为什么勒索软件能够不断避开防御？

自 1989 年以来，组织机构的网络防御体系就一直未能全面抵御住勒索软件的侵袭。

长期以来，勒索软件一直是组织机构和消费者的威胁。全球每年的损失估计约为 100 亿美元。这么多年过去了，为什么勒索软件仍旧如此肆虐、破坏力如此之强呢？答案是，安全业界对勒索软件的反应基本上就是一段无效的历史，勒索软件开发人员如何利用心理学来诱骗用户，让他们认为自己是在回应同事的请求，甚至是向儿童慈善机构捐赠比特币。

勒索软件已经不是什么新鲜事，因为它早在 1989 年就问世了。然而，时至今日它仍然是最常见的、也是最成功的攻击类型之一。据报道，仅 2018 年上半年，就有超过 1.8 亿次勒索软件攻击事件。而加密货币和 Tor 的采用，大大增加了勒索软件的流行。

“尽管在网络安全方面投入了数十亿美元，而且数十年来已有多家公司部署了防火墙和防病毒解决方案，但仍然没有防住勒索软件的攻击。要明白为什么会有这样的局面，就需要研究恶意软件是如何工作的，以及为什么我们现有的防御方法总是一直失败。”

• 为什么说快速恢复是减少勒索软件威胁的关键？

• 如何测试反勒索软件？

• 超过一半的上班族并不知道勒索软件是什么玩意儿。

每 14 秒钟，在世界上某个地方的某个组织就会成为勒索软件攻击的目标。但是，骇客并不仅局限于他们的关注点，他们通常还会同时针对许多组织机构和用户。例如，让我们回想一下曾经肆虐全球的 WannaCry 攻击吧，这次攻击造成了近 40 亿美元的损失。

勒索软件的工作原理

要研究勒索软件攻击是如何入侵系统或组织内部的细节，也就是说，它的攻击途径是无关紧要的。因为它有可能是网络钓鱼，也有可能是暴露的 RDP（远程桌面协议），或勒索软件开发人员可以利用的其他途径。

相反，让我们看看当勒索软件实际与你的文件系统发生交互并加密数据时会发生什么事情。首先，勒索软件进程定位它想要加密的文件。这些通常是基于文件扩展名，以最有价值的资产（如 Microsoft Office 文档或照片）为目标，同时保持操作系统的文件完好无损，以确保系统仍然可以正常启动。然后，恶意软件就会加密存储器中的数据并销毁原始文件。

勒索软件采用的一种方法是，将加密数据保存到新文件中，然后删除原始文件。

另一种方法（也可能是最狡猾的方法），是将加密数据写入原始文件本身。在这种情况下，原始文件名保持不变，这样一来，加密文件和未加密文件变得难以区分，从而使得恢复工作变得复杂起来。

第三种方法是让勒索软件像第一种方法一样创建一个新文件，但不同的是使用重命名来替换原始文件，而不是进行删除操作。

完成加密过程后，勒索软件就显示臭名昭著的提示。我们从新闻报道中，早就非常清楚地知道这部分情况了。

安全业界做得不够好

既然你已经了解了勒索软件如何与文件交互来加密和销毁原始文件，那么让我们来看看，为了阻止勒索软件的攻击，安全业界开发的五种最常见的解决方案。然而不幸的是，在这些方案中，没有一种是一贯有效的。

第一种技术：静态文件分析。与在防病毒、反恶意软件或 EPP 产品中用于恶意软件检测的技术相同。这些产品寻找已知的恶意代码行为或序列、字符串，例如那些常见目标文件扩展名的列表，以及经常出现在勒索软件提示的常用词（如 Bitcoin、encryption 等）。这是一种基于签名和机器学习的检测恶意代码的方法。

这种方法有一些优点，包括产生较低的假正类（False Positive，FP）率。基于签名的防病毒软件很少会将良性文件标记为恶意文件，这一点非常重要，因为若不如此，安全专业人员会被虚假警报淹没，并遭受警报疲劳。另一个非常重要的一点是，这种技术并不会等待勒索软件执行，而是在勒索软件执行之前就逼其停止攻击，这样就不会造成任何伤害，也不会加密任何文件。

译注：真正类就是指模型将正类别样本正确的预测为正类别。同样，真负类是指模型将福类别样本正确的预测为负类别。假正类就是指模型将福类别样本错误地预测为正类别，而假负类是指模型将正类别样本错误地预测为福类别。

警报疲劳（英语：alarm fatigue ）是指暴露在大量、频繁的警报之中，被暴露者产生的去敏感化现象。去敏感化现象会导致更长的反应时间，甚至是忽视重要的警报。警报疲劳见于许多行业，包括但不仅限于：建筑业、采矿业和医疗业。《狼来了》便是一个警报疲劳的例子。

然而事实证明，对于攻击者来说，静态分析太容易绕过去了。恶意软件编写者使用打包程序、加密器和其他工具来混淆和更改它们的签名，就可以轻松绕过去。在业界内众所周知的是，大多数现代防病毒和下一代防病毒解决方案的有效性约为 50~80% 左右，这意味着多达一半的攻击未能被发现。

Nyotron 研究团队最近对领先的防病毒工具的有效性进行了研究，研究对象不是新的高级攻击，而是那些已经存在多年（在某些情况下甚至是几十年）的、旧的已知恶意软件。我们执行的各种测试包括对旧恶意软件的简单修改，以便能够使签名发生细微的改变。其结果是，检测效率显著下降了，在某些情况下甚至下降到 60%。同样，这是针对旧的已知恶意软件。

第二种技术依赖于勒索软件通常使用的文件扩展名黑名单，并将其提供给加密的文件。优点与现有技术类似：低误报率。它可以立即停止勒索软件加密，因此不会造成任何伤害，也不会加密任何文件。

然而，它也很容易绕过。勒索软件只需提供一个新的文件扩展名或随机文件扩展名即可轻松绕过。例如，CryptXXX 和 Cryptowall 变种使用随机扩展名而不是特定扩展名。或者，勒索软件可以保留原始文件名和原始扩展名。

第三种技术，就是使用所谓的“蜜罐文件”，通过诱饵文件和监视攻击着如何试图更改文件来欺骗攻击者。一旦它们被触碰，就视为攻击发生。但是，这种技术也有不少缺点，包括：

• 由于其他工具以及用户也可能会触碰这些诱饵文件，因此可能会存在假正类的几率。

• 此外，也不是所有的损坏都会被阻止，因为在勒索软件触碰那些诱饵文件之前，许多文件可能会被加密。

• 当然，勒索软件也有可能只是试图通过跳过隐藏的文件 / 文件夹来避免触碰这些文件（这些文件往往是诱饵文件）。

第四种检测技术是监视文件系统在一段时间内的大量文件操作，如重命名、写入或删除。如果超过了定义的阈值，就终止有问题的进程。这种技术的好处是，不依赖于某些特定的签名或文件扩展名，而是依赖于通常与勒索软件相关的异常活动。

但是，有些文件将被加密，直到超出定义的阈值为止。恶意软件还可以通过使用“低速缓慢的方法”（例如，在加密之间添加延迟或生成多个加密过程）来绕过这种检测方法。

第五种值得注意的方法是跟踪文件数据的更改率。安全产品通过熵计算来测量文件中数据的随机性。和前面的方法一样，在检测到某个更改阈值后，这个违规进程就会被认为是恶意攻击而被中止。

与前面提到的动态技术相比，这种方法受益于较少的假正类。缺点包括文件将被加密，直到达到一定的置信度，因此并不是所有的损害都会被阻止。此外，这种技术可以通过只加密部分文件或者加密块来绕过。另外，使用多个进程进行加密也可能是一种有效的规避技术。

“大多数现代安全产品试图利用这些技术中的一些甚至大部分的组合，以提高它们的效率并取得不同程度的成功。但是，如果我们看看最近的一些勒索软件的例子，就会明白为什么这些方法没有一个是证明有效的。”

CryptoMix，或其最新变种 DLL CryptoMix，就其技术本身而言并不是特别引人注目，但它确认绕过了用户安装的一种领先防病毒毒产品。然而，真正让 CryptoMix 与众不同的是，攻击者采用的方法增加了受害者支付赎金的可能性。

他们自称来自一个帮助病患儿童的慈善组织，如国际儿童慈善组织。他们甚至有真正需要帮助的孩子的资料，指望如果受害者认为支付的赎金将会有一部分捐给慈善机构，从而更愿意支付。但是我向你保证，压根就没有一分钱会捐给任何孩子。这群恶魔！

LockerGoga 是一种勒索软件，至少导致了一家 Norsk Hydro 水电公司设施停产，造成了估计大约 4000 万美元的损失。据报道，Norsk Hydro 实际上已经部署了新一代防病毒产品，但 LockerGoga 还是成功地绕过了它。为了绕过安全产品，它使用生成多个进程的方法对文件进行加密。也就是说，为了确保即使一个进程触碰到诱饵文件或被勒索软件检测技术终止，其他进程仍将继续进行加密。至少有一个 LockerGoga 样本甚至还使用了有效的数字签名，这使得它对静态分析技术来说更值得信赖。加密本身非常缓慢，但这可能正是让它长时间不被发现而造成严重破坏的原因。

Chimera 并不是一种新的勒索软件，但它的独特之处在于，它声称如果受害者不支付赎金的话，攻击者会将包括照片和视频在内的敏感数据连同受害者的联系方式一起发布到互联网上。不管他们是否真的会这么做，取决于你的身份以及你拥有什么样的数据，这肯定会鼓励你去支付这笔赎金。

当然，如果不提到 WannaCry 的话，这份勒索软件列表就不完整。毕竟，它可能是最著名的勒索软件，因为它影响了大约 150 个国家、数十万个系统，造成了估计高达 40 亿美元的总经济损失。

让 WannaCry 更加沮丧的是，它是完全可以预防的。为了安全起见，组织机构必须做的唯一的事情，就是安装最新补丁来更新操作系统。Microsoft 在攻击发生之前两个月就发布了针对潜在漏洞的修补程序。

防范勒索软件

WannaCry 给所有组织机构上了一堂重要的课：要及时更新所有补丁。

“你的组织可能仍在基本的资产管理方面举步维艰。换句话说，你不知道你自己拥有什么。如果你真的不知道你拥有什么，那你怎么能保护它呢？”

实施可靠的备份策略。你可能已经采取了实施来保护你的服务器，无论是在本地还是在云端中。但是，重要的是你要认识到，终端也一样存在风险，因为那是你公司的至少一些知识产权可能存在的地方。

最后，大多数安全解决方案和流程只会追捕“坏蛋”，这根本就是一场猫捉老鼠的游戏，你不可能赢。实际上，世界上有太多的恶意软件，只需一次成功的攻击就可以让你的 IT 系统瘫痪。

使用完全相反的方法来补充现有的安全层，确保什么是“好的”。注意，我使用的是“补充”这个词。我并不主张你停止使用现有的解决方案。虽然单一的检测技术可能并不是很有效，但结合一些技术，还是可以在一定程度上防范商业勒索软件的。通过应用类似白名单的方法，将这些工具与那些跟踪能力良好的工具结合起来。这不仅创建了一个真正的深度防御模型，它还可以作为防御恶意软件和勒索软件的最后一道防线，能够避开你的前线防御，如防病毒。

原文链接：

https://www.techradar.com/news/why-does-ransomware-keep-evading-your-defenses