如何应对新一代勒索软件的威胁.pdfVIP

如何应对新一代勒索软件的威胁 一、前言 攻击者和防御者都在开发日益精尖的技术和策略。恶意攻击者正在构建强大的后端基础设施， 借以发起并支持其攻击活动。网络犯罪分子在继续窃取数据和知识产权的同时 ，还在不断改进 向受害者榨取钱财 ，以及逃避检测的手段。 思科公布的必威体育精装版 《2016年中安全报告》指出 勒索软件目前在恶意软件市场中占据主体地 位。虽然它不是一个新威胁 ，但它已逐渐发展成为有史以来最具盈利能力的恶意软件类型。 2016 年上半年，针对个人和企业用户的勒索软件攻击变得更加普遍和猛烈。 新一代勒索软件的演变 ：  利用广泛部署的产品中的漏洞。过去大多数成功的蠕虫都使用互联网上部署的产品的 漏洞。  复制到所有可用驱动器。某些种类的恶意软件会枚举本地和远程驱动器（包括网络驱 动器和 USB 驱动器），并将自身复制到这些驱动器中，以进行传播或驻留。这使得离 线系统以及无法通过公共互联网访问的系统也会受到感染。  文件感染。以文件为感染目标的恶意软件会将自身附加到文件前面或者后面。具体来 说，恶意软件会附加在未受Windows SFC 或SFP （系统文件检查器或系统文件保护器） 保护的可执行文件上。有些蠕虫病毒还可以自行粘附到非可执行文件上，并且通过其 进行传播。  有限暴力破解攻击活动。过去很少有蠕虫尝试过此方法。  弹性指挥和控制。 许多蠕虫没有指挥和控制基础设施。它们所使用的只是一个简单的 默认操作，以便尽快地进行传播。  使用其他后门。一些恶意软件制作者意识到其他的感染可能已经在系统上留下了后门， 可以直接利用这些后门来传播自己的恶意软件。 攻击者正在采用数量庞大且不断创新的工具来开展攻击 ，这就给防御者在检测和阻止攻击方面 带来严峻的挑战。勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩 文件等多种文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件、干扰用 户正常使用系统的方法使系统的可用性降低，然后通过弹出窗口、对话框或生成文本文件等的 方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统 正常运行的方法 根据思科Talos安全研究团队必威体育精装版研究 一些勒索软件操纵者正在扩大他们的攻击目标。勒 索软件操纵者开始转向攻击更庞大的目标包括金融，制造业、医疗等行业用户 ，他们认为不仅 这些目标安全防护很薄弱，并且可以从中获得更大的收益。 2016 年2 月，某医院遭到了勒索软件的攻击。在这次攻击中，医疗评估和诊断设备、患者记 录以及其他电子通信都受到了勒索软件的影响。这也是第一个公开披露的针对医院的勒索软件 攻击。攻击者要求医院支付300 万美元的赎金，但是院方最终支付了17,000.00 美元。该医院与 警方都取得了联系，以寻求如何处理这种情况的建议。但是得到的答复仅仅是不断修补系统的 漏洞，使用必威体育精装版版本的杀毒软件，在手边保留备份，如果这一切都无效，那就支付赎金。 二、勒索软件传播途径 思科Talos 安全研究团队通过对大量勒索软件感染案例和样本的分析，我们发现加密勒 索软件的传播手段，主要包括以下几个方面： 1. 带有恶意文件附件或者钓鱼网站链接的邮件 2. 网站的恶意代码下载 3. 绑定在某些恶意软件上传播 4. 借助可移动存储介质传播 当含有加密勒索软件代码在用户电脑上运行时，会主动连接僵尸网络CC 主机，下载 加密程序或者获取加密密钥，然后遍历文件系统并对文件进行加密。 由于加密勒索的运行和加密的操作都是在后台完成，使用者没有感知，常常是使用者在 文件无法访问时才发现加密行为，这时从终端进行防范为时已晚。因此，我们在这里来探讨一 下如何从勒索软件的传播途径入手，在勒索软件到达电脑之前就实现对其的阻断，以这种在攻 击前的主动式预防保护和降低电脑终端被感染的风险。 上图描述了勒索软件的典型传播过程，邮件通常为勒索软件的最常见的载体，其传播途 径和感染过程如下： 1. 攻击者通过电子邮件，将包含有恶意文件或钓鱼链接的邮件发送到用户的邮箱； 2. 用户打开了邮件的恶意文件附件并在电脑上运行，或者点击链接下载了含有恶意代码 的文件，这些程序会自动向CC 主机发起链接； 3. 当恶意程序链接到CC 主机后，可能会下载加密程序，同时获取随机加密密钥