1. <small id="rw2jk"></small>
      網絡安全 頻道

      卡巴斯基實驗室解析勒索軟件的發展與攻防

        2017年,陸續爆發的永恒之藍(WannaCry)、壞兔子、Petya等勒索軟件,使政府、教育、醫院、能源、通信、制造業等眾多關鍵信息基礎設施領域遭受到了前所未有的重大損失。

        正當企業下定決心將防護勒索軟件攻擊進行到底時,勒索軟件已經開始了默默的反擊。2018年以來,勒索軟件復雜性和變種的速度均有所增加,并通過使用各種混淆技術、更精細的設計確保攻擊的準確性。

      最初WannaCry版本的樸素界面

        當今網絡世界,勒索軟件威脅持續發生,卡巴斯基實驗室對勒索軟件的研究從來沒有停止過,近期卡巴斯基實驗室就解析勒索軟件的發展與攻防技術做了很好的詮釋。

        自1989年AIDS/PC Cyborg 勒索病毒開始。勒索軟件通常由兩種形式:一是鎖屏類,即鎖定用戶計算機或手機,要求受害用戶支付贖金解鎖;二是加密類,即加密用戶文件,要求受害用戶支付贖金解密文件。目前我們遇到的基本都是文件加密類的勒索軟件。

        勒索軟件感染破壞的一般過程:勒索軟件作者使用對稱加密算法加密用戶文件,用非對稱加密算法保護密鑰。而密鑰長度足夠的話,可以說是無法破解的。

        我們對WannaCry和ExPetr的特點進行了分析。WannaCry與其前一版本并無本質區別,但因為引入了永恒之藍漏洞利用,使其造成了短時間內爆發式的感染。通過卡巴斯基樣本溯源系統,卡巴斯基研究人員發現了WannaCry的最初版本,并發現其與朝鮮Lazarus攻擊孟加拉銀行所用的Contopee后門有共同的代碼。

      某版本GandCrab使用Nsis混淆包裝自身并對抗分析

        ExPetr在內網傳播方面除了使用了永恒之藍漏洞利用,還會利用APT攻擊的手法在內網中進行橫向移動。而ExPetr與2015年底攻擊烏克蘭電站的BlackEnergy硬盤擦除程序有相似代碼,這也使研究人員認為ExPetr可以溯源至開發BlackEnergy的攻擊組織——著名的俄羅斯APT攻擊組織Sofacy。

        對國內流行的GlobeImposter和GandCrab的特點進行了分析。兩者都使用了長循環、反射加載等多種方法對抗安全軟件、安全廠商的分析系統,使得沒有優秀主動防御系統的安全軟件無法抵御它們的攻擊。

      卡巴斯基實驗室亞太區病毒中心負責人董巖

        卡巴斯基實驗室亞太區病毒中心負責人董巖表示“卡巴斯基的檢測與防御技術。在云端,卡巴斯基的惡意軟件分析系統擁有自主的虛擬化平臺可以避開惡意軟件對虛擬化平臺的檢測,而且惡意軟件在虛擬分析系統中的運行速度與真實環境無異。除對勒索軟件的特定行為、代碼進行檢測外,卡巴斯基的分析系統還可以針對勒索軟件的一般行為進行分析檢測,這使得它能夠檢測未知的勒索軟件。比如WannaCry最初的版本就是由這種技術檢測出來的。此外云端的分析系統還可以對勒索軟件的對抗手段進行檢測,如長循環與反射加載。在客戶端,我們同樣有先進的技術手段防御勒索軟件。除了傳統的靜態文件分析和啟發式分析技術外,我們的主動防御系統可以在勒索軟件運行的同時分析其行為,當發現其行為符合勒索軟件行為模式時將其阻斷,并回滾一切其進行的操作,恢復被勒索軟件加密的文件和被勒索軟件修改的注冊表設置。卡巴斯基還引入了基于局部敏感哈希技術的VisHash技術,使得可以使用一個VisHash通殺一批相似的惡意軟件樣本,也使得簡單的免殺技術無效。比如2018年曾在國內肆虐的GlobeImposter樣本其實代碼彼此都很相似,而這些樣本都可以被一個VisHash覆蓋。”

      0
      相關文章
        影视站,婷婷亚洲,色谷,老司机电影院