勒索病毒软件防御技术概论.docx

? ? ? ? ? ? ? ? 勒索病毒软件防御技术概论 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 勒索病毒软件的防御已是一个热门话题，尽管勒索软件有愈演愈烈的趋势，危害也越来越大，但是无论个人用户还是企业用户，很多人并不是完全的了解勒索软件，重视程度也不够，甚至还没有找到正确的防御方式。下面讲着重进一步深度分析勒索软件，探讨勒索软件防御的最佳实践。 勒索软件典型传播途径 ? ? ? 首先我们从技术角度来回顾一下勒索软件的传播途径，下面是一个典型的传播过程示意图： 1．??攻击者一般是通过大量发送钓鱼邮件，广告邮件，散播各种入侵工具包，利用系统或应用存在的漏洞尝试入侵和安装， 2．??一旦入侵成功后，勒索软件还会连接到C2主机，并且生成用于加密的公钥和私钥，并下载到受害者主机。 3．??获取密钥后，勒索软件开始寻找特定类型的文件和目录，并对其进行加密。通常勒索软件还要避免对系统文件加密，要确保系统能够正常启动并且支付赎金。 4．??完成加密后，勒索软件会留下一个勒索通知，告诉被加密者如何支付勒索金钱。 勒索软件的常见入侵手段 ? ? ? 勒索软件有很多方式实现对用户设备的入侵和感染，最常见的方式莫过于钓鱼邮件攻击和网站恶意代码的入侵。 ? ? ? 邮件方式是最常见的勒索软件传播途径。攻击者可以利用各种邮件列表，大量发送钓鱼邮件。尽管很多企业用户都部署了各种邮件安全防护技术，但是很多人除了使用公司邮件账号以外，还会使用个人免费邮箱，而这些免费邮箱并没有太多安全保护。当用户使用这些邮箱去访问，下载邮件附件或者访问钓鱼链接，有可能造成被勒索软件的感染。 ? ? ? 访问网站的钓鱼链接也是比较常见的传播方式。攻击者在利用了网站上的弹出的广告链接，当用户点击了网站上的恶意广告时，通常会被链接到一个感染网站上，导致电脑终端被入侵。恶意广告宿主网站通常会使用多个不同的域名，并且经常变换域名，这些宿主网站带有各种入侵工具，并提供C2主机服务。 ? ? ? 事实上，勒索软件正在快速的演变，融合了很多恶意软件的传播特性，新的变种能够在企业中快速的传播和感染整个网络，对能够访问的各种数据进行加密，甚至很多企业因此造成了业务的中断，这对企业的安全防御带来了巨大的挑战。 勒索软件的回连行为 ? ? ? 我们提到的回连行为，指的是勒索软件到“命令与控制主机”即C2的通信行为，勒索软件回连到C2主机的目的，是获得加密的密钥和如何支付赎金的指令。下表列出了常见勒索软件使用的回连方式： ? ? ? 绝大多数勒索软件和入侵工具都是通过DNS解析C2主机的IP地址，然后“回连”到C2主机获取密码和支付信息，也有的是直接通过IP地址连接，还有一些（比如SamSam）直接使用内置的加密密钥，除此之外，还有一些变种使用TOR路由封装的方式访问C2主机，这样做的目的是避免在DNS解析时被发现C2主机的地址。 勒索软件的“防御链条” ? ? ? 这里提到的名词“防御链条”，指的是在勒索软件传播的各个阶段中，根据其不同特征，对入侵行为进行拦截的能力。 ? ? ? 首先，我们把勒索软件的整个攻击过程分为三个阶段，分别是寻找目标，入侵感染和驻留传播；而每个阶段还可以分为多个环节（如下图所示）。当然并非每个攻击都会经历这些环节，这里列出了最典型的每个环节的分析。 侦察 ? ? ? 攻击者收集各种信息并寻找攻击目标，借助某些看上去可信的网站，通过挂马的方式，篡改广告链接作为访问跳板；或者通过钓鱼邮件的方式，诱骗用户点击钓鱼链接。 启动 ? ? ? 利用“侦察”阶段收集的信息，攻击者诱骗用户打开附件或点击恶意链接，结果导致主机被重定向到某个看上去可信的网站，这时候入侵工具或恶意代码镜开始启动。 入侵 ? ? ? 入侵工具开始对目标主机进行漏洞扫描和探测，寻找可以利用的漏洞，一旦发现存在可以利用的漏洞，将尝试获取目标主机的访问和控制权。 安装 ? ? ? 一旦获得了控制权限，在目标主机没有感知的情况下，入侵工具在后台悄悄将被安装勒索软件或者Trojan-Downloader恶意下载程序，这些勒索软件将会在后续对目标主机的文件进行加密。这个环节也可能会下载一下其他的恶意代码用于将来的传播。 回连 ? ? ? 勒索软件完成安装，并且检测到网络联通后，就会“”“回连”到僵尸命令与控制主机C2主机，连接到C2后，获取到加密密钥和指令，最后对磁盘、网络映射驱动器以及USB设备进行检索，并对文档、音频、视频等类型文件进行加密。 驻留 ? ? ? 勒索软件完成对文件加密后，将通过发送通知邮件或者修改屏幕壁纸等方式，通知被加密主机支付赎金来恢复文件。这些通知信息将一直存在，有时还会删除一些文件，给被加密者施加压力，促使其尽快支付赎金。此外，入侵工