时间:2023-05-15 10:00:27
序论:在您撰写浅谈勒索软件检测技术时,参考他人的优秀作品可以开阔视野,小编为您整理的1篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
摘要:勒索软件是指通过锁定设备、加密或损毁文件等攻击形式进行金钱勒索的恶意软件。近年来,全球勒索攻击呈爆发式增长,为遏制勒索攻击的高发势态,安全研究人员提出诸多检测技术,以实现对勒索软件的快速研判响应。本文对现有研究工作进行系统归纳总结,并根据勒索软件的发展趋势,讨论检测技术未来可行的研究方向。
关键词:勒索软件;攻击检测;网络安全
随着互联网技术的快速发展,针对数字资产的勒索攻击已经成为网络安全领域的重要威胁。据安恒信息威胁情报中心统计,仅2021年上半年,全球至少发生了1200起勒索软件攻击事件,所造成的直接经济损失高达300亿美元[1]。2022年,哥斯达黎加成为首个因勒索攻击而宣布进入“紧急状态”的国家,三星、英伟达、丰田等大型企业机构也纷纷遭受勒索攻击[2],足以说明勒索攻击已成为席卷政府、制造、交通等多行业的全球性安全威胁。而早发现、早响应是遏制勒索攻击,降低资产损失的重要手段,为实现对勒索攻击的快速响应,国内外安全研究人员在梳理勒索软件攻击流程的基础上,开展了大量的勒索软件检测技术研究。
1勒索软件攻击流程
勒索软件主要可分为三种类型:恐吓型、锁屏型和加密型。恐吓型勒索软件会弹出威胁消息,利用被害者的恐惧心理来实施勒索,但一般不会对系统造成实际性破坏。锁屏型勒索软件会锁定设备屏幕或键盘,但通常可采用进入安全模式后开启杀毒软件的方式进行查杀。加密型勒索软件会对受害者的数据资产实施加密,以解密数据为要挟来索要赎金,是作案范围最广、造成经济损失最严重的勒索攻击形式。因此,本文将重点介绍加密型勒索软件的一般化攻击流程。
1.1入侵尝试
勒索软件采用系统漏洞、网页挂马、远程桌面协议(RemoteDesktopProtocol,RDP)暴力破解等方式来实现入侵。勒索软件所利用的系统漏洞可分为零日漏洞和未修补漏洞,零日漏洞是尚未被公开披露,无补丁的安全漏洞,因此具备渗透成功率高、影响范围大的特性;未修补漏洞存在官方补丁,但由于大量机构疏于安全管理,漏洞未被及时修复,因此可被勒索软件重复利用。在网页挂马攻击中,攻击者会在网页中嵌入恶意代码,当用户访问网页时,代码会自动执行勒索软件的下载与运行操作。RDP暴力破解会扫描Windows主机的3389端口,如端口开启,则证明当前主机允许远程连接,之后再采用字典攻击去尝试猜测登录密码,以实现对Windows系统的非法访问。鉴于后疫情时代下常态化远程办公模式的影响,RDP暴力破解已成为勒索软件的首要攻击切入点[3]。
1.2信道建立与横向渗透
多数勒索软件在实现入侵后,会与命令与控制服务器(Command-and-Controlserver,C&Cserver)建立连接,以实现加强控制、传递数据、获取密钥等目的。例如勒索软件会将用户数据回传至服务器,后续以泄露数据为威胁,强化勒索效果;或根据C&C服务器下发指令执行潜伏操作,有效躲避安全软件监测。此外,在机构内网环境中,勒索软件还会以当前主机为跳板,利用从C&C服务器中下载的恶意载荷来实现横向渗透,不断扩大攻击的影响范围。
1.3文件加密
勒索软件会尝试寻找系统中的高价值数据,例如根据文件扩展名,将.doc、.pdf等类型的用户文件作为加密目标。出于效率考虑,多数勒索软件会采用对称加密与非对称加密相结合的混合加密模式。以WannaCry勒索软件为例,其采用AES与RSA相结合的加密方式,先根据文件数量,随机生成等量的AES密钥,对受害人文件进行加密;再提取攻击者预先生成、内嵌在代码中的RSA公钥,采用两级RSA加密的方式加密AES密钥,并将加密结果写回对应加密文件头部[4]。除非获取到攻击者预先生成的RSA私钥,否则无法解密被加密文件。
1.4勒索实施
在完成加密操作后,勒索软件会在系统明显位置展示勒索警告,告知被害者需缴纳的赎金数额与支付方式。而加密货币的匿名与去中心化特性能大幅降低赎金被追踪定位的可能,因此,近年来勒索软件多通过匿名网络向被害者提供加密货币赎金地址。此外,勒索软件还会采用设定支付时限、发布攻击公告、公开部分数据等威胁方式来施加压力,迫使受害者尽快妥协并支付赎金。
2勒索软件检测技术分析
安全人员提出了诸多检测方法来实现对勒索软件的快速响应与阻断。根据检测方法的特性,本文将检测方法划分为静态特征检测、动态沙箱检测、蜜罐触发、网络行为分析、文件行为分析五类,以下将进行分类介绍。
2.1静态特征检测
静态特征检测指在不运行程序的情况下,通过提取分析程序文件结构、调用函数、字符串常量等静态特征来判定程序属性的一种检测方法。静态特征检测多采用特征码匹配的方式,会利用勒索软件中的字节序列、字符串集等信息生成特征库;在检测时,扫描获取软件的相关特性,并与特征库中的信息进行匹配,如匹配成功,则证明其为勒索软件。静态特征检测的优势是检测速度快,至今仍是安全软件中运用最为广泛的检测方法;劣势是泛化能力差,勒索软件可通过加壳、代码混淆、多态实现等方式来改变程序静态特征,进而逃避检测。
2.2动态沙箱检测
沙箱检测是指在安全隔离或受控虚拟环境中运行可疑软件,通过监控并分析软件运行产生的多维行为数据来判定软件恶意属性的一种检测技术。沙箱的监控是细粒度的,能获取注册表、文件、内存、网络等资源访问关键行为与API调用序列。许多沙箱还内置了检测模型,能自动化开展勒索软件检测,例如360发布的沙箱云产品。此外,部分沙箱还提供交互服务功能,能为安全人员开展后续分析提供数据来源,例如文献[5]基于ANY.RUN沙箱所采集的勒索软件运行API序列进行特征向量转换,并建立机器学习算法模型开展检测,实验结果显示模型对于未知勒索软件样本的检出率可达96.7%。沙箱检测主要有两项缺陷:一是易被规避,近年来的Colossus、PyLocky等勒索软件内置了用户交互行为检测、延时启动、真实系统特征查询等沙箱规避技术,将大幅降低沙箱的检测效果;二是沙箱的细粒度监控所带来的系统性能高负载与检测结果高延迟,导致其难以适用于实时检测场景。
2.3蜜罐触发
蜜罐触发是一种基于欺骗的检测方法,蜜罐是部署在真实环境中的虚假高价值目标,旨在吸引勒索软件率先对蜜罐实施入侵,并在入侵发生后,利用监控系统对攻击行为进行记录、识别与阻断。蜜罐的可定制化程度高,能根据部署场景进行灵活变更,例如在机构内网环境中可被设定为关键应用数据库,而在用户系统中可被设定为敏感路径下的诱饵文件。文献[6]实现了Windows平台上基于诱饵文件的勒索软件检测,核心思想是在系统关键位置动态部署诱饵文件,同时监视针对诱饵文件的可疑访问行为,将修改诱饵文件的进程判定为勒索软件。蜜罐触发检测方法有两点优势:一是误报率低,蜜罐作为诱骗陷阱,基本不会被正常用户访问,因此针对蜜罐的访问或操作均可被认为是异常行为;二是可以检测未知威胁,因为蜜罐监控入侵结果,而不关注入侵行为的具体实现方式,所以可检出采出新变种的勒索软件。但缺陷在于检测效果极度依赖于勒索软件的攻击路径选择,而当勒索软件未触发蜜罐或触发时刻较晚时,系统就会遭受较大损失,因此该方法在检出率和实时性上的表现欠佳。
2.4网络流量分析
多数勒索软件会在入侵后尝试与C&C服务器建立连接,因此C&C服务器域名检测技术成为识别勒索软件的关键一环。域名黑名单可拦截传统的硬编码域名,但无法将利用域名生成算法(DomainGenerationAlgorithm,DGA)生成的大量备选域名全部添加到黑名单中。当前的DGA域名识别技术利用了信息熵、域名长度、字符转移概率等特征的传统机器学习方法和深度学习模型,并取得了较好的检测效果。但研究发现勒索软件正逐步使用DNS加密协议来传输DGA域名,这将导致以明文DNS请求为数据源的域名检测方法失效。此外,由于勒索软件会执行获取加密密钥、上传机密数据等操作而产生异常网络流量,因此,对网络数据包的端口号、目的IP、通信协议等多维特征开展分析的流量识别技术能运用于勒索软件检测。例如文献[7]通过识别TCP连接中显著增加的RST与ACK包,检测出Locky勒索软件。当前,针对非加密流量的检测研究已取得一定成果,但针对加密流量的检测研究多集中于特定类型的加密协议,因此,勒索软件可采用未知协议和加密方式来规避检测。
2.5文件行为分析
勒索软件会在文件加密攻击阶段进行大量文件操作,因此可采用基于异常的检测方式,即设定正常系统中的文件读写、删除、类型更改等行为阈值,并监视当前系统中的文件操作,如超出阈值则判定存在勒索软件。此外,勒索软件还会修改文件内容,因此低文件相似度与高熵值数据写入也是判定勒索软件的重要指标。前者指加密操作会完全修改原文件内容,导致加密文件与原文件相似度趋近于0,异常于修改或新增部分文件内容的正常操作;后者指加密后数据相比于明文,拥有更强的随机性,因此信息熵值更高,勒索软件将表现出写入高熵值加密数据的特性。文献[8]通过文件过滤驱动来收集上述文件行为,并利用朴素贝叶斯、随机森林等多种算法开展特征学习,生成勒索软件实时检测器,实验结果显示分类准确率可达96%,但会给系统带来8%的额外开销。该检测方法的缺陷在于难以检出只进行少量文件内容加密的勒索软件,例如Unlock92勒索软件仅对文件头部进行加密修改,但能规避上述检测机制;此外,文件加密压缩、文件批处理等行为可能会触发误报。
3勒索软件发展趋势
3.1攻击目标多元化
攻击者试图研发跨平台勒索软件来感染尽可能多的设备、扩大攻击的影响范围。近年来,勒索软件在继续主攻Windows系统的同时,还向Linux、Android等平台扩散蔓延,例如Tycoon能同时针对Windows和Linux平台发动攻击。而物联网设备广泛存在的弱口令、暴露面广、漏洞修复缓慢等安全问题,正在促使其成为勒索软件的下一个攻击目标。目前,VedereLabs安全研究机构已展示了物联网勒索软件攻击的概念证明[9],一旦该类勒索软件开始流行,不仅会导致攻击事件激增,还会给经济民生、社会稳定乃至国家安全带来巨大威胁。此外,勒索软件攻击还呈现出普遍性与针对性并存的特征,即在通过广撒网攻击手法对个人用户、中小型企业造成威胁的同时,还向政府、大型企业机构发动定制化攻击,以破坏关键基础设施或机密数据为要挟来勒索高额赎金。可以预见,勒索软件在未来一段时间内会继续在多平台、多场景中发动攻击,将给全球网络安全造成更大的威胁。
3.2勒索软件即服务主流化
勒索软件的高收益特性驱使勒索软件向产业化、链条化方向演进,勒索软件即服务(Ransomware-as-a-Service,RaaS)应运而生。RaaS是一种由开发者制作勒索软件、多级分销者扩散分发软件、攻击者实施入侵,并由三者共同参与赎金分配的黑产营销模式。RaaS中的攻击者无须任何编程基础,就能直接依靠开发者提供的全套解决方案来实现勒索攻击,大幅降低了勒索攻击门槛。而RaaS中的开发者在提供核心技术、获取高额收益的同时,却拥有极低的暴露风险。这给相关部门的打击治理带来了挑战,且一旦上游未被完全摧毁,整条产业极易死灰复燃。近年来,RaaS在勒索软件中得到了广泛运用,诸如REvil、Conti等广泛传播的勒索软件均采用了该模式,这也标志着勒索攻击已呈现出系统化、便捷化的发展趋势。
3.3多重勒索模式兴起
早期勒索软件大都单纯以恢复被加密数据为要挟,但随着越来越多的企业和个人开始定期备份数据,此类勒索方式的威胁效力大幅下降。因此,勒索攻击正逐步演进为兼具窃取与加密数据行为,并威胁目标如不缴纳赎金则公开数据的“双重勒索”模式。攻击者会在暗网上宣传攻击事件和赎金缴纳期限,并通过泄露少量机密数据予以佐证,为目标施加数据泄露压力。近年来,佳能、富士康等知名公司均遭受了“双重勒索”,也因拒绝缴纳赎金,承受了数据泄露所带来的巨额损失。自2021年以来,勒索攻击还出现“三重勒索”、“四重勒索”模式,即针对目标,采用分布式拒绝服务攻击破坏网站可用性,或向其商业伙伴、客户宣传攻击事件,不断制造压力来迫使目标支付赎金。勒索攻击追求利益最大化的特性,将促使其采用多样化手段来增加目标支付赎金的可能,因此,多重勒索将成为下阶段勒索软件的主要运作模式。
3.4供应链攻击成新目标
软件供应链涵盖上游的开发工具、开源代码等外部依赖与下游的软件下载更新,涉及组件多,一旦其中某环节遭到入侵,将导致所有使用该软件的系统均面临安全风险。这种“入侵一点,威胁一片”的攻击模式,在近年来备受勒索软件青睐。例如在2021年7月,REvil勒索软件团队利用运维管理平台软件KaseyaVSA中的零日漏洞发布恶意更新包,成功在所有搭载该软件的本地客户端中部署了勒索软件,影响范围涉及17个国家与1500家下游厂商。相较于传统入侵模式,供应链攻击具备暴露攻击面广、传播效率高、隐匿性强、影响范围大等优势,必将成为勒索攻击的新型威胁手段。
4未来研究方向
4.1端点检测响应技术端点检测响应(EndpointDetectionandResponse,EDR)是一种在云端威胁情报信息的支撑下,对本地终端行为数据进行自动化监测分析,并及时阻止恶意行为的主动式端点安全防护技术。EDR能与勒索软件就端点入侵展开对抗,且相较于沙箱、蜜罐等检测方法,具有实时响应、全系统监控、抗逃逸性强等优势;但也存在一些发展难点,如终端数据采集的性能开销大、检测精度有待提升。对于前者,钩子技术(hook)虽能收集全系统的行为语义,但全局hook会极大影响程序的运行效率,且在Windows7版本后,内核hook不再被微软官方支持;而系统原生事件虽是端点上的可信数据源,但存在语义缺失、数据量过大等缺陷,因此,如何实时、低负载地对系统原生事件进行语义还原和去冗,是当前研究中亟须解决的关键问题。在构建高精度检测模型方面,机器学习方法已成为新的研究热点。
4.2机器学习
机器学习能获取勒索软件与正常软件的特征区别,并根据训练所生成的分类模型开展检测,而摆脱了对规则库的依赖,能更好地应对当下日益泛滥的勒索攻击。目前,相关研究工作所利用的特征有:可执行文件的字节码、指纹灰度图等静态统计特征,API调用序列、程序执行流程图等动态行为模式,及程序运行中产生的网络流量等。但机器学习检测模型也面临诸多挑战,例如准确率极度依赖于训练数据,如数据出现偏差,会导致模型的鲁棒性、泛化性欠佳。攻击者也可通过修改勒索软件的部分特征或采用新行为模式来实施逃逸攻击,如Cerber勒索软件就曾利用内存注入技术绕过检测;或通过污染训练数据来改变模型的分类边界,实现数据投毒攻击。综上所述,当前针对机器学习检测模型的安全攻防对抗正在激烈上演。
4.3零信任体系建设
零信任技术强调网络中的所有身份、设备和行为均不可信,应当建立以身份为中心、基于认证和授权的访问控制信任基础,对访问者行为进行持续跟踪与分析,以动态调整访问控制策略。零信任将网络防御的重点从传统分布式网络环境下的边界安全转移到用户与资产上,以“持续验证”理念来应对当下远程办公、物联网设备接入所带来的网络边界弱化问题,是遏制勒索软件攻击的有效手段。在零信任场景下,即便勒索软件已通过供应链或系统漏洞等方式入侵至内网环境,也会在零信任的最小权限与资源受控安全访问机制的限制下,无法访问敏感数据或向更关键节点移动,而勒索软件的异常访问行为也会因触发安全机制而被检出,因此能将攻击损失限定在较小范围。零信任作为一种全新的网络安全理念,相关解决方案离规模化落地尚有一定距离,因此,开展零信任产品化探索是下阶段检测工作的重点研究内容。
5结束语
后疫情时代下的远程办公模式将会暴露出更多的安全风险,因此勒索攻击在未来一段时间内仍会是全球网络安全的主要威胁。本文系统总结了现有的检测工作成果,并根据近年来勒索软件在攻击目标、运作方式、勒索形式等方面的变化,给出了检测工作的未来研究重点:端点检测响应技术、融合机器学习的检测模型与零信任技术的落地应用。
参考文献:
[1]猎影实验室.2021年上半年全球勒索软件趋势报告[R].2021.
[2]360政企安全集团高级威胁研究分析中心.2022年03月勒索病毒流行态势分析[R].2022.
[3]360高级威胁研究分析中心.2021年勒索病毒流行势态报告[R].2022.
[4]郭春生,程光.基于APIHooking勒索软件WannaCry的解密方法[J].网络空间安全,2018,9(1):8-14.
[5]陈长青,郭春,崔允贺,等.基于API短序列的勒索软件早期检测方法[J].电子学报,2021,49(3):586-595
[6]傅建明,刘畅,解梦飞,等.基于诱捕的软件异常检测综述[J].网络与信息安全学报,2022,8(1):15-29.
[7]田锋,周安民,刘亮,等.ARS:基于文件行为的勒索软件主动防御技术研究[J].四川大学学报(自然科学版),2021,58(2):91-99.
作者:阮琳琦 梁桂花 李宇航 单位:浙江警察学院
