序論:在您撰寫淺談勒索軟件檢測技術時�,參考他人的優秀作品可以開闊視野���,小編為您整理的1篇范文,希望這些建議能夠激發您的創作熱情���,引導您走向新的創作高度。
摘要:勒索軟件是指通過鎖定設備���、加密或損毀文件等攻擊形式進行金錢勒索的惡意軟件。近年來����,全球勒索攻擊呈爆發式增長�,為遏制勒索攻擊的高發勢態���,安全研究人員提出諸多檢測技術�,以實現對勒索軟件的快速研判響應�����。本文對現有研究工作進行系統歸納總結��,并根據勒索軟件的發展趨勢���,討論檢測技術未來可行的研究方向。
關鍵詞:勒索軟件;攻擊檢測���;網絡安全
隨著互聯網技術的快速發展�,針對數字資產的勒索攻擊已經成為網絡安全領域的重要威脅���。據安恒信息威脅情報中心統計�,僅2021年上半年����,全球至少發生了1200起勒索軟件攻擊事件�����,所造成的直接經濟損失高達300億美元[1]�����。2022年�,哥斯達黎加成為首個因勒索攻擊而宣布進入“緊急狀態”的國家��,三星����、英偉達、豐田等大型企業機構也紛紛遭受勒索攻擊[2]����,足以說明勒索攻擊已成為席卷政府����、制造、交通等多行業的全球性安全威脅����。而早發現、早響應是遏制勒索攻擊���,降低資產損失的重要手段,為實現對勒索攻擊的快速響應����,國內外安全研究人員在梳理勒索軟件攻擊流程的基礎上,開展了大量的勒索軟件檢測技術研究���。
1勒索軟件攻擊流程
勒索軟件主要可分為三種類型:恐嚇型��、鎖屏型和加密型����?��?謬樞屠账鬈浖棾鐾{消息��,利用被害者的恐懼心理來實施勒索�����,但一般不會對系統造成實際性破壞����。鎖屏型勒索軟件會鎖定設備屏幕或鍵盤����,但通常可采用進入安全模式后開啟殺毒軟件的方式進行查殺����。加密型勒索軟件會對受害者的數據資產實施加密,以解密數據為要挾來索要贖金���,是作案范圍最廣、造成經濟損失最嚴重的勒索攻擊形式。因此�,本文將重點介紹加密型勒索軟件的一般化攻擊流程。
1.1入侵嘗試
勒索軟件采用系統漏洞�����、網頁掛馬�����、遠程桌面協議(RemoteDesktopProtocol���,RDP)暴力破解等方式來實現入侵��。勒索軟件所利用的系統漏洞可分為零日漏洞和未修補漏洞,零日漏洞是尚未被公開披露���,無補丁的安全漏洞,因此具備滲透成功率高���、影響范圍大的特性;未修補漏洞存在官方補丁�,但由于大量機構疏于安全管理,漏洞未被及時修復�����,因此可被勒索軟件重復利用���。在網頁掛馬攻擊中,攻擊者會在網頁中嵌入惡意代碼���,當用戶訪問網頁時����,代碼會自動執行勒索軟件的下載與運行操作��。RDP暴力破解會掃描Windows主機的3389端口�,如端口開啟,則證明當前主機允許遠程連接�,之后再采用字典攻擊去嘗試猜測登錄密碼���,以實現對Windows系統的非法訪問�。鑒于后疫情時代下常態化遠程辦公模式的影響,RDP暴力破解已成為勒索軟件的首要攻擊切入點[3]��。
1.2信道建立與橫向滲透
多數勒索軟件在實現入侵后�����,會與命令與控制服務器(Command-and-Controlserver,C&Cserver)建立連接�,以實現加強控制、傳遞數據�����、獲取密鑰等目的。例如勒索軟件會將用戶數據回傳至服務器����,后續以泄露數據為威脅����,強化勒索效果;或根據C&C服務器下發指令執行潛伏操作�,有效躲避安全軟件監測。此外��,在機構內網環境中����,勒索軟件還會以當前主機為跳板��,利用從C&C服務器中下載的惡意載荷來實現橫向滲透,不斷擴大攻擊的影響范圍�。
1.3文件加密
勒索軟件會嘗試尋找系統中的高價值數據,例如根據文件擴展名��,將.doc���、.pdf等類型的用戶文件作為加密目標。出于效率考慮�����,多數勒索軟件會采用對稱加密與非對稱加密相結合的混合加密模式�。以WannaCry勒索軟件為例,其采用AES與RSA相結合的加密方式��,先根據文件數量����,隨機生成等量的AES密鑰��,對受害人文件進行加密���;再提取攻擊者預先生成、內嵌在代碼中的RSA公鑰�����,采用兩級RSA加密的方式加密AES密鑰�,并將加密結果寫回對應加密文件頭部[4]。除非獲取到攻擊者預先生成的RSA私鑰�,否則無法解密被加密文件��。
1.4勒索實施
在完成加密操作后�����,勒索軟件會在系統明顯位置展示勒索警告,告知被害者需繳納的贖金數額與支付方式����。而加密貨幣的匿名與去中心化特性能大幅降低贖金被追蹤定位的可能,因此����,近年來勒索軟件多通過匿名網絡向被害者提供加密貨幣贖金地址。此外���,勒索軟件還會采用設定支付時限、發布攻擊公告�����、公開部分數據等威脅方式來施加壓力,迫使受害者盡快妥協并支付贖金��。
2勒索軟件檢測技術分析
安全人員提出了諸多檢測方法來實現對勒索軟件的快速響應與阻斷���。根據檢測方法的特性���,本文將檢測方法劃分為靜態特征檢測、動態沙箱檢測�����、蜜罐觸發、網絡行為分析�、文件行為分析五類����,以下將進行分類介紹����。
2.1靜態特征檢測
靜態特征檢測指在不運行程序的情況下���,通過提取分析程序文件結構�����、調用函數�����、字符串常量等靜態特征來判定程序屬性的一種檢測方法。靜態特征檢測多采用特征碼匹配的方式�,會利用勒索軟件中的字節序列�、字符串集等信息生成特征庫�����;在檢測時����,掃描獲取軟件的相關特性,并與特征庫中的信息進行匹配��,如匹配成功�,則證明其為勒索軟件���。靜態特征檢測的優勢是檢測速度快���,至今仍是安全軟件中運用最為廣泛的檢測方法�����;劣勢是泛化能力差��,勒索軟件可通過加殼�、代碼混淆�、多態實現等方式來改變程序靜態特征���,進而逃避檢測。
2.2動態沙箱檢測
沙箱檢測是指在安全隔離或受控虛擬環境中運行可疑軟件�����,通過監控并分析軟件運行產生的多維行為數據來判定軟件惡意屬性的一種檢測技術。沙箱的監控是細粒度的�,能獲取注冊表�、文件�����、內存、網絡等資源訪問關鍵行為與API調用序列���。許多沙箱還內置了檢測模型,能自動化開展勒索軟件檢測��,例如360發布的沙箱云產品���。此外��,部分沙箱還提供交互服務功能���,能為安全人員開展后續分析提供數據來源���,例如文獻[5]基于ANY.RUN沙箱所采集的勒索軟件運行API序列進行特征向量轉換,并建立機器學習算法模型開展檢測��,實驗結果顯示模型對于未知勒索軟件樣本的檢出率可達96.7%�。沙箱檢測主要有兩項缺陷:一是易被規避����,近年來的Colossus�、PyLocky等勒索軟件內置了用戶交互行為檢測、延時啟動���、真實系統特征查詢等沙箱規避技術��,將大幅降低沙箱的檢測效果��;二是沙箱的細粒度監控所帶來的系統性能高負載與檢測結果高延遲�����,導致其難以適用于實時檢測場景��。
2.3蜜罐觸發
蜜罐觸發是一種基于欺騙的檢測方法�����,蜜罐是部署在真實環境中的虛假高價值目標�,旨在吸引勒索軟件率先對蜜罐實施入侵����,并在入侵發生后,利用監控系統對攻擊行為進行記錄���、識別與阻斷。蜜罐的可定制化程度高���,能根據部署場景進行靈活變更�����,例如在機構內網環境中可被設定為關鍵應用數據庫�����,而在用戶系統中可被設定為敏感路徑下的誘餌文件�����。文獻[6]實現了Windows平臺上基于誘餌文件的勒索軟件檢測,核心思想是在系統關鍵位置動態部署誘餌文件�,同時監視針對誘餌文件的可疑訪問行為���,將修改誘餌文件的進程判定為勒索軟件。蜜罐觸發檢測方法有兩點優勢:一是誤報率低�,蜜罐作為誘騙陷阱,基本不會被正常用戶訪問�,因此針對蜜罐的訪問或操作均可被認為是異常行為���;二是可以檢測未知威脅�����,因為蜜罐監控入侵結果,而不關注入侵行為的具體實現方式���,所以可檢出采出新變種的勒索軟件����。但缺陷在于檢測效果極度依賴于勒索軟件的攻擊路徑選擇�,而當勒索軟件未觸發蜜罐或觸發時刻較晚時���,系統就會遭受較大損失���,因此該方法在檢出率和實時性上的表現欠佳�����。
2.4網絡流量分析
多數勒索軟件會在入侵后嘗試與C&C服務器建立連接��,因此C&C服務器域名檢測技術成為識別勒索軟件的關鍵一環���。域名黑名單可攔截傳統的硬編碼域名,但無法將利用域名生成算法(DomainGenerationAlgorithm��,DGA)生成的大量備選域名全部添加到黑名單中�����。當前的DGA域名識別技術利用了信息熵、域名長度����、字符轉移概率等特征的傳統機器學習方法和深度學習模型��,并取得了較好的檢測效果����。但研究發現勒索軟件正逐步使用DNS加密協議來傳輸DGA域名����,這將導致以明文DNS請求為數據源的域名檢測方法失效。此外����,由于勒索軟件會執行獲取加密密鑰、上傳機密數據等操作而產生異常網絡流量���,因此���,對網絡數據包的端口號��、目的IP�����、通信協議等多維特征開展分析的流量識別技術能運用于勒索軟件檢測�。例如文獻[7]通過識別TCP連接中顯著增加的RST與ACK包�����,檢測出Locky勒索軟件。當前��,針對非加密流量的檢測研究已取得一定成果�����,但針對加密流量的檢測研究多集中于特定類型的加密協議���,因此,勒索軟件可采用未知協議和加密方式來規避檢測��。
2.5文件行為分析
勒索軟件會在文件加密攻擊階段進行大量文件操作�����,因此可采用基于異常的檢測方式����,即設定正常系統中的文件讀寫�、刪除����、類型更改等行為閾值,并監視當前系統中的文件操作�,如超出閾值則判定存在勒索軟件����。此外�����,勒索軟件還會修改文件內容�,因此低文件相似度與高熵值數據寫入也是判定勒索軟件的重要指標。前者指加密操作會完全修改原文件內容����,導致加密文件與原文件相似度趨近于0���,異常于修改或新增部分文件內容的正常操作��;后者指加密后數據相比于明文�,擁有更強的隨機性��,因此信息熵值更高����,勒索軟件將表現出寫入高熵值加密數據的特性��。文獻[8]通過文件過濾驅動來收集上述文件行為����,并利用樸素貝葉斯��、隨機森林等多種算法開展特征學習,生成勒索軟件實時檢測器�����,實驗結果顯示分類準確率可達96%�,但會給系統帶來8%的額外開銷。該檢測方法的缺陷在于難以檢出只進行少量文件內容加密的勒索軟件,例如Unlock92勒索軟件僅對文件頭部進行加密修改,但能規避上述檢測機制����;此外,文件加密壓縮��、文件批處理等行為可能會觸發誤報��。
3勒索軟件發展趨勢
3.1攻擊目標多元化
攻擊者試圖研發跨平臺勒索軟件來感染盡可能多的設備����、擴大攻擊的影響范圍。近年來,勒索軟件在繼續主攻Windows系統的同時��,還向Linux���、Android等平臺擴散蔓延���,例如Tycoon能同時針對Windows和Linux平臺發動攻擊���。而物聯網設備廣泛存在的弱口令��、暴露面廣�、漏洞修復緩慢等安全問題,正在促使其成為勒索軟件的下一個攻擊目標。目前���,VedereLabs安全研究機構已展示了物聯網勒索軟件攻擊的概念證明[9],一旦該類勒索軟件開始流行���,不僅會導致攻擊事件激增����,還會給經濟民生���、社會穩定乃至國家安全帶來巨大威脅。此外��,勒索軟件攻擊還呈現出普遍性與針對性并存的特征,即在通過廣撒網攻擊手法對個人用戶����、中小型企業造成威脅的同時����,還向政府�����、大型企業機構發動定制化攻擊���,以破壞關鍵基礎設施或機密數據為要挾來勒索高額贖金��。可以預見��,勒索軟件在未來一段時間內會繼續在多平臺����、多場景中發動攻擊,將給全球網絡安全造成更大的威脅�。
3.2勒索軟件即服務主流化
勒索軟件的高收益特性驅使勒索軟件向產業化����、鏈條化方向演進,勒索軟件即服務(Ransomware-as-a-Service�����,RaaS)應運而生�。RaaS是一種由開發者制作勒索軟件、多級分銷者擴散分發軟件�����、攻擊者實施入侵���,并由三者共同參與贖金分配的黑產營銷模式。RaaS中的攻擊者無須任何編程基礎����,就能直接依靠開發者提供的全套解決方案來實現勒索攻擊�����,大幅降低了勒索攻擊門檻����。而RaaS中的開發者在提供核心技術����、獲取高額收益的同時��,卻擁有極低的暴露風險�。這給相關部門的打擊治理帶來了挑戰�,且一旦上游未被完全摧毀�����,整條產業極易死灰復燃����。近年來,RaaS在勒索軟件中得到了廣泛運用��,諸如REvil、Conti等廣泛傳播的勒索軟件均采用了該模式�,這也標志著勒索攻擊已呈現出系統化�����、便捷化的發展趨勢�����。
3.3多重勒索模式興起
早期勒索軟件大都單純以恢復被加密數據為要挾,但隨著越來越多的企業和個人開始定期備份數據�,此類勒索方式的威脅效力大幅下降���。因此,勒索攻擊正逐步演進為兼具竊取與加密數據行為�����,并威脅目標如不繳納贖金則公開數據的“雙重勒索”模式���。攻擊者會在暗網上宣傳攻擊事件和贖金繳納期限�����,并通過泄露少量機密數據予以佐證����,為目標施加數據泄露壓力。近年來����,佳能����、富士康等知名公司均遭受了“雙重勒索”,也因拒絕繳納贖金����,承受了數據泄露所帶來的巨額損失。自2021年以來���,勒索攻擊還出現“三重勒索”、“四重勒索”模式,即針對目標���,采用分布式拒絕服務攻擊破壞網站可用性��,或向其商業伙伴���、客戶宣傳攻擊事件,不斷制造壓力來迫使目標支付贖金����。勒索攻擊追求利益最大化的特性����,將促使其采用多樣化手段來增加目標支付贖金的可能�����,因此�����,多重勒索將成為下階段勒索軟件的主要運作模式。
3.4供應鏈攻擊成新目標
軟件供應鏈涵蓋上游的開發工具�、開源代碼等外部依賴與下游的軟件下載更新,涉及組件多���,一旦其中某環節遭到入侵,將導致所有使用該軟件的系統均面臨安全風險�。這種“入侵一點�,威脅一片”的攻擊模式���,在近年來備受勒索軟件青睞。例如在2021年7月��,REvil勒索軟件團隊利用運維管理平臺軟件KaseyaVSA中的零日漏洞發布惡意更新包,成功在所有搭載該軟件的本地客戶端中部署了勒索軟件���,影響范圍涉及17個國家與1500家下游廠商�。相較于傳統入侵模式,供應鏈攻擊具備暴露攻擊面廣�、傳播效率高、隱匿性強��、影響范圍大等優勢,必將成為勒索攻擊的新型威脅手段�。
4未來研究方向
4.1端點檢測響應技術端點檢測響應(EndpointDetectionandResponse�����,EDR)是一種在云端威脅情報信息的支撐下,對本地終端行為數據進行自動化監測分析��,并及時阻止惡意行為的主動式端點安全防護技術��。EDR能與勒索軟件就端點入侵展開對抗���,且相較于沙箱、蜜罐等檢測方法�,具有實時響應、全系統監控��、抗逃逸性強等優勢;但也存在一些發展難點��,如終端數據采集的性能開銷大�、檢測精度有待提升���。對于前者���,鉤子技術(hook)雖能收集全系統的行為語義,但全局hook會極大影響程序的運行效率,且在Windows7版本后�,內核hook不再被微軟官方支持���;而系統原生事件雖是端點上的可信數據源,但存在語義缺失����、數據量過大等缺陷,因此���,如何實時、低負載地對系統原生事件進行語義還原和去冗��,是當前研究中亟須解決的關鍵問題���。在構建高精度檢測模型方面��,機器學習方法已成為新的研究熱點。
4.2機器學習
機器學習能獲取勒索軟件與正常軟件的特征區別���,并根據訓練所生成的分類模型開展檢測,而擺脫了對規則庫的依賴,能更好地應對當下日益泛濫的勒索攻擊����。目前����,相關研究工作所利用的特征有:可執行文件的字節碼、指紋灰度圖等靜態統計特征�����,API調用序列��、程序執行流程圖等動態行為模式,及程序運行中產生的網絡流量等�。但機器學習檢測模型也面臨諸多挑戰����,例如準確率極度依賴于訓練數據,如數據出現偏差��,會導致模型的魯棒性、泛化性欠佳����。攻擊者也可通過修改勒索軟件的部分特征或采用新行為模式來實施逃逸攻擊����,如Cerber勒索軟件就曾利用內存注入技術繞過檢測;或通過污染訓練數據來改變模型的分類邊界��,實現數據投毒攻擊��。綜上所述��,當前針對機器學習檢測模型的安全攻防對抗正在激烈上演����。
4.3零信任體系建設
零信任技術強調網絡中的所有身份、設備和行為均不可信�,應當建立以身份為中心、基于認證和授權的訪問控制信任基礎�����,對訪問者行為進行持續跟蹤與分析����,以動態調整訪問控制策略���。零信任將網絡防御的重點從傳統分布式網絡環境下的邊界安全轉移到用戶與資產上�����,以“持續驗證”理念來應對當下遠程辦公����、物聯網設備接入所帶來的網絡邊界弱化問題���,是遏制勒索軟件攻擊的有效手段。在零信任場景下���,即便勒索軟件已通過供應鏈或系統漏洞等方式入侵至內網環境����,也會在零信任的最小權限與資源受控安全訪問機制的限制下,無法訪問敏感數據或向更關鍵節點移動����,而勒索軟件的異常訪問行為也會因觸發安全機制而被檢出�,因此能將攻擊損失限定在較小范圍。零信任作為一種全新的網絡安全理念���,相關解決方案離規模化落地尚有一定距離�����,因此�����,開展零信任產品化探索是下階段檢測工作的重點研究內容。
5結束語
后疫情時代下的遠程辦公模式將會暴露出更多的安全風險�����,因此勒索攻擊在未來一段時間內仍會是全球網絡安全的主要威脅。本文系統總結了現有的檢測工作成果��,并根據近年來勒索軟件在攻擊目標�、運作方式、勒索形式等方面的變化�,給出了檢測工作的未來研究重點:端點檢測響應技術����、融合機器學習的檢測模型與零信任技術的落地應用。
參考文獻:
[1]獵影實驗室.2021年上半年全球勒索軟件趨勢報告[R].2021.
[2]360政企安全集團高級威脅研究分析中心.2022年03月勒索病毒流行態勢分析[R].2022.
[3]360高級威脅研究分析中心.2021年勒索病毒流行勢態報告[R].2022.
[4]郭春生���,程光.基于APIHooking勒索軟件WannaCry的解密方法[J].網絡空間安全��,2018���,9(1):8-14.
[5]陳長青,郭春���,崔允賀,等.基于API短序列的勒索軟件早期檢測方法[J].電子學報��,2021�����,49(3):586-595
[6]傅建明,劉暢���,解夢飛���,等.基于誘捕的軟件異常檢測綜述[J].網絡與信息安全學報��,2022,8(1):15-29.
[7]田鋒���,周安民,劉亮���,等.ARS:基于文件行為的勒索軟件主動防御技術研究[J].四川大學學報(自然科學版)���,2021,58(2):91-99.
作者:阮琳琦 梁桂花 李宇航 單位:浙江警察學院
