勒索病毒防治策略浅析

摘要：勒索病毒事件层出不穷，传统的防治手段逐渐失效。通过沙箱、蜜罐、仿真诱捕技术，“三管齐下”可以实现有效防治。尤其是利用高仿真诱捕技术，可以检测并识别包括勒索和0day的恶意代码攻击，确保网络系统安全高效运营。

关键词：沙箱技术，蜜罐技术，仿真诱捕技术，勒索病毒，防御策略

前言

近几年来，勒索病毒事件在各个行业可谓层出不穷。在公共交通方面，2018年2月，SamSam勒索软件感染科罗拉多州交通部，科罗拉多州当局最终为清除该感染花费了150万美元费用；2018年12月，莫斯科新缆车的计算机系统遭遇勒索病毒入侵。在工业互联网方面，2019年1月，新型勒索软件LockerGoga攻击挪威铝制造巨头公司Norsk Hydro，造成其关闭网络之后仅仅几天，又被发现疑似入侵了另外两家美国化学公司Hexion和Momentive的计算机网络。在政府事务方面，2019年3月9日发现的一款恶意软件袭击了英格兰与威尔士联邦警署(PFEW)，2019年3月11日开始，我国多地政府及医院遭遇勒索病毒攻击。

一、早期防治措施及痛点

说起勒索病毒，其实最早从2006年开始就进入了中国大陆，国家计算机病毒应急处理中心统计显示，当年感染581例。而真正让其“家喻户晓”则是2017年著名的“永恒之蓝”病毒的爆发，其影响范围之广，涉及系统之重要，让所有IT运维与管理者闻之色变，遂掀起了一轮勒索病毒防范高潮。这次威胁达到前所未有的广度和深度,构成了对全球各国、各界全方位的挑战,无论政府、企业、公共机构和个人,都难以幸免。其次,说明了当今全球性网络治理机制的失灵，面对如此明目张胆的全球性威胁,居然迄今为止没能进行真正的溯源、形成真正的有效制约与防御,甚至难以有效防止未来继续发生[1]。

目前国内对勒索病毒防治方法，一般可以概括为五个字：“补改关装规”。也即是，打补丁：及时更新系统补丁，修补漏洞；改口令：对系统内服务器、主机均强行实施复杂密码策略，杜绝弱口令；关端口：尽量关闭不必要的文件共享及不必要的系统服务端口；装软件：安装终端防护软件及防病毒软件，并保证病毒库最新；重规划：全面规划网络安全区域，强化业务数据备份等。

然而手忙脚乱一阵，各行业客户的IT运维和信息安全管理人员仍提心吊胆。究其原因，无外乎两方面：一是“敌暗我明”，所谓勒索病毒、恶意软件及其变种层出不穷，隐藏技术和攻击手段难以预知，“防不胜防”；二是作为传统防范措施的防病毒软件已日渐苍老，“不堪大用”，靠病毒特征比对，简单行为分析已难以识别和防范勒索等新恶意代码的威胁。

二、防治战略：“知彼知己”

勒索病毒，其实应该称谓为勒索软件或勒索程序，是恶意软件或者叫恶意代码的一种。严格来讲，是一种木马而不是病毒，因为木马和病毒是两种截然不同的威胁。

一是隐蔽性。本质上病毒极具感染性，且感染极难发现。而木马则出于本身“任务”的特殊性要隐藏其行踪，以便“开展工作”。从这一点来讲，木马更强调隐蔽和伪装，诸如近期发现的Clop勒索病毒会冒用有效的数字签名，骗取系统及防病毒软件的信任，披上“合法外衣”，令一般的防治手段形同虚设。

二是危害性。病毒一般以破坏系统文件为目标，危害并不是很大；而木马则带有更为明确的目标性和任务指向性，多为钱财、数据或政治利益，危害性更大。勒索病毒之所以被称为勒索，正是由于其索取利益的目标特征。

三是复杂性。从已知的勒索病毒及其变种来看，传播手段包括利用系统漏洞、利用垃圾邮件、广告以及光盘U盘等，可以说无论系统在线或是隔离内网，均可能被感染；而从加密手段上，最新发现的勒索病毒大多会采用非对称高强度加密算法，理论上破解毫无可能。

四是广泛性。勒索病毒已有的感染事例，已经涵盖了世界各地各个国家的政府、高校、交通、制造、医院、能源、军工等领域，可以说无孔不入，尤其近期在我国主要以政府、医院、教育和制造等行业被感染事例较多。

中了勒索病毒，被加密的数据文件是否可以找回？第一种是按照勒索病毒感染后留下的线索提交“赎金”，可能拿到解开数据文件的密钥，从而恢复数据文件，但仅仅是可能，这个可能性目前看相当小；另一种是利用数据恢复类软件，针对勒索病毒加密数据文件后将原数据文件删除的机制，努力恢复硬盘上的原文件。此种方法要求硬盘第一时间“封盘”，要求感染后不做任何读写动作，可找回的几率很小，并且数据恢复的成本非常高。近年来,随着信息安全技术的不断进步,安全研究人员破解加密勒索病毒的技术也在不断提高,但是攻击者使用的加密方式也在不断升级,各类勒索病毒攻击令人防不胜防。[2]

三、防治战术：“三管齐下”

既然勒索病毒如此“狡猾狠毒”，该以何法处之呢？近期无论是传统防病毒厂商还是传统网络安全厂商，均在各自产品中增加了EDR（终端检测与响应）技术与功能，来应对勒索病毒危害，EDR突出对终端的检测与响应，其中检测是根本，传统检测手段主要依靠“特征库比对”，而EDR则突出“行为检测”，对系统中的进程行为进行实时检测以发现潜在威胁。对一般性的关键系统文件访问、系统进程调用、网络访问等行为容易被检测，而对于勒索病毒及其变种则难以通过简单的检测奏效，因其为隐藏行踪，除了前文提到的取得“合法身份”变种之外，对于一些传统行为检测技术的防范也是勒索病毒必修之功课，如何检测并识别勒索病毒及其变种成为防御勒索病毒的首要技术任务。这里笔者，提出一个“三管齐下”的防治策略。

一是依托沙箱技术。“Sandbox(又叫沙箱、沙盘)是一个虚拟系统程序，允许在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化并不影响宿主机，重启进程后可以随时删除模拟的程序。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。作为一个独立的虚拟环境，可以用来测试不受信任的应用程序或上网行为。”利用沙箱技术，可以测试多数恶意代码程序，并令其“现出原形”，以做好防范。缺点是沙箱技术虚拟的系统环境相对简陋，对于一些高级木马变种尤其是勒索病毒已知变种来看，反沙箱检测技术已经很成熟，所以沙箱技术本身已显落后。

二是依托蜜罐技术。蜜罐技术本质上是一种对攻击方进行欺骗的技术。通过布置一些主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析[3]，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。看起来蜜罐技术可以高明很多，作为靶机，诱使攻击方展开攻击，且不说是否能骗过勒索病毒及其变种，令其展开攻击并被有效收集。当下，蜜罐逃逸技术也已经很成熟，蜜罐被狡猾的入侵者反利用来攻击别人的例子也屡见不鲜，只要管理员在某个设置上出现错误，蜜罐就成了“打狗的肉包子”。

三是仿真诱捕技术。“兵者，诡道也。故能而示之不能，用而示之不用，近而示之远，远而示之近；利而诱之，乱而取之，实而备之，强而避之，怒而挠之，卑而骄之，佚而劳之，亲而离之。攻其无备，出其不意。此兵家之胜，不可先传也。”──《孙子兵法》。仿真诱捕，古有研究，而作为网络防御技术，前几年也有相关专家作过研究论证，作为勒索病毒防治的晋级新技术，仿真诱捕技术被启用并通过算法重构了诱捕模型。构建高仿真系统，设置勒索病毒感染“陷阱”，“诱捕”勒索病毒发作现身，这针对具有反沙箱、蜜罐逃逸技术特征的恶意代码变种具有奇效。

结语

目前，恶意代码检测与防御系统采用机器学习及大数据分析技术、高级行为分析技术和漏洞利用检测技术，结合有效的威胁情报信息，针对类似于勒索病毒等高级威胁提供及时检测和快速响应。尤其是采用高仿真诱捕技术，可以有效检测并识别恶意代码攻击（包括勒索病毒和0day利用）。确保了行业客户的网络系统安全高效和正常运营。

参考文献

[1] 方兴东.中国信息安全: 勒索病毒事件对全球网络治理的影响[J].2017.

[2] 金重振，葛万龙.信息与电脑（理论版）: 局域网勒索病毒的防护策略研究 ——以WannaCry为例[J].2017.

[3] 秦玉杰. 信息技术与网络安全：一种基于分布式蜜罐技术的勒索蠕虫病毒监测方法[J].2018.

（来源：原文刊载在《网络安全技术与应用》6月刊  作者：门嘉平）

未经允许不得转载：DOIT » 勒索病毒防治策略浅析