勒索病毒防治策略淺析

摘要：勒索病毒事件層出不窮，傳統的防治手段逐漸失效。通過沙箱、蜜罐、仿真誘捕技術，「三管齊下」可以實現有效防治。尤其是利用高仿真誘捕技術，可以檢測並識別包括勒索和0day的惡意代碼攻擊，確保網絡系統安全高效運營。

關鍵詞：沙箱技術，蜜罐技術，仿真誘捕技術，勒索病毒，防禦策略

 

前言

   近幾年來，勒索病毒事件在各個行業可謂層出不窮。在公共運輸方面，2018年2月，SamSam勒索軟體感染科羅拉多州交通部，科羅拉多州當局最終為清除該感染花費了150萬美元費用；2018年12月，莫斯科新纜車的計算機系統遭遇勒索病毒入侵。在工業網際網路方面，2019年1月，新型勒索軟體LockerGoga攻擊挪威鋁製造巨頭公司Norsk Hydro，造成其關閉網絡之後僅僅幾天，又被發現疑似入侵了另外兩家美國化學公司Hexion和Momentive的計算機網絡。在政府事務方面，2019年3月9日發現的一款惡意軟體襲擊了英格蘭與威爾斯聯邦警署(PFEW)，2019年3月11日開始，我國多地政府及醫院遭遇勒索病毒攻擊。

 

一、早期防治措施及痛點

   說起勒索病毒，其實最早從2006年開始就進入了中國大陸，國家計算機病毒應急處理中心統計顯示，當年感染581例。而真正讓其「家喻戶曉」則是2017年著名的「永恆之藍」病毒的爆發，其影響範圍之廣，涉及系統之重要，讓所有IT運維與管理者聞之色變，遂掀起了一輪勒索病毒防範高潮。這次威脅達到前所未有的廣度和深度,構成了對全球各國、各界全方位的挑戰,無論政府、企業、公共機構和個人,都難以倖免。其次,說明了當今全球性網絡治理機制的失靈，面對如此明目張胆的全球性威脅,居然迄今為止沒能進行真正的溯源、形成真正的有效制約與防禦,甚至難以有效防止未來繼續發生[1]。

 目前國內對勒索病毒防治方法，一般可以概括為五個字：「補改關裝規」。也即是，打補丁：及時更新系統補丁，修補漏洞；改口令：對系統內伺服器、主機均強行實施複雜密碼策略，杜絕弱口令；關埠：儘量關閉不必要的文件共享及不必要的系統服務埠；裝軟體：安裝終端防護軟體及防病毒軟體，並保證病毒庫最新；重規劃：全面規劃網絡安全區域，強化業務數據備份等。

然而手忙腳亂一陣，各行業客戶的IT運維和信息安全管理人員仍提心弔膽。究其原因，無外乎兩方面：一是「敵暗我明」，所謂勒索病毒、惡意軟體及其變種層出不窮，隱藏技術和攻擊手段難以預知，「防不勝防」；二是作為傳統防範措施的防病毒軟體已日漸蒼老，「不堪大用」，靠病毒特徵比對，簡單行為分析已難以識別和防範勒索等新惡意代碼的威脅。

    勒索病毒，其實應該稱謂為勒索軟體或勒索程序，是惡意軟體或者叫惡意代碼的一種。嚴格來講，是一種木馬而不是病毒，因為木馬和病毒是兩種截然不同的威脅。

   一是隱蔽性。本質上病毒極具感染性，且感染極難發現。而木馬則出於本身「任務」的特殊性要隱藏其行蹤，以便「開展工作」。從這一點來講，木馬更強調隱蔽和偽裝，諸如近期發現的Clop勒索病毒會冒用有效的數字籤名，騙取系統及防病毒軟體的信任，披上「合法外衣」，令一般的防治手段形同虛設。

   二是危害性。病毒一般以破壞系統文件為目標，危害並不是很大；而木馬則帶有更為明確的目標性和任務指向性，多為錢財、數據或政治利益，危害性更大。勒索病毒之所以被稱為勒索，正是由於其索取利益的目標特徵。

   三是複雜性。從已知的勒索病毒及其變種來看，傳播手段包括利用系統漏洞、利用垃圾郵件、廣告以及光碟U盤等，可以說無論系統在線或是隔離內網，均可能被感染；而從加密手段上，最新發現的勒索病毒大多會採用非對稱高強度加密算法，理論上破解毫無可能。

   四是廣泛性。勒索病毒已有的感染事例，已經涵蓋了世界各地各個國家的政府、高校、交通、製造、醫院、能源、軍工等領域，可以說無孔不入，尤其近期在我國主要以政府、醫院、教育和製造等行業被感染事例較多。

   中了勒索病毒，被加密的數據文件是否可以找回？第一種是按照勒索病毒感染後留下的線索提交「贖金」，可能拿到解開數據文件的密鑰，從而恢復數據文件，但僅僅是可能，這個可能性目前看相當小；另一種是利用數據恢復類軟體，針對勒索病毒加密數據文件後將原數據文件刪除的機制，努力恢復硬碟上的原文件。此種方法要求硬碟第一時間「封盤」，要求感染後不做任何讀寫動作，可找回的機率很小，並且數據恢復的成本非常高。近年來,隨著信息安全技術的不斷進步,安全研究人員破解加密勒索病毒的技術也在不斷提高,但是攻擊者使用的加密方式也在不斷升級,各類勒索病毒攻擊令人防不勝防。[2]

 

三、防治戰術：「三管齊下」

既然勒索病毒如此「狡猾狠毒」，該以何法處之呢？近期無論是傳統防病毒廠商還是傳統網絡安全廠商，均在各自產品中增加了EDR（終端檢測與響應）技術與功能，來應對勒索病毒危害，EDR突出對終端的檢測與響應，其中檢測是根本，傳統檢測手段主要依靠「特徵庫比對」，而EDR則突出「行為檢測」，對系統中的進程行為進行實時檢測以發現潛在威脅。對一般性的關鍵系統文件訪問、系統進程調用、網絡訪問等行為容易被檢測，而對于勒索病毒及其變種則難以通過簡單的檢測奏效，因其為隱藏行蹤，除了前文提到的取得「合法身份」變種之外，對於一些傳統行為檢測技術的防範也是勒索病毒必修之功課，如何檢測並識別勒索病毒及其變種成為防禦勒索病毒的首要技術任務。這裡筆者，提出一個「三管齊下」的防治策略。

   一是依託沙箱技術。「Sandbox(又叫沙箱、沙盤)是一個虛擬系統程序，允許在沙盤環境中運行瀏覽器或其他程序，因此運行所產生的變化並不影響宿主機，重啟進程後可以隨時刪除模擬的程序。它創造了一個類似沙盒的獨立作業環境，在其內部運行的程序並不能對硬碟產生永久性的影響。作為一個獨立的虛擬環境，可以用來測試不受信任的應用程式或上網行為。」利用沙箱技術，可以測試多數惡意代碼程序，並令其「現出原形」，以做好防範。缺點是沙箱技術虛擬的系統環境相對簡陋，對於一些高級木馬變種尤其是勒索病毒已知變種來看，反沙箱檢測技術已經很成熟，所以沙箱技術本身已顯落後。

   二是依託蜜罐技術。蜜罐技術本質上是一種對攻擊方進行欺騙的技術。通過布置一些主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析[3]，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防禦方清晰地了解他們所面對的安全威脅，並通過技術和管理手段來增強實際系統的安全防護能力。看起來蜜罐技術可以高明很多，作為靶機，誘使攻擊方展開攻擊，且不說是否能騙過勒索病毒及其變種，令其展開攻擊並被有效收集。當下，蜜罐逃逸技術也已經很成熟，蜜罐被狡猾的入侵者反利用來攻擊別人的例子也屢見不鮮，只要管理員在某個設置上出現錯誤，蜜罐就成了「打狗的肉包子」。

    三是仿真誘捕技術。「兵者，詭道也。故能而示之不能，用而示之不用，近而示之遠，遠而示之近；利而誘之，亂而取之，實而備之，強而避之，怒而撓之，卑而驕之，佚而勞之，親而離之。攻其無備，出其不意。此兵家之勝，不可先傳也。」──《孫子兵法》。仿真誘捕，古有研究，而作為網絡防禦技術，前幾年也有相關專家作過研究論證，作為勒索病毒防治的晉級新技術，仿真誘捕技術被啟用並通過算法重構了誘捕模型。構建高仿真系統，設置勒索病毒感染「陷阱」，「誘捕」勒索病毒發作現身，這針對具有反沙箱、蜜罐逃逸技術特徵的惡意代碼變種具有奇效。

 

結語

   目前，惡意代碼檢測與防禦系統採用機器學習及大數據分析技術、高級行為分析技術和漏洞利用檢測技術，結合有效的威脅情報信息，針對類似于勒索病毒等高級威脅提供及時檢測和快速響應。尤其是採用高仿真誘捕技術，可以有效檢測並識別惡意代碼攻擊（包括勒索病毒和0day利用）。確保了行業客戶的網絡系統安全高效和正常運營。

 

參考文獻

[1] 方興東.中國信息安全: 勒索病毒事件對全球網絡治理的影響[J].2017.

[2] 金重振，葛萬龍.信息與電腦（理論版）: 區域網勒索病毒的防護策略研究 ——以WannaCry為例[J].2017.

[3] 秦玉傑. 信息技術與網絡安全：一種基於分布式蜜罐技術的勒索蠕蟲病毒監測方法[J].2018.

 

（來源：原文刊載在《網絡安全技術與應用》6月刊）