歡迎訪問一定牛彩票网!

勒索軟件的攻擊與防禦

2019-01-07
近几年来,勒索软件相关的安全事件在全球频繁爆发,引起了大众的重视。2017年一种名为“WannaCry”勒索病毒席卷全球近百个国家和地区。只经过了一个周日,WannaCry 就传播到了 150 多个国家的近 20 万台电脑。2018年11月,又一起勒索事件出现——旧金山MUNI城市捷运系统受到勒索加密勒索软件攻击,所有的售票站点都显示出“你被攻击了,所有数据都被加密“,攻击者发出公告索要100比特币,也就是70000多美元。勒索软件影响的客户包括中小企业的业务信息系统,甚至包括个人终端,移动设备。又因为它不像一般攻击事件,其发起者只想访问数据或者获取资源,勒索者有时既想要数据,更要钱。所以近年来,勒索软件越来越得到人们的重视。
一、勒索軟件的由來
其實,早在1996年美國的Young等人就第一次提出了加密病毒的概念,並命名爲Cryptovirology,進而提出通過結合加密算法和計算機病毒可以實現訪問用戶關鍵數據,加密用戶文件來勒索錢財的目的,這就是勒索軟件的雛形。勒索軟件的本質是感染計算機並限制用戶對計算機及其文件訪問的惡意軟件。勒索軟件是通過網絡勒索金錢的常用方法,它是一種網絡攻擊行爲,可以立即鎖定目標用戶的文件、應用程序、數據庫信息和業務系統相關的重要信息,直到受害者支付贖金才能通過攻擊者提供的秘鑰恢複訪問。隨著網絡技術的發展,這類加密病毒不斷發展,傳播方式日益多樣,影響範圍迅速擴大,攻擊能力逐漸增強。
勒索形式主要是要求被感染用戶支付贖金以解除限制,贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。比特幣具有良好的匿名性,難以追蹤。同時,很多勒索軟件的交易是通過暗網進行的,這種網絡對于傳遞的信息全程加密,匿名傳遞,追溯難度非常大。
二、勒索軟件的感染途徑
勒索軟件的常見感染方式包括:垃圾郵件附件、開發套件、釣魚網站、惡意廣告等。勒索軟件的攻擊對象不僅是缺乏系統防護的個人用戶,還包括警察局、消防隊、醫院、學校、大壩、電網等重要的公共基礎設施。
三、勒索軟件的攻擊方式
勒索软件的攻击手段多样,根据是否运用加密算法来加密用户文件,可以分为非加密型勒索软件和加密型勒索软件。非加密型勒索软件不对用户文件进行加密。典型的非加密型勒索软件只是对用户主机进行锁屏,或者修改分区表和主引导记录MBR(Master Boot Record)。加密型勒索软件运用加密算法对用户文件进行加密。根据加密文件所用的加密算法类型可以分为对称加密勒索软件、公钥加密勒索软件和混合加密勒索软件。
勒索病毒文件一旦進入本地,就會自動運行,同時刪除勒索軟件樣本,以躲避查殺和分析。勒索軟件專門以用戶文件爲攻擊目標,一般通過某種嵌入式文件擴展名列表來識別用戶文件和數據。勒索軟件還會通過編程避免影響某些系統目錄,以確保負載運行結束後,系統仍然保持穩定,以使客戶能夠支付贖金。勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器,進而上傳本機信息並下載加密私鑰與公鑰,利用私鑰和公鑰對文件進行加密。除了病毒開發者本人,其他人是幾乎不可能解密。加密完成後,此類惡意軟件通常會自我刪除,通過修改壁紙或留下某種形式的文檔指示受害者如何支付贖金,以重新獲得對加密文件的訪問權限。勒索軟件變種類型非常快,對常規的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型爲主,對常規依靠特征檢測的安全産品是一個極大的挑戰。
四、勒索軟件防禦技術
目前針對勒索軟件的防護技術,主要分爲兩大類,一是根據勒索軟件行爲特征進行檢測,二是通過數據備份技術進行數據恢複。勒索軟件的檢測技術主要通過分析勒索軟件的文件系統的操作、網絡流量或加密算法等特征進行,利用數據備份技術實現數據恢複主要是通過雲存儲、日志文件系統或者增加本地額外存儲設備等方式進行。
五、我們可以怎麽做?
針對勒索軟件的防禦工作,企業和個人可以做到:定期數據備份與恢複,阻止惡意的初始化訪問,搭建具有容災能力的基礎架構,強化網絡訪問控制,定期進行外部端口掃描,建立全局的外部威脅和情報感知能力,建立安全事件應急響應流程和預案。


報告鏈接:https://iot.m.ofweek.com/2019-01/ART-132215-11000-30295838.html
 

网站地图