一不留神,勒索软件“改头换面”,怎么抵御
发表时间:2023-04-05 来源:明辉站整理相关软件相关文章人气:
[摘要]勒索软件常有, 而“想哭”勒索蠕虫风波不常有。 “想哭”在全世界搞事以后, 仅仅知道如何抵抗它这种&ldqu...
勒索软件常有, 而“想哭”勒索蠕虫风波不常有。 “想哭”在全世界搞事以后, 仅仅知道如何抵抗它这种“一次性”安全行为还不够, 曾有安全专家预言, 这几年将面临勒索软件的爆发, 因为很多攻击者发现, 相对别的手段而言, 这种犯罪手段也许是“人傻、钱多、速来”, 再加上勒索软件的代码可以被轻易改变, “改头换面”后又是一条“好汉”, 怎么才能持久性预防?以下是网络测试、可视化和安全解决方案供应商 Ixia的投稿, 已授权雷锋网(公众号:雷锋网)发表, 在不改变原意的基础上, 雷锋网略有删节。
--
勒索软件已经成为黑客在网络犯罪中牟利的惯用伎俩。 据最新《Verizon数据泄露调查报告》(DBIR)表明, 由于通过加密文件进行勒索赎金速度快、风险低并且可以轻松敛财, 尤其使用比特币进行收款, 可使收款人无法追踪, 勒索软件是目前犯罪软件最常见的类型。 自2016年1月起, 以企业为目标的攻击增长了300%, 且攻击频率每40秒发生一次。 此次波及全球范围的勒索攻击WannaCry, 自5月12日以来已经影响到150个国家, 逾二十万受害者。 以上只说明一个事实: 各组织机构须立刻采取应对措施, 以防患于未然。
由于犯罪分子寻求提高感染率以及增加其非法收入, 勒索软件的传播方法已发生变化。 早期传统的入侵方式, 比如电子邮件中使用恶意文件作为附件, 可以相对容易地被防病毒产品和安全沙箱检测和屏蔽。 然而, 目前的入侵方式已经经过专门设计, 旨在绕过这些传统的安全防护产品。
Ixia应用威胁情报部门的高级总监Steve McGregory表示:“网络犯罪分子可以轻易地变换和改写勒索软件代码, 并足以成功逃避杀毒软件的特征库匹配。 这些勒索软件的变种被称为“零日突变”, 即一旦被识别, 勒索软件的签名便可以被更新并公布, 因此防病毒软件将需要几天的时间来屏蔽新的变种。 而在此期间, 企业机构仍易受到攻击, 网络犯罪分子往往会继续乘虚而入为其谋利。 ”
Ixia表示, 如果企业机构打算抵御勒索软件的攻击, 需要掌握三大核心原则:
1. 追根溯源
勒索软件感染链通常始于一个带有恶意附件的钓鱼邮件, 其附件通常包含宏文件(macro)。 即使对于安全沙箱来说这个宏似乎都毫无风险, 但打开该文件时, 宏就会被激活, 并通过互联网连接攻击者的远程服务器, 将勒索软件有效载荷下载到本地。 此外, 该宏还可以在下载过程中进行文件变换。 因此, 直到在它实际进入主机之前, 都实则看似无害。
2. 对症下药
如果只将关注点放在审查文件载荷的内容, 这样的防御措施往往徒劳无功。 由于基于电子邮件的宏往往无法被发现, 因为在检测过程中它们并不会表现出恶意行为, 所以即便是最先进的安全沙箱也束手无策。 事实上, 这些文件载荷在实际被下载到电脑中并开始加密文件之前, 看起来都没有恶意, 所以各企业机构应探查感染来源, 而非仅仅耽于表象。
3. 阻止感染
在勒索软件感染的最后阶段, 文件载荷将从已知的恶意IP进行发送。 由于 IP 地址相对稀少, 同一个“恶意”地址往往会被重复使用。 即使全新的恶意软件变种也可能复用一小段已经暴露的恶意 IP 地址。
这意味着, 如果某个企业的网络内有一台电脑试图从一个已知的恶意 IP 地址下载文件, 它们通常处于勒索软件攻击的初始阶段, 所以也就没必要检测正在试图进行下载行为的宏文件, 或者正在下载的内容。
因此抵御攻击的最直接, 且经济的方法是: 自动阻断所有企业内网中, 试图连接已知恶意IP地址的行为, 并且这个恶意 IP 地址库需要通过收集威胁情报进行持续更新。 这会使大部分已有攻击甚至新的攻击无功而返。
“各企业不能再对勒索软件的威胁视而不见。 如果仅将这些数据保存在受攻击影响的系统中, 而没有备份关键数据, 那么无论是经济影响还是企业声誉都将付出无法想象的代价。 客户数据、财务记录和其他无法替代信息的丢失将可能导致业务停滞, 并留下永久性的空白。 ” McGregory总结。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。