一不留神,勒索软件“改头换面”,如何抵御

勒索软件常有,而“想哭”勒索蠕虫风波不常有。“想哭”在全世界搞事以后,仅仅知道如何抵抗它这种“一次性”安全行为还不够,曾有安全专家预言,这几年将面临勒索软件的爆发,因为很多攻击者发现,相对别的手段而言,这种犯罪手段也许是“人傻、钱多、速来”,再加上勒索软件的代码可以被轻易改变,“改头换面”后又是一条“好汉”,怎么才能持久性预防?以下是网络测试、可视化和安全解决方案供应商 Ixia的投稿,已授权雷锋网发表,在不改变原意的基础上,雷锋网(公众号:雷锋网)略有删节。

一不留神,勒索软件“改头换面”,如何抵御 |干货

--

勒索软件已经成为黑客在网络犯罪中牟利的惯用伎俩。据最新《Verizon数据泄露调查报告》(DBIR)表明,由于通过加密文件进行勒索赎金速度快、风险低并且可以轻松敛财,尤其使用比特币进行收款,可使收款人无法追踪,勒索软件是目前犯罪软件最常见的类型。自2016年1月起,以企业为目标的攻击增长了300%,且攻击频率每40秒发生一次。此次波及全球范围的勒索攻击WannaCry,自5月12日以来已经影响到150个国家,逾二十万受害者。以上只说明一个事实:各组织机构须立刻采取应对措施,以防患于未然。

由于犯罪分子寻求提高感染率以及增加其非法收入,勒索软件的传播方法已发生变化。早期传统的入侵方式,比如电子邮件中使用恶意文件作为附件,可以相对容易地被防病毒产品和安全沙箱检测和屏蔽。然而,目前的入侵方式已经经过专门设计,旨在绕过这些传统的安全防护产品。

Ixia应用威胁情报部门的高级总监Steve McGregory表示:“网络犯罪分子可以轻易地变换和改写勒索软件代码,并足以成功逃避杀毒软件的特征库匹配。这些勒索软件的变种被称为“零日突变”,即一旦被识别,勒索软件的签名便可以被更新并公布,因此防病毒软件将需要几天的时间来屏蔽新的变种。而在此期间,企业机构仍易受到攻击,网络犯罪分子往往会继续乘虚而入为其谋利。”

Ixia表示,如果企业机构打算抵御勒索软件的攻击,需要掌握三大核心原则:

  1. 追根溯源

勒索软件感染链通常始于一个带有恶意附件的钓鱼邮件,其附件通常包含宏文件(macro)。即使对于安全沙箱来说这个宏似乎都毫无风险,但打开该文件时,宏就会被激活,并通过互联网连接攻击者的远程服务器,将勒索软件有效载荷下载到本地。此外,该宏还可以在下载过程中进行文件变换。因此,直到在它实际进入主机之前,都实则看似无害。

  1. 对症下药

如果只将关注点放在审查文件载荷的内容,这样的防御措施往往徒劳无功。由于基于电子邮件的宏往往无法被发现,因为在检测过程中它们并不会表现出恶意行为,所以即便是最先进的安全沙箱也束手无策。事实上,这些文件载荷在实际被下载到电脑中并开始加密文件之前,看起来都没有恶意,所以各企业机构应探查感染来源,而非仅仅耽于表象。

  1. 阻止感染

在勒索软件感染的最后阶段,文件载荷将从已知的恶意IP进行发送。由于 IP 地址相对稀少,同一个“恶意”地址往往会被重复使用。即使全新的恶意软件变种也可能复用一小段已经暴露的恶意 IP 地址。

这意味着,如果某个企业的网络内有一台电脑试图从一个已知的恶意 IP 地址下载文件,它们通常处于勒索软件攻击的初始阶段,所以也就没必要检测正在试图进行下载行为的宏文件,或者正在下载的内容。

因此抵御攻击的最直接,且经济的方法是:自动阻断所有企业内网中,试图连接已知恶意IP地址的行为,并且这个恶意 IP 地址库需要通过收集威胁情报进行持续更新。这会使大部分已有攻击甚至新的攻击无功而返。

“各企业不能再对勒索软件的威胁视而不见。如果仅将这些数据保存在受攻击影响的系统中,而没有备份关键数据,那么无论是经济影响还是企业声誉都将付出无法想象的代价。客户数据、财务记录和其他无法替代信息的丢失将可能导致业务停滞,并留下永久性的空白。” McGregory总结。

本文转自d1net(转载)

时间: 2024-09-18 03:43:38

一不留神,勒索软件“改头换面”,如何抵御的相关文章

一不留神,勒索软件“改头换面”,如何抵御?

勒索软件已经成为黑客在网络犯罪中牟利的惯用伎俩.据最新<Verizon数据泄露调查报告>(DBIR)表明,由于通过加密文件进行勒索赎金速度快.风险低并且可以轻松敛财,尤其使用比特币进行收款,可使收款人无法追踪,勒索软件是目前犯罪软件最常见的类型.自2016年1月起,以企业为目标的攻击增长了300%,且攻击频率每40秒发生一次.此次波及全球范围的勒索攻击WannaCry,自5月12日以来已经影响到150个国家,逾二十万受害者.以上只说明一个事实:各组织机构须立刻采取应对措施,以防患于未然. 由于

亚信安全揭秘勒索软件攻击路径 并非所有企业都要“豪配”

如果我是一名"狡猾"的黑客,肯定也会选择中小企业用户发动攻击,因为他们往往不会像大型企业那样部署复杂.难以进攻的安全解决方案,而且与消费者相比,中小企业网络中的资料"更值钱",也更有能力支付赎金. 勒索软件入侵途径分析:"关门打狗"不适合 优选中小企业攻击,正是黑客选择攻击对象时的一种思路,也是通过网络安全人员"换位思考"之后得出的结论.当然,与个人用户相比,中小型企业还有更多的特点,比如:客户资料.投标文件.研发数据等,这些

对抗勒索软件攻击 CryptoDrop系统亮相

近年来,勒索软件(Ransomware)已经成为不法黑客广泛使用的一种恶意攻击,在针对各大行业IT基础设施的攻击中屡屡得手,并有进一步增长的趋势.对此,来自美国维拉诺瓦大学(Villanova University)和佛罗里达大学(University of Florida)的4名研究人员在近期召开的IEEE分散式系统国际会议上,公布了一个能够对抗勒索软件攻击的防御系统--CryptoDrop. 对抗勒索软件攻击 CryptoDrop系统亮相 据悉,CryptoDrop系统可用来监控电脑上的数据

赛门铁克发现智能电视或面临感染勒索软件的威胁

近期,赛门铁克研究人员针对新型智能电视进行实验研究,以了解其抵御网络攻击的能力.实验结果显示,被感染勒索软件的全新智能电视均遭受无法使用的后果.赛门铁克将通过本文揭示智能电视中的安全问题,包括遭受攻击的方式.受到攻击的原因以及如何保护智能电视免受攻击. 智能电视特性 除了普通功能之外,新型智能电视还允许观众浏览网页.观看并点播流媒体,支持下载并运行应用程序.目前,智能电视正迅速成为家庭和商业环境中的标配.报道预测,到2016年,北美与西欧家庭中的网络电视数量将达到1 亿台. 当前智能电视主要采用

赛门铁克发布针对WannaCry勒索软件的更新预警

赛门铁克发现两个WannaCry勒索软件与Lazarus犯罪团伙的潜在联系: 已知的Lazarus使用工具和WannaCry勒索软件共同出现:赛门铁克发现,Lazarus组织在设备上使用的专有工具同时感染了早期版本的WannaCry,但这些WannaCry的早期变体并没有能力通过SMB传播.Lazarus工具可能被用作传播WannaCry的手段,但这一点还未得到证实. 共享代码:谷歌人员Neel Mehta在博客中声称,Lazarus工具和WannaCry勒索软件之间共享了某些代码.赛门铁克确认

RSA 2017:勒索软件成热点 收了赎金还撕票

年度安全峰会RSA2017已于美国时间2月13日盛大开幕,按照惯例,RSA组委会会根据参会组织所属领域及发言人提报议题内容提炼相关的热门词,本届大会也不例外.DATA.CLOUD.THREAT.INTELLIGENCE等一直是近几年的热点领域,从过去两天的大会议题来看,今年又多了一个热点--Ransomware(勒索软件).   为什么勒索软件会成为今年热点 根据FBI发布的信息来看,2016年Q1发生的网络勒索事件中,被攻击者向黑客支付的赎金就超过2亿美元,而2015年一整年仅有2400万美元

勒索软件损失2年增15倍 2017年可达50亿美元

安全意识培训公司KnowBe4估测:WannaCry的大规模爆发,在其前4天里,就造成了10亿美元的损失. 然而,WannaCry赎金金额,却十分微小.各家媒体报道都将赎金支出标定在几万到几十万美元之间.而且,即便每个中招的用户都意思意思地交出了300美元赎金,总额也不会超过6000万美元. 网络安全风投公司预测,2017年,全球勒索软件损失将超50亿美元,比2015年的3.25亿可是高了不少. 这些损失包括: 数据损毁(或遗失).生产力丧失.正常业务受损.取证调查.被劫持数据及系统的恢复和删除

Locky勒索软件通过脸书Messenger和JPG文件传播

最近,一款恶意软件正在Facebook上蔓延,它利用图像文件在用户设备上安装恶意勒索软件.被安全公司Check Point Software Technologies称为"ImageGate"的恶意软件,可以将恶意代码嵌入到图像文件中,然后将其直接上传到Facebook上.研究人员Roman Ziakin和Dikla Barda表示,攻击者利用Facebook基础设施上的配置错误,故意强迫受害者下载图像文件,这会导致用户设备在下载包含恶意软件的hta文件. 下载之后,hta文件将释放L

Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件

2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致多个国家的大型企业受到Petya勒索软件攻击的影响 图1. 企业受到攻击数量最多的国家(Top 20) 与WannaCry勒索病毒类似,Petya同样利用"永恒之蓝"漏洞进行传播.但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装"永恒之蓝"补丁,Petya依然能够在企业内部进行传播. 初始感染方式 赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了