文件加密型勒索軟件程序已經(jīng)成為全球公司網(wǎng)絡(luò)最大威脅之一,且一直在通過增加更為復(fù)雜的檢測(cè)規(guī)避技術(shù)和擴(kuò)散技術(shù)而不斷進(jìn)化。
如今,任何一個(gè)“良心”惡意軟件作者都會(huì)確保自己的作品能在釋放前躲過反病毒檢測(cè)。這種情況下,企業(yè)安全團(tuán)隊(duì)不得不放棄試圖將惡意軟件全都擋在門外這種注定會(huì)輸?shù)淖龇ǎD(zhuǎn)而將精力投放到了改善響應(yīng)時(shí)間上。
Exabeam,用戶和實(shí)體行為分析提供商,采用機(jī)器學(xué)習(xí)、行為分析來幫助公司企業(yè)管控勒索軟件感染。Exabeam認(rèn)為機(jī)器學(xué)習(xí)算法能夠大幅改善勒索軟件檢測(cè)和反應(yīng)時(shí)間,防止此類程序在網(wǎng)絡(luò)內(nèi)擴(kuò)散并影響到更多的系統(tǒng)。
由于勒索軟件作者的解密價(jià)格是按系統(tǒng)計(jì)算的,盡快隔離受影響計(jì)算機(jī)便十分關(guān)鍵了。僅上周,卡爾加里大學(xué)便宣稱花費(fèi)了2萬加幣(約合1.56萬美元),才從勒索軟件作者那里討來解密多個(gè)系統(tǒng)的密鑰。
Exabeam的勒索軟件分析,是一款6月13號(hào)才公諸于世的新產(chǎn)品,采用了該公司現(xiàn)有的行為分析技術(shù),在勒索軟件感染發(fā)生之后極短時(shí)間內(nèi)檢測(cè)出來。
該產(chǎn)品使用客戶公司現(xiàn)有日志數(shù)據(jù)來為計(jì)算機(jī)和用戶建立行為模式。這使得該產(chǎn)品可以通過分析文件和員工文檔行為異常,在沒有預(yù)存檢測(cè)簽名的情況下檢測(cè)出未知勒索軟件。
為避免誤報(bào),該技術(shù)只有在多項(xiàng)指佂此類威脅的可疑活動(dòng)的綜合風(fēng)險(xiǎn)得分超過某個(gè)閾值的情況下,才會(huì)將事件標(biāo)記為勒索軟件。
Exabeam的安全研究團(tuán)隊(duì)正在實(shí)驗(yàn)室?guī)椭?xùn)練該款產(chǎn)品。通過在測(cè)試計(jì)算機(jī)上運(yùn)行大量勒索軟件樣本,再讓該產(chǎn)品觀察樣本行為,便可以建立起威脅模型。
該產(chǎn)品本身沒有封禁功能,是為公司企業(yè)的安全分析師能夠快速發(fā)現(xiàn)并響應(yīng)安全事件而打造的。它可作為插件,集成到公司企業(yè)中已能檢測(cè)公司內(nèi)部安全策略違規(guī)行為的分析平臺(tái)上。
盡管沒有沒有內(nèi)置的威脅中和功能,該平臺(tái)可與其他安全工具集成,讓分析師可以創(chuàng)建管理腳本,在檢測(cè)到事件時(shí)自動(dòng)執(zhí)行相關(guān)處理過程——例如,將受感染計(jì)算機(jī)立即與網(wǎng)絡(luò)中其他部分隔離。
勒索軟件通常通過路過式下載攻擊和釣魚郵件擴(kuò)散,這意味著,取決于用戶行為,計(jì)算機(jī)是一個(gè)接一個(gè)受影響的。然而,在企業(yè)環(huán)境中,勒索軟件可通過影響文檔共享服務(wù)器上的文件和其他協(xié)作服務(wù),很容易地大范圍傳播。
最近,某些勒索軟件甚至獲得了類似蠕蟲的自我擴(kuò)散能力。其中一個(gè)名為ZCrypt,能復(fù)制自身到外部U盤上,通過流氓自動(dòng)播放文件autorun.inf運(yùn)行。
通過在實(shí)驗(yàn)環(huán)境運(yùn)行大量勒索軟件樣本,Exabeam的研究人員還發(fā)現(xiàn)了一些有趣的趨勢(shì):比如,勒索軟件近期價(jià)格上漲。
2到3個(gè)月前,大多數(shù)勒索價(jià)格在0.4到1比特幣之間。上個(gè)月,情況變了,如今勒索價(jià)格已經(jīng)上漲到了2到5比特幣。
這有可能是因?yàn)槔账鬈浖髡呷缃駥W⒂诶账鞴酒髽I(yè),而公司比個(gè)人用戶更愿意也能夠支付更多金錢來恢復(fù)關(guān)鍵業(yè)務(wù)文件。
另一個(gè)有趣的現(xiàn)象是,所有新的勒索軟件安裝程序,有效期都只在一天之內(nèi)。
這意味著,勒索軟件活動(dòng)每天都在改變,就好像它們的作者工作在開發(fā)運(yùn)維(DevOps)模式一樣,每天都在向投送合作伙伴發(fā)布新的代碼。