這幾年將麵臨勒索軟件的爆發,因為很多攻擊者發現,相對別的手段而言,這種犯罪手段也許是“人傻、錢多、速來”,再加上勒索軟件的代碼可以被輕易改變,“改頭換麵”後又是一條“好漢”,怎麽才能持久性預防?以下是網絡測試、可視化和安全解決方案供應商Ixia的投稿,已授權雷鋒網發表,在不改變原意的基礎上,雷鋒網略有刪節。

勒索軟件已經成為黑客在網絡犯罪中牟利的慣用伎倆。據最新《Verizon數據泄露調查報告》(DBIR)表明,由於通過加密文件進行勒索贖金速度快、風險低並且可以輕鬆斂財,尤其使用比特幣進行收款,可使收款人無法追蹤,勒索軟件是目前犯罪軟件最常見的類型。自2016年1月起,以企業為目標的攻擊增長了300%,且攻擊頻率每40秒發生一次。此次波及全球範圍的勒索攻擊WannaCry,自5月12日以來已經影響到150個國家,逾二十萬受害者。以上隻說明一個事實:各組織機構須立刻采取應對措施,以防患於未然。

由於犯罪分子尋求提高感染率以及增加其非法收入,勒索軟件的傳播方法已發生變化。早期傳統的入侵方式,比如電子郵件中使用惡意文件作為附件,可以相對容易地被防病毒產品和安全沙箱檢測和屏蔽。然而,目前的入侵方式已經經過專門設計,旨在繞過這些傳統的安全防護產品。

Ixia應用威脅情報部門的高級總監Steve McGregory表示:“網絡犯罪分子可以輕易地變換和改寫勒索軟件代碼,並足以成功逃避殺毒軟件的特征庫匹配。這些勒索軟件的變種被稱為“零日突變”,即一旦被識別,勒索軟件的簽名便可以被更新並公布,因此防病毒軟件將需要幾天的時間來屏蔽新的變種。而在此期間,企業機構仍易受到攻擊,網絡犯罪分子往往會繼續乘虛而入為其謀利。”

Ixia表示,如果企業機構打算抵禦勒索軟件的攻擊,需要掌握三大核心原則:

1. 追根溯源

勒索軟件感染鏈通常始於一個帶有惡意附件的釣魚郵件,其附件通常包含宏文件(macro)。即使對於安全沙箱來說這個宏似乎都毫無風險,但打開該文件時,宏就會被激活,並通過互聯網連接攻擊者的遠程服務器,將勒索軟件有效載荷下載到本地。此外,該宏還可以在下載過程中進行文件變換。因此,直到在它實際進入主機之前,都實則看似無害。

2. 對症下藥

如果隻將關注點放在審查文件載荷的內容,這樣的防禦措施往往徒勞無功。由於基於電子郵件的宏往往無法被發現,因為在檢測過程中它們並不會表現出惡意行為,所以即便是最先進的安全沙箱也束手無策。事實上,這些文件載荷在實際被下載到電腦中並開始加密文件之前,看起來都沒有惡意,所以各企業機構應探查感染來源,而非僅僅耽於表象。

3.阻止感染

在勒索軟件感染的最後階段,文件載荷將從已知的惡意IP進行發送。由於 IP 地址相對稀少,同一個“惡意”地址往往會被重複使用。即使全新的惡意軟件變種也可能複用一小段已經暴露的惡意 IP 地址。

這意味著,如果某個企業的網絡內有一台電腦試圖從一個已知的惡意 IP 地址下載文件,它們通常處於勒索軟件攻擊的初始階段,所以也就沒必要檢測正在試圖進行下載行為的宏文件,或者正在下載的內容。

因此抵禦攻擊的最直接,且經濟的方法是:自動阻斷所有企業內網中,試圖連接已知惡意IP地址的行為,並且這個惡意 IP 地址庫需要通過收集威脅情報進行持續更新。這會使大部分已有攻擊甚至新的攻擊無功而返。

“各企業不能再對勒索軟件的威脅視而不見。如果僅將這些數據保存在受攻擊影響的係統中,而沒有備份關鍵數據,那麽無論是經濟影響還是企業聲譽都將付出無法想象的代價。客戶數據、財務記錄和其他無法替代信息的丟失將可能導致業務停滯,並留下永久性的空白。

軟件開發,網站建設,企業信息化服務,網絡營銷及策劃,產品和品牌的推廣—認準AG视讯
物競天擇:打造高端的、世界級的信息化服務提供商。自強不息、開拓創新、不斷超越、永不止步!