【文章转载】突破勒索软件防线:CryptoGuard的创新防御之道

admin 2024年12月16日13:46:35评论30 views字数 8174阅读27分14秒阅读模式

点击蓝字 关注我们

在“全新技术思维领导力系列”的第二篇中,Sophos X-Ops深入分析了反勒索软件技术。

勒索软件是目前组织面临的最重大威胁之一。与之作斗争并非易事,尤其是在威胁行为者不断完善其技术和方法的情况下。例如,近年来勒索软件即服务(RaaS)模型的调整、新编程语言的采用、目标和部署方式的演变,以及攻击时段逐渐转向工作时间之外和周末,以增加检测和事件响应难度。

其中一个重要的发展趋势是远程勒索软件的增加:利用组织的域架构加密托管在域中的计算机上的数据。所有恶意活动——入侵、有效载荷执行和加密——都发生在非托管计算机上,从而绕过现代安全堆栈,唯一的入侵迹象是文档在不同计算机之间的传输。我们的遥测数据显示,自2022年以来,远程加密攻击的年均增长率为62%。微软2023年的《数字防御报告》指出,大约60%的人工操作勒索软件攻击涉及远程加密,而80%的所有入侵源自非托管设备,这表明资产管理存在漏洞。已知支持远程加密的勒索软件家族包括Akira、ALPHV/BlackCat、BlackMatter、LockBit和Royal,这一技术已存在一段时间——早在2013年,CryptoLocker就已开始攻击网络共享。

【文章转载】突破勒索软件防线:CryptoGuard的创新防御之道
图1:远程勒索软件工作原理的简化解释

不出所料,勒索软件的兴起和持续发展促使了大量的研究工作,旨在检测和防止这种威胁——学术界、网络安全研究人员和供应商都提出了各种解决方案。作为一种恶意软件,勒索软件带来了独特的实际和理论挑战,而解决方案的多样性也反映了这一点。许多解决方案针对勒索软件的独特行为特征:枚举文件系统、访问和加密文件、生成勒索信息等。另一些则更为通用,应用常见的反恶意软件技术来对抗勒索软件。

在本系列的第二期文章中,我们将简要概述一些反勒索软件技术及其优缺点,然后深入探讨我们对该领域的贡献:CryptoGuard。

在开始之前,需要注意的是:勒索软件攻击有多个阶段,其中大多数阶段会在本文讨论的解决方案介入之前发生。一家防御良好的企业通常会有多个保护层,这些保护层应该能在多个环节阻止攻击,这意味着在许多情况下不需要专门的反勒索软件解决方案。但当一切防线都失败,且敌手突破至加密阶段时,我们需要一种技术来防止无法挽回的损害。攻击的其他阶段——如初始感染、持久化、横向移动等——是可以逆转的,但加密则无法恢复。

反勒索软件方法

静态解决方案

静态技术(即可以被动进行的、不需要执行恶意软件的检测方法)用于勒索软件检测,与检测其他类型恶意软件的方法没有显著区别。这类解决方案包括签名匹配、字符串比较、文件操作比较、行为特征分析、深度学习技术以及PE头分析。

虽然静态方法具有较快且低成本的优势,但决心较强的攻击者可以通过修改代码来绕过签名检测,使其失效。对于新变种、加壳程序、混淆器、内存威胁以及远程勒索软件,这些方法的效果也较差。

动态解决方案

动态解决方案则通常需要更多的计算资源,但提供更广泛的覆盖。此类动态反勒索软件解决方案包括以下几种:

文件系统交互

一些安全解决方案会监控文件扩展名的变化、高频率的读写和重命名操作,或是检测与勒索软件变种相关的扩展名的新文件。而另一方面,一些解决方案则采用其他交互方式;例如,开源项目Raccine就基于一个前提:许多勒索软件变种会通过vssadmin删除影像复制。Raccine通过拦截对vssadmin的请求并终止相关进程来实现防护。

由于勒索软件主要针对文件,很多防御方法也自然集中在文件系统交互上。然而,这些方法中的许多依赖于沙箱环境中的分析,或是基于异常模式,而这些模式可能会被攻击者刻意避免生成;另外,由于需要大量监控,部分方法可能会消耗较多资源(尽管可以动态调整监控强度)。而对于远程勒索软件,一些基于文件系统的技术可能也并不十分有效。

文件夹保护

像Windows Defender中的受控文件夹访问(CAF)这样的解决方案,通过限制特定应用程序对文件夹的访问来保护文件,主要面向个人用户。CAF通过限制未经授权的访问,保护指定文件夹免受勒索软件的攻击,只允许受信任的应用程序修改其中的文件。然而,对于企业网络来说,这种方法可能不太实用,因为需要不断细致地管理文件夹和应用程序。此外,这种方法也没有解决攻击者控制受信任应用程序的风险,而这是勒索软件攻击中的常见策略。

API调用

一些安全解决方案会评估进程调用的API,通过标记可疑和少见的调用,或通过判断可能的恶意调用序列来进行检测。

大多数勒索软件会使用API调用,尽管某些变种会采取规避措施来掩盖这些调用(特别是对于已知可疑的API调用,如CreateRemoteThread或VirtualAllocEx,这些通常用于进程注入;或者与加密相关的API调用)。在内核级别监控API调用无疑是一个值得尝试的方法,但这种监控会消耗大量资源,可能会产生误报,并且在大规模实施时具有挑战性。此外,针对远程勒索软件,这种方法可能无法有效执行,因为进程本身可能不在受攻击的主机上,这会使该方法受到限制。

蜜罐文件

许多安全产品使用“蜜罐文件”、“诱饵文件”、“诱饵档案”或“金丝雀文件”作为防勒索软件的解决方案——这些不显眼的文件被放置在目录中,要求合法用户避免触碰。如果任何进程访问或更改这些文件,独立的监控系统(无论是用户级别还是内核级别)将被触发,随即生成警报。

蜜罐文件具有轻便、低投入的特点,可以在早期提供有关攻击可能正在进行的警告。然而,它们也有一些缺点。防御者必须确保能够及时收到警报并采取措施,因为按设计,当蜜罐文件被触发时,攻击已经开始。此外,蜜罐文件还需要战略性地放置——它们应深藏在文件系统中,确保正常的合法用户和进程不会意外触发,但又不能放得太深,以免在文件被访问之前就被加密。

指纹识别

一种较为少见的技术是通过“指纹识别”某些恶意模式——包括网络(C2)流量、CPU消耗或CPU信号。

关于网络流量,需要注意的是,在现代由人工操作的勒索软件攻击中,攻击者会根据每个受害者的情况定制和编译勒索软件二进制文件,这是为了阻止检测并使解密过程更加复杂。这种定制的勒索软件通常包含特定于受害者的赎金说明,并以“火力全开”的方式部署,无需直接与攻击者进行通信,因为加密过程已完全嵌入到恶意软件中,利用特定于受害者的嵌入式公钥。

英特尔推出的一项新兴技术,名为TDT(威胁检测技术),提供了在硬件级别检测勒索软件的能力。SE Labs的评测表明,这项技术在多种加密方案下表现出色。然而,这项技术仅限于特定的英特尔CPU,排除了ARM和AMD架构。这一限制源于TDT依赖于一个通过特定勒索软件家族的加密模式训练的机器学习模型。这个模型由英特尔训练,并且需要厂商支持,因此无法应对远程加密。该技术的一个缺点是,一些勒索软件变种,如LockBit和Akira,故意将每个文件的加密部分进行分割。这种做法加速了攻击的影响,使更多的文件在更短的时间内被加密。这也意味着英特尔TDT的检测通常发生在大量文件已被感染之后。

【文章转载】突破勒索软件防线:CryptoGuard的创新防御之道
图 2:Akira 勒索软件,专门攻击远程数据,并且仅加密每个文件的 3%

自动化遥测驱动的隔离

大多数现代端点保护解决方案将数据传输到云端,用于事件响应和警报分析。然而,通过警报遥测自动拼凑出主动进行的人工勒索软件攻击的详细信息可能需要几分钟到几个小时的时间。这种延迟取决于配置的遥测报告频率、其他警报信号的存在以及云端处理能力来汇总和关联来自多个受保护机器的具体事件。

在检测到攻击后,自动响应可以通过向受管设备部署隔离策略来进行,以隔离出疑似被攻击者控制的特定用户账户。虽然该措施旨在防止来自识别账户的即将发生或正在进行的(远程)勒索软件加密攻击,但需要注意的是,分发这一策略也需要时间(最多几个小时)。此外,在攻击者开始加密而没有触发受管机器上预先警报的情况下(如前所述,80%的攻击涉及未管理的机器),或者选择从其他用户账户启动加密过程时,这种云驱动的动态隔离策略未必总能有效。然而,在某些情况下,这种策略仍然具有一定的帮助。

回滚

通常,动态反勒索软件解决方案需要在攻击发生后进行某种程度的加密或数据操作才能检测到攻击。因此,某些文件很可能会被加密,这就需要备份和恢复功能来恢复受影响的文件。

为了恢复未加密的文件版本,一些端点保护产品利用了卷影副本,这是Windows的一项功能,可以在特定时间点生成数据快照。这些“影像副本”即使在文件或卷正在使用时,也能捕获它们的状态。然而,这种方法也有其局限性:攻击者通常会删除影像副本;它们不保护网络映射驱动器上的文件;而有效的回滚依赖于在随后的计划快照之前(通常每四小时一次)检测并处理勒索软件事件。如前所述,大多数攻击发生在办公时间之外,这可能会使得通过这种方法恢复变得更加复杂。

总结

通常,许多反勒索软件方法侧重于寻找“恶意行为”:通过表征和识别与勒索软件活动相关的行为特征。这看起来是一个合理的选择,但它也有一个关键的弱点,即威胁行为者有动机隐藏或混淆这些特征,从而避开检测。与此不同,CryptoGuard采取了不同的方法。

CryptoGuard

CryptoGuard – 前身为 HitmanPro.Alert,并自2016年以来成为Intercept X的一部分 – 于2013年首次开发,旨在作为最后一层防御,抵御本地和远程勒索软件攻击,当决定性的威胁行为者绕过了所有其他保护措施并准备开始加密时,它发挥着至关重要的作用。CryptoGuard的显著成功包括阻止了WannaCry、LockBit和REvil勒索软件的攻击。尽管我们密切关注勒索软件领域的发展,但CryptoGuard多年来并未发生重大变化,主要因为它无需改变。

一种不对称的方法

与上述大多数方法不同,CryptoGuard完全不依赖于寻找攻击者、勒索软件可执行文件或恶意行为模式。当然,其他安全解决方案,包括Sophos产品,也会进行这些检测——这是层级防御的基本组成部分,理想情况下可以防止攻击者到达加密阶段——但CryptoGuard采用了更为不对称的方法,专门针对那些已经绕过防御层的情况。

CryptoGuard并不寻找“恶意行为”,而是关注文件的内容,通过数学算法分析其模式。每当一个进程打开文件进行读写时,CryptoGuard的minifilter驱动程序——该程序在Windows操作系统内核中运行——会持续生成读写数据的直方图。这些直方图有助于理解数据的整体模式和特征。随后,这些数据会进行评估,以确定其熵值,并统计分析读写的数据是未加密的、压缩的,还是加密的。内置的评估器使用数学模型对数据进行分类。由于分析使用的是操作系统为请求进程提供的内存缓冲区,因此非常高效,不会造成额外的磁盘输入/输出(I/O)负担。

【文章转载】突破勒索软件防线:CryptoGuard的创新防御之道
图3:CryptoGuard操作概览

这一功能提供了不对称的保护,即使在以下场景中也能发挥作用:例如,网络上一个没有保护的远程机器正在攻击一个Sophos保护的文件服务器上的共享文档。如前所述,大多数人工操作的勒索软件攻击也旨在加密远程机器上的共享数据。在这种情况下,勒索软件本身并没有在受保护的远程机器上执行(要么是攻击者没有在该机器上部署它,要么是被端点保护阻止了)。因此,勒索软件二进制文件或攻击者控制的进程(执行加密的进程)无法从存储目标数据的机器上观察到。

因此,由于在攻击的机器上没有恶意代码可以被检测到,像杀毒软件、机器学习、入侵指标等技术——这些技术旨在识别对手及其恶意代码——完全被排除在外,不会起作用(即使它是一个已知的多年旧的样本,负责加密)。然而,CryptoGuard能够识别远程机器何时将共享文件夹中的文档替换为加密版本,并通过阻止远程机器的IP地址并恢复它所做的更改来自动采取行动。它会创建修改过的文件的临时备份,以便在检测到大规模加密时能够回滚更改,并且还能够检测到勒索赎金通知文件的部署,这些通知文件位于勒索软件加密的文件所在的文件夹中。因此,即使CryptoGuard并未专门设计用于此目的,它有时也能识别出数据外泄的情况。

零信任

攻击者有时会滥用现有进程,或将通常无害的进程与恶意DLL捆绑(即DLL侧载),以执行加密操作。加密活动是在无害进程的身份下执行的,该进程现在运行的是攻击者的代码,进而加密文档。

一个现实世界的例子是Kaseya VSA事件,REvil攻击者将恶意DLL嵌入一个过时但易受攻击的Windows Defender可执行文件中,以便进行侧载。攻击者故意选择了Defender,因为防护通常信任由Microsoft签名的代码。此外,DLL文件不像可执行文件那样能够在沙箱环境中进行彻底的检查,这意味着它可能会更快地“通过”审核。

在那次事件中,Sophos检测到了REvil的有效负载和一个REvil特定的代码证书。尽管Kaseya的保护排除设置允许REvil的投放程序被安装在机器上,CryptoGuard依然检测到了勒索软件,因为它不受这些排除设置的限制,并且能够在受保护的驱动器上阻止文件加密。

操作指南

结论

在与勒索软件的斗争中,没有一种万能的解决方案。有效的防御应该包含多层次的措施,从漏洞修复和配置审查到用户教育和安全解决方案。然而,不管组织采取多少层防御,最重要的一点是考虑最后一层防御的强大和有效性,特别是在所有其他措施失效且威胁行为者准备执行勒索软件攻击时。此时,我们在本文中提到的解决方案便发挥作用。

这些解决方案多种多样,涵盖了不同的行为特征和活动。它们在可扩展性、灵活性和成本效益方面有很大的差异,各有其优缺点。一个共同点是,大多数解决方案都在某种程度上关注“检测恶意行为”——无论是通过API调用分析、蜜罐文件,还是某种指纹识别方法。这并不一定是缺点,分层且多样化的防御堆栈是一种稳妥的做法。但正如我们所展示的,CryptoGuard在Intercept X中的方法略有不同,更加不对称:它侧重于文件内容,而不是勒索软件或其操作员的行为。

勒索软件不断发展,预计会有越来越多的解决方案和技术应运而生。正如我们过去十年所做的,我们将继续跟踪勒索软件和应对它的解决方案的变化。

文章来源

https://news.sophos.com/en-us/2023/12/20/cryptoguard-an-asymmetric-approach-to-the-ransomware-battle/

以下是solar安全团队近期处理过的常见勒索病毒后缀:

出现时间 病毒名称 相关文章
2020年1月 .mkp 【病毒分析】揭秘.mkp后缀勒索病毒!Makop家族变种如何进行可视化加密?
2024年5月 .moneyistime 【病毒分析】使用中文勒索信及沟通:MoneyIsTime 勒索家族的本地化语言转变及其样本分析
2024/9/29 .lol 【病毒分析】全网首发!全面剖析.LOL勒索病毒,无需缴纳赎金,破解方案敬请期待下篇!
【工具分享】.LOL勒索病毒再也不怕!完整破解教程分享+免费恢复工具首发
2024/6/21 .MBRlock 【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法
2024/6/1 .steloj 【病毒分析】Steloj勒索病毒分析
2024/5/27 .TargetOwner 【病毒分析】技术全面升级,勒索赎金翻倍,新版本TargetOwner勒索家族强势来袭?
2024/5/17 .Lockbit 3.0 【病毒分析】Lockbit家族Lockbit 3.0加密器分析
【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告
【病毒分析】繁体勒索信暗藏玄机!要价50万RMB赎金的Lockbit泄露版分析
2024/5/13 .wormhole 【病毒分析】Wormhole勒索病毒分析
2024/4/9 .bianlian 【病毒分析】新兴TOP2勒索软件!存在中国受害者的BianLian勒索软件解密原理剖析
2024/3/20 .locked 【病毒分析】locked勒索病毒分析
2024/3/11 .Live1.5 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5(全版本可解密)
2024/3/8 .Live2.0 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密)
2024/3/6 .Elbie 【病毒分析】phobos家族Elbie变种加密器分析报告
2024/3/1 .lvt 【病毒分析】交了赎金也无法恢复--针对国内某知名NAS的LVT勒索病毒最新分析
2024/2/26 0.27 【病毒分析】phobos家族2700变种加密器分析报告
【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
2024/1/18 ._locked 中国人不骗中国人?_locked勒索病毒分析
2024/1/15 .faust 【病毒分析】phobos家族faust变种加密器分析
2024/1/15 .DevicData 【病毒分析】DevicData勒索病毒分析
2024/1/2 .jopanaxye 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2023/12/1 .live1.0 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)
2023/9/5 .CryptoBytes 【独家破解】揭秘境外黑客组织的20美元锁机病毒:深度逆向分析+破解攻略!赎金?给你付个🥚
2023/8/28 .mallox 【病毒分析】mallox家族malloxx变种加密器分析报告
2023/8/2 .rmallox 【病毒分析】mallox家族rmallox变种加密器分析报告
【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
2023/1/10 .DevicData-Pa2a9e9c 【病毒分析】DevicData家族扩散:全球企业和机构成为勒索病毒头号攻击目标!
2023年初 .halo 【病毒分析】全网首发!以国内某安全厂商名字为后缀的勒索病毒分析
2021/5/1 .mallox 【病毒分析】Mallox家族再进化:首次瞄准Linux,勒索新版本全面揭秘!
2021年1月初 .babyk 【病毒分析】BabyK加密器分析-Windows篇
【病毒分析】Babyk加密器分析-NAS篇
【病毒分析】 Babyk加密器分析-EXSI篇
【病毒分析】Babuk家族babyk勒索病毒分析
【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2020/5/18 .consultraskey-F-XXXX 【成功案例】解决浙江xx电子有限公司的勒索病毒
2019/5/1 .src 【病毒分析】Phobos家族新变种 .SRC深度分析:揭示持续演变的勒索新威胁

勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。

时间 相关文章
2024/12/12 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第二篇-流量致盲,无声突破
2024/12/11 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。

时间 相关文章
2024/6/27 【教程分享】勒索病毒来袭!教你如何做好数据防护
2024/6/24 【教程分享】服务器数据文件备份教程

如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。

原文始发于微信公众号(solar应急响应团队):【文章转载】突破勒索软件防线:CryptoGuard的创新防御之道

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月16日13:46:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【文章转载】突破勒索软件防线:CryptoGuard的创新防御之道https://cn-sec.com/archives/3513704.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息