【文章转载】突破勒索软件防线：CryptoGuard的创新防御之道

静态解决方案

静态技术（即可以被动进行的、不需要执行恶意软件的检测方法）用于勒索软件检测，与检测其他类型恶意软件的方法没有显著区别。这类解决方案包括签名匹配、字符串比较、文件操作比较、行为特征分析、深度学习技术以及PE头分析。

虽然静态方法具有较快且低成本的优势，但决心较强的攻击者可以通过修改代码来绕过签名检测，使其失效。对于新变种、加壳程序、混淆器、内存威胁以及远程勒索软件，这些方法的效果也较差。

动态解决方案

动态解决方案则通常需要更多的计算资源，但提供更广泛的覆盖。此类动态反勒索软件解决方案包括以下几种：

一些安全解决方案会监控文件扩展名的变化、高频率的读写和重命名操作，或是检测与勒索软件变种相关的扩展名的新文件。而另一方面，一些解决方案则采用其他交互方式；例如，开源项目Raccine就基于一个前提：许多勒索软件变种会通过vssadmin删除影像复制。Raccine通过拦截对vssadmin的请求并终止相关进程来实现防护。

由于勒索软件主要针对文件，很多防御方法也自然集中在文件系统交互上。然而，这些方法中的许多依赖于沙箱环境中的分析，或是基于异常模式，而这些模式可能会被攻击者刻意避免生成；另外，由于需要大量监控，部分方法可能会消耗较多资源（尽管可以动态调整监控强度）。而对于远程勒索软件，一些基于文件系统的技术可能也并不十分有效。

像Windows Defender中的受控文件夹访问（CAF）这样的解决方案，通过限制特定应用程序对文件夹的访问来保护文件，主要面向个人用户。CAF通过限制未经授权的访问，保护指定文件夹免受勒索软件的攻击，只允许受信任的应用程序修改其中的文件。然而，对于企业网络来说，这种方法可能不太实用，因为需要不断细致地管理文件夹和应用程序。此外，这种方法也没有解决攻击者控制受信任应用程序的风险，而这是勒索软件攻击中的常见策略。

一些安全解决方案会评估进程调用的API，通过标记可疑和少见的调用，或通过判断可能的恶意调用序列来进行检测。

大多数勒索软件会使用API调用，尽管某些变种会采取规避措施来掩盖这些调用（特别是对于已知可疑的API调用，如CreateRemoteThread或VirtualAllocEx，这些通常用于进程注入；或者与加密相关的API调用）。在内核级别监控API调用无疑是一个值得尝试的方法，但这种监控会消耗大量资源，可能会产生误报，并且在大规模实施时具有挑战性。此外，针对远程勒索软件，这种方法可能无法有效执行，因为进程本身可能不在受攻击的主机上，这会使该方法受到限制。

许多安全产品使用“蜜罐文件”、“诱饵文件”、“诱饵档案”或“金丝雀文件”作为防勒索软件的解决方案——这些不显眼的文件被放置在目录中，要求合法用户避免触碰。如果任何进程访问或更改这些文件，独立的监控系统（无论是用户级别还是内核级别）将被触发，随即生成警报。

蜜罐文件具有轻便、低投入的特点，可以在早期提供有关攻击可能正在进行的警告。然而，它们也有一些缺点。防御者必须确保能够及时收到警报并采取措施，因为按设计，当蜜罐文件被触发时，攻击已经开始。此外，蜜罐文件还需要战略性地放置——它们应深藏在文件系统中，确保正常的合法用户和进程不会意外触发，但又不能放得太深，以免在文件被访问之前就被加密。

一种较为少见的技术是通过“指纹识别”某些恶意模式——包括网络（C2）流量、CPU消耗或CPU信号。

关于网络流量，需要注意的是，在现代由人工操作的勒索软件攻击中，攻击者会根据每个受害者的情况定制和编译勒索软件二进制文件，这是为了阻止检测并使解密过程更加复杂。这种定制的勒索软件通常包含特定于受害者的赎金说明，并以“火力全开”的方式部署，无需直接与攻击者进行通信，因为加密过程已完全嵌入到恶意软件中，利用特定于受害者的嵌入式公钥。

英特尔推出的一项新兴技术，名为TDT（威胁检测技术），提供了在硬件级别检测勒索软件的能力。SE Labs的评测表明，这项技术在多种加密方案下表现出色。然而，这项技术仅限于特定的英特尔CPU，排除了ARM和AMD架构。这一限制源于TDT依赖于一个通过特定勒索软件家族的加密模式训练的机器学习模型。这个模型由英特尔训练，并且需要厂商支持，因此无法应对远程加密。该技术的一个缺点是，一些勒索软件变种，如LockBit和Akira，故意将每个文件的加密部分进行分割。这种做法加速了攻击的影响，使更多的文件在更短的时间内被加密。这也意味着英特尔TDT的检测通常发生在大量文件已被感染之后。

自动化遥测驱动的隔离

大多数现代端点保护解决方案将数据传输到云端，用于事件响应和警报分析。然而，通过警报遥测自动拼凑出主动进行的人工勒索软件攻击的详细信息可能需要几分钟到几个小时的时间。这种延迟取决于配置的遥测报告频率、其他警报信号的存在以及云端处理能力来汇总和关联来自多个受保护机器的具体事件。

在检测到攻击后，自动响应可以通过向受管设备部署隔离策略来进行，以隔离出疑似被攻击者控制的特定用户账户。虽然该措施旨在防止来自识别账户的即将发生或正在进行的（远程）勒索软件加密攻击，但需要注意的是，分发这一策略也需要时间（最多几个小时）。此外，在攻击者开始加密而没有触发受管机器上预先警报的情况下（如前所述，80%的攻击涉及未管理的机器），或者选择从其他用户账户启动加密过程时，这种云驱动的动态隔离策略未必总能有效。然而，在某些情况下，这种策略仍然具有一定的帮助。

通常，动态反勒索软件解决方案需要在攻击发生后进行某种程度的加密或数据操作才能检测到攻击。因此，某些文件很可能会被加密，这就需要备份和恢复功能来恢复受影响的文件。

为了恢复未加密的文件版本，一些端点保护产品利用了卷影副本，这是Windows的一项功能，可以在特定时间点生成数据快照。这些“影像副本”即使在文件或卷正在使用时，也能捕获它们的状态。然而，这种方法也有其局限性：攻击者通常会删除影像副本；它们不保护网络映射驱动器上的文件；而有效的回滚依赖于在随后的计划快照之前（通常每四小时一次）检测并处理勒索软件事件。如前所述，大多数攻击发生在办公时间之外，这可能会使得通过这种方法恢复变得更加复杂。

总结

通常，许多反勒索软件方法侧重于寻找“恶意行为”：通过表征和识别与勒索软件活动相关的行为特征。这看起来是一个合理的选择，但它也有一个关键的弱点，即威胁行为者有动机隐藏或混淆这些特征，从而避开检测。与此不同，CryptoGuard采取了不同的方法。

CryptoGuard – 前身为 HitmanPro.Alert，并自2016年以来成为Intercept X的一部分 – 于2013年首次开发，旨在作为最后一层防御，抵御本地和远程勒索软件攻击，当决定性的威胁行为者绕过了所有其他保护措施并准备开始加密时，它发挥着至关重要的作用。CryptoGuard的显著成功包括阻止了WannaCry、LockBit和REvil勒索软件的攻击。尽管我们密切关注勒索软件领域的发展，但CryptoGuard多年来并未发生重大变化，主要因为它无需改变。

一种不对称的方法

与上述大多数方法不同，CryptoGuard完全不依赖于寻找攻击者、勒索软件可执行文件或恶意行为模式。当然，其他安全解决方案，包括Sophos产品，也会进行这些检测——这是层级防御的基本组成部分，理想情况下可以防止攻击者到达加密阶段——但CryptoGuard采用了更为不对称的方法，专门针对那些已经绕过防御层的情况。

CryptoGuard并不寻找“恶意行为”，而是关注文件的内容，通过数学算法分析其模式。每当一个进程打开文件进行读写时，CryptoGuard的minifilter驱动程序——该程序在Windows操作系统内核中运行——会持续生成读写数据的直方图。这些直方图有助于理解数据的整体模式和特征。随后，这些数据会进行评估，以确定其熵值，并统计分析读写的数据是未加密的、压缩的，还是加密的。内置的评估器使用数学模型对数据进行分类。由于分析使用的是操作系统为请求进程提供的内存缓冲区，因此非常高效，不会造成额外的磁盘输入/输出（I/O）负担。

这一功能提供了不对称的保护，即使在以下场景中也能发挥作用：例如，网络上一个没有保护的远程机器正在攻击一个Sophos保护的文件服务器上的共享文档。如前所述，大多数人工操作的勒索软件攻击也旨在加密远程机器上的共享数据。在这种情况下，勒索软件本身并没有在受保护的远程机器上执行（要么是攻击者没有在该机器上部署它，要么是被端点保护阻止了）。因此，勒索软件二进制文件或攻击者控制的进程（执行加密的进程）无法从存储目标数据的机器上观察到。

因此，由于在攻击的机器上没有恶意代码可以被检测到，像杀毒软件、机器学习、入侵指标等技术——这些技术旨在识别对手及其恶意代码——完全被排除在外，不会起作用（即使它是一个已知的多年旧的样本，负责加密）。然而，CryptoGuard能够识别远程机器何时将共享文件夹中的文档替换为加密版本，并通过阻止远程机器的IP地址并恢复它所做的更改来自动采取行动。它会创建修改过的文件的临时备份，以便在检测到大规模加密时能够回滚更改，并且还能够检测到勒索赎金通知文件的部署，这些通知文件位于勒索软件加密的文件所在的文件夹中。因此，即使CryptoGuard并未专门设计用于此目的，它有时也能识别出数据外泄的情况。

零信任

攻击者有时会滥用现有进程，或将通常无害的进程与恶意DLL捆绑（即DLL侧载），以执行加密操作。加密活动是在无害进程的身份下执行的，该进程现在运行的是攻击者的代码，进而加密文档。

一个现实世界的例子是Kaseya VSA事件，REvil攻击者将恶意DLL嵌入一个过时但易受攻击的Windows Defender可执行文件中，以便进行侧载。攻击者故意选择了Defender，因为防护通常信任由Microsoft签名的代码。此外，DLL文件不像可执行文件那样能够在沙箱环境中进行彻底的检查，这意味着它可能会更快地“通过”审核。

在那次事件中，Sophos检测到了REvil的有效负载和一个REvil特定的代码证书。尽管Kaseya的保护排除设置允许REvil的投放程序被安装在机器上，CryptoGuard依然检测到了勒索软件，因为它不受这些排除设置的限制，并且能够在受保护的驱动器上阻止文件加密。

操作指南

在与勒索软件的斗争中，没有一种万能的解决方案。有效的防御应该包含多层次的措施，从漏洞修复和配置审查到用户教育和安全解决方案。然而，不管组织采取多少层防御，最重要的一点是考虑最后一层防御的强大和有效性，特别是在所有其他措施失效且威胁行为者准备执行勒索软件攻击时。此时，我们在本文中提到的解决方案便发挥作用。

这些解决方案多种多样，涵盖了不同的行为特征和活动。它们在可扩展性、灵活性和成本效益方面有很大的差异，各有其优缺点。一个共同点是，大多数解决方案都在某种程度上关注“检测恶意行为”——无论是通过API调用分析、蜜罐文件，还是某种指纹识别方法。这并不一定是缺点，分层且多样化的防御堆栈是一种稳妥的做法。但正如我们所展示的，CryptoGuard在Intercept X中的方法略有不同，更加不对称：它侧重于文件内容，而不是勒索软件或其操作员的行为。

勒索软件不断发展，预计会有越来越多的解决方案和技术应运而生。正如我们过去十年所做的，我们将继续跟踪勒索软件和应对它的解决方案的变化。

https://news.sophos.com/en-us/2023/12/20/cryptoguard-an-asymmetric-approach-to-the-ransomware-battle/