勒索軟件的11種最新演變方式

Michael Nadeau Charles

勒索軟件檢測和恢復(fù)工具以及相關(guān)技術(shù)正變得越來越強(qiáng)。然而，勒索軟件開發(fā)者也是如此。他們讓勒索軟件更難以被發(fā)現(xiàn)，加密文件也更難以被恢復(fù)。

安全運(yùn)營相對于勒索軟件的優(yōu)勢之一是它能夠做出預(yù)測。它以線性的方式工作，這樣，安全工具和安全部門在檢測到勒索軟件后就有機(jī)會(huì)盡量減少損害。而我們現(xiàn)在看到的跡象表明，勒索軟件的制造者們也在盡力讓自己的所作所為不被預(yù)測到。

卡巴斯基實(shí)驗(yàn)室全球研究和分析部門（GReAT）高級安全研究員Brian Bartholomew介紹說：“在一天結(jié)束的時(shí)候，勒索軟件必做的一件事就是覆寫或者鎖定文件系統(tǒng)。”他指出，與覆寫或者鎖定數(shù)據(jù)相關(guān)的線性活動(dòng)使我們很容易檢測到勒索軟件。Bartholomew說：“如果把系統(tǒng)中所有的文件看成是一個(gè)列表，那么勒索軟件就會(huì)按照列表順序開始對文件進(jìn)行加密。”

黑客們也是越來越聰明，試著去改變勒索軟件的可預(yù)測性，以避免被檢測到。下面介紹了他們正在使用的一些新伎倆。

減慢加密過程

Bartholomew說：“一些勒索軟件的創(chuàng)造者們把加密過程分散開來，這樣就不會(huì)一次完成加密。而是在一段較長的時(shí)間內(nèi)完成。”目的是讓自己低于任何檢測工具的觸發(fā)閾值。Bartholomew解釋說：“例如，防病毒軟件會(huì)檢測是否出現(xiàn)了10秒內(nèi)訪問1000個(gè)文件這種情況。那么，黑客們會(huì)把時(shí)間間隔延長到10分鐘以上，這樣就檢測不到什么東西。我們看到這種情況越來越多了。”他補(bǔ)充說，黑客們把加密過程延展到很長一段時(shí)間，這樣帶來的一大危險(xiǎn)是備份文件也可能被加密。

加密過程被隨機(jī)化

勒索軟件制造者也一直在對其加密或者覆寫文件所采用的方法進(jìn)行隨機(jī)化處理，而不是線性地把文件過一遍。這有助于避免被使用尋找線性模式的反勒索軟件工具檢測到。

通過文件而不是電子郵件傳播勒索軟件

電子郵件中的惡意鏈接仍然是傳播勒索軟件最常用的方法。企業(yè)加強(qiáng)了對員工的教育，告訴他們不要點(diǎn)擊可疑電子郵件鏈接，一些勒索軟件犯罪分子隨之開始改變策略。他們不再使用鏈接，而是PDF、微軟Word或者其他常見文件類型等文檔附件。這類文檔會(huì)包含啟動(dòng)勒索軟件的腳本。

CyberSight公司銷售反勒索軟件產(chǎn)品，該公司首席運(yùn)營官Hyder Rabbani指出：“我們現(xiàn)在看到的是，原本無害的PDF文件和JPEG照片現(xiàn)在攜帶了能夠植入到企業(yè)環(huán)境中的惡意程序。你可能會(huì)收到一條短信，上面寫著，‘這是您的發(fā)票，或者‘這里有您的照片。人們總是會(huì)點(diǎn)擊這些東西。”

加密硬盤卷標(biāo)

更惡劣的是，一些黑客繞過文件，直接對硬盤卷標(biāo)下手。Bartholomew說：“我們看到有人瞄準(zhǔn)了硬盤最核心的地方，主引導(dǎo)記錄。這是硬盤的根本。如果他們能破壞這些地方，他們就可以控制硬盤其余的部分來進(jìn)行勒索，不需要加密每一個(gè)文件。”

使用多態(tài)編碼

多態(tài)編碼的使用也使得更難以檢測到勒索軟件。Bartholomew說：“對于惡意軟件安裝在不同受害者上的每一具體情形，它都會(huì)稍微改變其編碼，然后再去擴(kuò)散。這樣，靜態(tài)的方法很難檢測到勒索軟件文件。”

Rabbani指出，檢測工作的難點(diǎn)在于多態(tài)編碼變化的頻次——快到每15秒或者20秒就變一次。他說：“一旦確定了勒索軟件的簽名，就比較容易去阻止它。然而，隨著編碼的不斷變化，它看起來是某種新型勒索軟件，那就很難去阻止它。”

使用多線程攻擊

典型的勒索軟件攻擊一般會(huì)啟動(dòng)一個(gè)進(jìn)程來執(zhí)行加密。在多線程勒索軟件攻擊中，勒索軟件主代碼會(huì)啟動(dòng)多個(gè)子進(jìn)程來加速加密過程，使其很難被停止。Rabbani介紹說：“你也許能停止一兩個(gè)進(jìn)程，但其他的會(huì)繼續(xù)執(zhí)行，直至造成損害。要停止并行攻擊更是難上加難。”

Rabbani見識過的恐怖場景是，多線程攻擊結(jié)合了多態(tài)勒索軟件。他說：“處理器和內(nèi)存很快就會(huì)過載，所有的進(jìn)程都會(huì)迅速慢下來。”

7.提高勒索軟件編程技巧

隨著勒索軟件開發(fā)者不斷提高自己的技巧，解密變得越來越困難。Bartholomew指出：“獲得解密工具依賴于一些因素。例如，勒索軟件作者在實(shí)施加密過程中犯了錯(cuò)誤。他們沒有管理好密鑰，或者他們使用可預(yù)測的數(shù)字發(fā)生器來產(chǎn)生密鑰。”利用這些錯(cuò)誤，研究人員便能夠找到勒索軟件解密密鑰。

Bartholomew說：“這種情況經(jīng)常發(fā)生。通常，寫這些東西的人并不是加密專家。”然而，他注意到這也出現(xiàn)了變化，新版本的Crysis勒索軟件便是這種情況。“在Crysis的早期版本中，作者在加密上犯了錯(cuò)誤，所以我們能編寫解密程序。現(xiàn)在他們修復(fù)好了，沒有辦法解密，我們只好一點(diǎn)點(diǎn)仔細(xì)地去梳理它。”

8.利用勒索軟件聲東擊西

Bartholomew看到去年大幅攀升的另一趨勢是，網(wǎng)絡(luò)犯罪分子利用勒索軟件作為轉(zhuǎn)移注意力的手段，以隱藏其他類型的攻擊，或者更容易去實(shí)施別的破壞活動(dòng)。“他們把勒索軟件當(dāng)作一種普通的破壞攻擊手段，背后是一些政治企圖，或者要在互聯(lián)網(wǎng)上造成嚴(yán)重破壞，也有可能把勒索軟件當(dāng)作一種掩飾，能讓他們在其他地方安裝惡意軟件。”

使用勒索軟件獲取經(jīng)濟(jì)利益仍然是犯罪分子最常見的動(dòng)機(jī)。據(jù)SentinelOne最近的一項(xiàng)調(diào)查顯示，所有勒索軟件攻擊中的62%是為了經(jīng)濟(jì)利益，而38%是為了破壞業(yè)務(wù)。只有24%的攻擊是出于政治動(dòng)機(jī)。Bartholomew擔(dān)心這可能會(huì)改變。“我們發(fā)現(xiàn)了一些的確越過底線的犯罪分子，一旦越過底線，情況會(huì)變得更糟。更多的犯罪分子將采用這種技術(shù)。”他引用了一波WannaCry勒索軟件攻擊的例子，這波攻擊讓文件無法解密。

新聞中經(jīng)常出現(xiàn)的最可能發(fā)動(dòng)破壞性勒索軟件攻擊的兩類組織是以伊朗和朝鮮為代表的國家資助的犯罪分子組織，以及黑客組織。Bartholomew說：“這不是一名高中生能做的。要發(fā)動(dòng)一場成功的破壞性攻擊，需要利用漏洞。”他引用了WannaCry，這一勒索軟件利用了大家都沒有打上補(bǔ)丁的漏洞。“一旦開始，就根本沒有辦法阻止它的蔓延。”

企業(yè)要保護(hù)自己免受這類勒索軟件攻擊的唯一方法是，保持良好的安全習(xí)慣，確保員工得到了適當(dāng)?shù)睦账鬈浖嘤?xùn)，并且有可靠的備份和恢復(fù)過程。Bartholomew指出，有些公司使用瘦客戶機(jī)，在用戶系統(tǒng)上沒有硬盤，用戶登錄到虛擬系統(tǒng)中。他說：“這些都很容易恢復(fù)，因?yàn)樗鼈兪翘摂M系統(tǒng)。”

9.很少把現(xiàn)代操作系統(tǒng)作為攻擊目標(biāo)

與以前的版本相比，最新版本的微軟Windows 10和蘋果MacOS讓勒索軟件攻擊者很難得手。然而不幸的是，還有數(shù)以百萬計(jì)運(yùn)行舊操作系統(tǒng)而且沒有打上補(bǔ)丁和進(jìn)行更新的系統(tǒng)仍在使用中。

Rabbani說：“針對新操作系統(tǒng)的攻擊還不太常見，只是因?yàn)楦菀坠粢阎┒炊选！彼赋觯珻yberSight在Windows XP系統(tǒng)上提供勒索軟件保護(hù)方面有“巨大的客戶需求”。他說：“例如，幾乎每天都有在所有POS（銷售點(diǎn)）系統(tǒng)上運(yùn)行XP的客戶和我們聯(lián)系，他們發(fā)現(xiàn)自己存在可能被利用的漏洞。”

10.尋找橫向跨網(wǎng)的新方法

Rabbani預(yù)計(jì)，勒索軟件的橫向跨網(wǎng)移動(dòng)將“大幅上升”。例如，用戶會(huì)在星巴克或者酒店里使用移動(dòng)設(shè)備，那么有人就有可能通過被攻破的通信端口在設(shè)備上加載惡意軟件。他說：“從這些地方，他們可以穿過網(wǎng)絡(luò)進(jìn)入公司服務(wù)器。這種情況可能會(huì)越來越多。”

11.延緩勒索軟件攻擊

Rabbani預(yù)計(jì)很快出現(xiàn)的一種戰(zhàn)術(shù)是他所謂的“放置復(fù)活節(jié)彩蛋”，勒索軟件感染系統(tǒng)，但處于休眠狀態(tài)，一段時(shí)間后才被激活。他說：“有人可能會(huì)利用被攻破的憑據(jù)來植入勒索軟件復(fù)活節(jié)彩蛋，一直隱藏下去。”在此期間，尋找機(jī)會(huì)來傳播惡意軟件。

研究人員怎樣適應(yīng)不斷變化的勒索軟件威脅

這些適應(yīng)措施都有可能檢測到勒索軟件。Bartholomew在談到卡巴斯基怎樣適應(yīng)勒索軟件新策略時(shí)說：“必須把每一個(gè)勒索軟件都當(dāng)成是已知的，并針對它編寫檢測代碼。分析它，看看它是怎樣工作的，然后改變自己的檢測方法。這是一場持續(xù)不斷的貓捉老鼠的游戲。”

一些反勒索軟件工具采用了更為數(shù)據(jù)驅(qū)動(dòng)的方法來對抗勒索軟件不斷變化的特性。例如，ShieldFS的開發(fā)者稱自己的工具是“能夠自我恢復(fù)、能夠感知勒索軟件的文件系統(tǒng)。”ShieldFS在去年夏天的黑帽USA大會(huì)上宣布建立了基于公開數(shù)據(jù)集的檢測模型，該模型使其能夠區(qū)分勒索軟件行為和正常進(jìn)程之間的區(qū)別。如果檢測到勒索軟件，ShieldFS能夠自動(dòng)恢復(fù)受損文件，使其恢復(fù)到勒索軟件攻擊前的狀態(tài)。

ShieldFS目前是NECSTLab.DEIB在意大利米蘭的一個(gè)研究項(xiàng)目。你可以在從那里找到技術(shù)說明。那里還介紹了ShieldFS在黑帽大會(huì)上所做的WannaCry演示。

良好的協(xié)作和溝通也是對抗勒索軟件的重要因素。Bartholomew引用了卡巴斯基實(shí)驗(yàn)室共同發(fā)起的一個(gè)名為“拒絕勒索！”的項(xiàng)目。該項(xiàng)目收集并提供勒索軟件解密工具，提出預(yù)防建議，以及向社區(qū)報(bào)告勒索軟件犯罪的方法。

與執(zhí)法部門合作是“拒絕勒索”的一個(gè)重要因素！Bartholomew說：“我們可以通過讓執(zhí)法部門捕獲攻擊者使用的服務(wù)器來幫助我們獲得密鑰。”如果私有密鑰在服務(wù)器上，項(xiàng)目成員可以通過網(wǎng)站并編寫解密工具來得到密鑰。

一些勒索軟件通過偽裝或者修改勒索軟件數(shù)字簽名來避免被檢測到，對此，有些供應(yīng)商重點(diǎn)采用行為分析，有時(shí)利用機(jī)器學(xué)習(xí)來進(jìn)行識別。這一方法對于已知威脅是有效的，但對于新型勒索軟件，由于沒有識別所需要的足夠的數(shù)據(jù)，因此對新勒索軟件不太有效。

面臨的挑戰(zhàn)是識別新威脅，建立行為分析檢測所需的數(shù)據(jù)集，然后盡快將這些數(shù)據(jù)集分發(fā)給所有需要的人們。這就是CyberSight在其RansomStopper產(chǎn)品上所做的。Rabbani說：“我們培育了最新最好的勒索軟件毒株，然后通過運(yùn)行我們的軟件來觀察其行為。”

然后，他們使用機(jī)器學(xué)習(xí)為每個(gè)毒株創(chuàng)建基于機(jī)器的解決方案。Rabbani介紹說，通過聯(lián)合云環(huán)境推出這些解決方案，在每一個(gè)運(yùn)行CyberSight軟件的系統(tǒng)上更新算法。

機(jī)器學(xué)習(xí)將在識別勒索軟件新變種方面發(fā)揮更大的作用。有人建議用它來預(yù)測某一毒株在早期版本的基礎(chǔ)上經(jīng)過迭代后會(huì)發(fā)生怎樣的變化。這項(xiàng)工作還主要是理論上的，但它表明了機(jī)器學(xué)習(xí)最終能預(yù)測新的勒索軟件威脅，為新出現(xiàn)的威脅做好準(zhǔn)備。