四、停止勒索软件
4.1 监控
4.1.1 系统级监控
多项感染指标可用于系统级别的勒索软件检测。杀毒软件提供了一些勒索软件防护措施,但并不完善。杀毒软件产品应在数据被破坏前对已知勒索软件进行文件级和过程级检测和阻断。此外,杀毒软件产品应该能够扫描在线下载文件和电子邮件附件——传播勒索软件的最常见攻击途径。然而,杀毒软件通常依赖于更新的哈希表,而勒索软件快速进行调整逃避杀毒软件的检测。
删除本地管理权限可防止勒索软件在本地系统上运行。本地管理员有权修改系统文件、目录、注册表和存储库。后者都是勒索软件操作的关键部分。删除本地管理权限可降低勒索软件在系统上持续存在并在整个企业网络中传播的风险,并在一定程度上阻止勒索软件访问关键系统资源实施破坏性文件加密。
网络防火墙可以检测需要与远程命令控制(C2)服务器通信的勒索软件。配置本地系统防火墙,监控和阻止允许列表之外的应用程序的出站网络通信,协助阻止勒索软件。如果无法访问命令控制(C2)服务器,一些勒索软件变种则可能无法使用强数据加密或加密数据,其加密机制也可能会失去作用,受害者很有可能无需支付赎金即可恢复数据。
勒索软件也利用了系统漏洞。重要的是,制定合理操作系统更新策略,修复已知安全问题。然而,第三方应用程序,尤其是具备更高权限的应用程序,也会带来安全风险。主动识别需要更高系统权限的应用程序,有助于在勒索软件能够访问敏感数据之前就检测和阻止勒索软件。建议对第三方应用程序进行定期维护和更新,限制安装白名单之外的新应用程序,监控新进程执行,阻止未未经授权的应用程序运行。
对Windows临时文件夹和AppData文件夹中代码的执行进行监控也有助于降低在感染点执行勒索软件的风险。勒索软件的许多变种通过下载文件和附件进行传播,必须在数据加密开始之前部署。部署恶意代码通常需要轻松访问现成的目录来解压、执行勒索软件文件。Temp和AppData文件夹经常中招。若对系统进行配置对这些文件夹中的代码执行进行检测和阻止,勒索软件在部署后可能无法执行加密代码。假设指标由当前运行的进程执行,那么在Windows系统中,可以使用微软支持的小型过滤器和回调实现监控。应对以下运行时事件进行监控,从而更容易发现勒索软件执行。
勒索软件通常在文件系统中执行以下操作:
- 修改开机启动文件,向受害者展示该信息
- 在文件系统中查找具有特定文件扩展名的所有文件
- 请求对多个文件进行高频访问
- 创建新文件(可能使用非标准文件类型扩展名)
勒索软件经常篡改以下进程:
- 利用创建或下载的二进制文件生成新进程
- 删除反恶意软件相关进程,防止其在加密和勒索数赎金期间被删除
- 将一些二进制图像或内存空间注入之前运行的进程的内存空间
勒索软件通常会更改Windows注册表区域:
- 设置恶意二进制文件开机启动项,以控制机器访问、显示勒索消息
- 重置或删除与安全和反恶意软件相关的密钥,防止这些秘钥在赎金支付前被删除
4.1.2 网络级监控
一些勒索软件变种使用远程服务器存储被转移的受害者数据、加密信息和其他项目。当勒索软件可执行文件试图从受损系统与命令控制(C2)服务器进行初始连接时,它必须确定哪个IP地址处于活跃状态。这是因为若获取多个IP地址并成功连接过程中可能会出现多次连接失败和其他异常情况,而受害者可通过查看这些连接失败和异常的监控信息注意到系统上的勒索软件。
以下行为与连接失败或IP地址获取异常相关,应进行记录和标记:
- 未返回结果的DNS查询
- 未返回结果的反向DNS查询
- 成功的DNS查询和尝试连接返回的IP地址失败
- 对同一或少数顶级域名重复发送DNS查询请求
可以通过网络流量分析器主动记录和搜索这些行为。为了避免勒索软件的检测和阻断,要从内核内部记录和监控网络流量。为此,微软引入了Windows过滤平台,提供应用程序编程接口(API)和命令在网络堆栈的各个层级构建内核级网络监视器。
此外,可通过监控超文本传输协议(HTTP)、文本传输协议(FTP)和电子邮件等已知转移途径,进行内容过滤检测有数据转移行为的勒索软件。(Jareth,2020年)可以定制一些内容过滤器,识别与敏感组织数据匹配的数据模式。但是,如果勒索软件在传输过程对转移数据进行了模糊处理,绕过内容过滤器。数字水印文件也可以有效检测数据转移。(Jareth,2020年)由于水印是嵌入文件的,因此水印文件一旦外泄,可被深度包检测产品发现。通过检测这些行为以及主机级别的其他行为,就有可能在加密开始之前阻止勒索软件。
4.2 策略与流程
要防范勒索软件攻击,最佳方法是定期进行数据备份并对备份数据进行验证。最近出现的勒索软件不仅能加密文档文件,还能加密在勒索软件攻击后用于数据恢复的Windows 操作系统还原点和卷影副本。
比较理想的备份做法是将备份文件保存在不接入网络的独立系统上,这样无需向攻击者支付赎金即可恢复加密数据。此外,经常检查备份的数据有助于确保数据备份策略的一致性和可靠性。
4.2.1 缓解策略
以下是针对勒索软件的有效缓解策略:
- 定期进行离线备份并做好维护。处于离线状态的数据无法被勒索软件获取,安全性较高。应定期检查现有的备份流程,确认数据是否进行了合理备份。定期检查备份数据的完整性,以确保备份数据的有效性和可用性。
- 开展用户培训,对员工开展最佳安全实践教育。勒索软件通常通过电子邮件附件、在线下载文件、网络浏览和USB驱动器来攻击系统。为解决这些问题,定期开展员工安全培训及其他最佳实践有助于避免勒索软件入侵。
- 限制临时文件夹和数据文件夹中的代码执行。如果勒索软件用于提取并执行这些文件夹中的数据,那么如果没有权限,勒索软件可能无法继续进行数据加密。
- 定期更新。操作系统和第三方组件都可能受到勒索软件的攻击,更新可确保勒索软件无法利用已知的漏洞访问系统和数据。
- 限制管理员和系统访问。勒索软件可能依赖系统管理员帐户执行操作。限制用户帐户、删除默认的系统管理员帐户,可为勒索软件制造更多困难。
- 维护更新杀毒软件。定期更新杀毒软件,下载最新的恶意软件签名和其他可用的识别数据,尽量在早期发现已知勒索软件。
4.2.2 响应策略
以下是针对勒索软件的有效响应策略:
- 创建系统内存快照。如有可能,请在关闭受损系统之前对正在运行的整个系统内存创建快照。内存快照有助于找到勒索软件使用的攻击途径,并帮助定位可用于解密数据的加密材料。
- 将受损系统下线。将受损系统下线可阻止勒索软件继续传播,防止对组织数据的进一步损坏。
- 备份受损系统。对受损系统相关的所有存储的数据进行备份,防止数据恢复失败时进一步损坏数据。
- 阻止对勒索软件使用的任何已识别的命令控制(C2)服务器的网络访问。如果没有访问权限,勒索软件通常无法实现安全的加密方案。这就使得数据恢复更容易实现。
- 识别攻击途径。在整个企业网络中召回涉嫌携带勒索软件攻击的电子邮件,以防止勒索软件进一步传播。
- 限制网络存储器的写入权限。在网络上清除勒索软件之前,限制对网络可访问数据存储的写入权限有助于保护数据并防止勒索软件的进一步传播。
- 通知有关部门。考虑通知有关部门协助调查。
4.3 系统配置
虽然系统不太可能完全不受勒索软件的影响,但良好的系统管理可以降低成功攻击的可能性。勒索软件常见的两个感染途径是电子邮件和网站。可以降低通过这些途径感染的可能性,但不能完全消除。
对于利用电子邮件发起的攻击,最重要的是对系统进行配置提供完善的过滤功能。发送的垃圾邮件和恶意电子邮件信息越少,用户打开恶意附件或单击恶意链接的可能性就越小。
减小电子邮件攻击面的其他方法包括屏蔽可执行附件和使用纯文本电子邮件。很多勒索软件都是作为可执行文件传播。若在电子邮件中删除了这些内容,即使恶意电子邮件绕过了过滤器,仍可以防止感染,原因是未传送有效负载。遗憾的是,当勒索软件作为包含宏的微软办公类型的文件被传送时,这种方法不奏效。纯文本电子邮件可阻止用户点击恶意链接或下载可能传送勒索软件可执行文件的外部内容。然而,这并不能阻止用户将URL复制到浏览器中。
更为困难的是防止合法网站在受损后或沦为恶意网站后感染其他目标。从系统层面上讲,最好及时更新网页浏览器,并使用广告拦截器。禁用Flash和Java也可以减小攻击面。不过,许多组织在日常业务中都需要Flash和Java。
较为常用的恶意软件防范方法需要系统维护和权限管理。最重要的是安装可用的操作系统和软件补丁。即使勒索软件没有利用软件或操作系统的漏洞,它也可能会随漏洞利用工具包一起传送。
很多权限相关实践有助于防止或限制勒索软件攻击的影响。首先,最重要的一点是限制设备的管理权限。许多漏洞利用工具包和一些勒索软件需要权限才能安装组件或进行系统更改。当勒索软件以当前用户的权限启动时,限制这些权限可以阻止感染。用户进行日常活动时不应以管理员权限登录,应在任何管理功能完成后立即恢复为标准用户权限。
其他与权限相关的实践包括限制用户写入功能、阻止从用户目录执行、将应用程序加入白名单以及限制对网络存储器或或共享的访问。有些勒索软件需要对特定文件路径的写入权限才能安装或执行。对少数目录(如用户/文档和用户/下载)分配写入权限,这样勒索软件变种就无法成功执行其操作。删除这些目录中的执行权限也可以阻止勒索软件可执行文件的实际运行。许多组织都使用限量的应用程序来开展业务。对系统上的应用程序只使用白名单策略就可以阻止白名单之外的任何应用程序,如勒索软件。总的来说,权限管理相关做法主要是为了降低影响,限制传播。除此之外,由于勒索软件实施了新的数据转移行为,组织应加密静态数据,从而降低与某些勒索软件家族相关的潜在数据泄露威胁。
许多勒索软件变种不再只是扫描本地驱动器来查找文件。勒索软件变种也不局限于映射的驱动器,他们能够找到任何连接的网络存储器或共享。为了防止加密,这些设备在每次访问时都需要显式登录。此外,应该限制通过文件资源管理器等方法直接访问的设备的数量。虽然这可能会给用户带来麻烦,但使用更安全的设备访问方法(例如安全外壳协议SSH)可在某一用户被感染时减少设备上数据被加密的可能性。
使用反恶意软件程序可以更积极地防范勒索软件。这些程序可以是基于文件的,也可以是基于行为的。基于文件的反恶意软件或杀毒程序可以隔离或删除通过电子邮件或网站传送的已知勒索软件变种。基于行为的反恶意软件程序监控应用程序的行为,并且(1)如果应用程序开始充当恶意软件,则将其停止;或者(2)在使文件完全可供终端用户使用之前,在沙盒中执行该文件,以检查是否存在恶意行为。遗憾的是,第一种方案通常是马后炮,因为勒索软件通常在被识别出来之前就已经加密了多个文件。第二种方案也有缺点。比如,应用程序在沙箱中运行的时间可能不够长,无法被标记为恶意程序。或者,勒索软件可能使用沙箱规避技术,如果在检测到其在沙箱中运行时可能无法将其识别为恶意程序。
对于只加密具有特定文件扩展名的勒索软件变种,可利用文件扩展名映射这种较新的方法保护文件免受影响。这种方法包括创建当前未使用的文件扩展名的列表(可通过www.file-extensions.org核查),仅使用这些扩展名命名文件,并利用操作系统文件扩展名管理将这些扩展名分配给相关程序。例如,组织可以将所有Microsoft Word文档的扩展名设置为.ourworddocs,而非.docx。当其他预防方法不奏效时,这种方法可以帮助保护重要文件不被加密。遗憾的是,如果扩展名不在白名单上,现在只有几个勒索软件变种可以加密所有文件。
防范方法 | 作用 | 局限性 |
使用垃圾邮件过滤器 | 降低基于电子邮件的攻击成功几率 | 无法防范合法用户无意中传播的勒索软件;过滤器漏掉了部分垃圾邮件, 尤其是鱼叉式网络钓鱼邮件 |
屏蔽可执行的电子邮件附件 | 防止直接通过电子邮件传送勒索软件可执行文件 | 无法防范邮件信息中嵌入的恶意URL造成的感染 |
使用纯文本电子邮件 | 防止意外点击恶意URL | 无法阻止用户复制/粘贴恶意URL |
使用广告拦截器 | 防止通过网络漏洞利用程序传播感染 | 只阻止被屏蔽广告的感染,而不屏蔽普通网页或加入白名单的广告服务 |
对操作系统及其他软件进行更新 | 防止勒索软件利用已修复的漏洞 | 对未修复的漏洞无效 |
限制管理员权限 | 限制了安装和修改系统的能力 | 只有当用户没有以管理员权限登录并且无法利用正在运行的服务/应用程序来提升权限时才起作用 |
限制用户写入权限 | 防止写入受限目录的感染,限制加密 | 只有当用户没有以管理员权限登录并且无法利用正在运行的服务/应用程序来提升权限时才起作用;不受限制的目录仍然易受攻击 |
不允许在用户目录中执行 | 防止勒索软件/漏洞利用工具包下载为可执行文件时运行 | 仅当可执行文件最终添加至受保护的用户目录中时才起作用 |
将应用程序添加至白名单 | 限制执行 | 如果被利用的勒索软件是被允许的应用程序,此方法无效 |
映射文件扩展名 | 对寻找特定文件扩展名的勒索软件隐藏文件 | 若勒索软件加密硬盘或白名单之外的文件,此方法无效 |
限制联网的存储器和共享 | 抑制感染并限制其加密 | 只有在机器被感染时用户保持断开连接时才有用;通常是不切实际的 |
使用基于文件的反恶意软件 | 隔离/删除已知的勒索软件变种 | 对新的、罕见的勒索软件变种无效 |
使用基于行为的反恶意软件 | 停止已知的勒索软件行为 | 如果使用端点反恶意软件,当恶意行为被识别出来时,勒索软件已经在执行了;如果使用沙箱反恶意软件,则行为可能与在端点上运行时不同,因此勒索软件不会被捕获 |
加密静态数据 | 保护组织的信息不受勒索软件的数据转移行为的影响 | 无法防范勒索软件攻击;勒索软件仍然可以加密已加密过的数据 |
4.2 网络配置
虽然在系统级别可以采取很多措施阻止和防范勒索软件,但是在网络级别上能做的事情却不多。要在源头上阻止感染,采取完善的通用实践可能会有所帮助。提供白名单或完善的黑名单功能的防火墙可降低基于网络的恶意软件的下载成功几率,并且可能阻止勒索软件连接到命令控制(C2)服务器。
防火墙应该限制或完全阻止远程桌面协议和其他远程管理服务。强大的垃圾邮件列表和其他垃圾邮件检测技术可以防止大多数附带攻击的电子邮件被发送到用户的收件箱。对可借助电子邮件传送的文件名进行限制,可减轻绕过过滤的网络钓鱼电子邮件可能发生的感染。
防止勒索软件从受感染的内部主机传播的难度更大。有一些工具可以检测具备蠕虫行为特征的恶意软件。多个勒索软件家族都具备蠕虫行为特征。然而,这些工具不太可能完全阻止恶意软件传播,因为行为识别需要时间。若要降低感染传播,可限制终端设备对联网设备的访问。
仅仅“隐藏”网络设备不足以阻止勒索软件的访问。(G.,2016年)如果可以通过扫描或类似文件资源管理器的方式查找到设备,勒索软件也可找到该设备。如果受损系统的活跃用户拥有该设备的权限,则该设备很可能会被损坏。活动目录(AD)等服务配置为不需要用户直接登录每个设备,勒索软件就可以在活跃用户的名下无障碍地运行。也就是说,如果用户有写入权限,勒索软件可以加密、复制和转移数据。即使没有单点登录类型的服务,勒索软件或加密范围也会传播到用户当前登录的任何设备、任何包含“记住我”设置的地方以及用户在意识到感染前登录的任何系统。
防止恶意软件传播的最有效方法是尽快断开受感染设备(以及那些疑似被感染的设备)的网络连接。这些除了有线连接,还应断开设备的Wi-Fi和蓝牙连接。
译者声明:
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。