勒索软件(病毒)是指通过锁定设备、加密或损毁文件等攻击形式进行金钱勒索的恶意软件。近年来,全球勒索攻击呈爆发式增长,为遏制勒索攻击的高发势态,安全研究人员提出诸多检测技术,以实现对勒索软件的快速研判响应。本文对现有研究工作进行系统归纳总结,并根据勒索软件的发展趋势,讨论检测技术未来可行的研究方向。
随着互联网技术的快速发展,针对数字资产的勒索病毒攻击已经成为网络安全领域的重要威胁。据安恒信息威胁情报中心统计,仅2021年上半年,全球至少发生了1200起勒索软件攻击事件,所造成的直接经济损失高达300亿美元。2022年,哥斯达黎加成为首个因勒索攻击而宣布进入“紧急状态”的国家,三星、英伟达、丰田等大型企业机构也纷纷遭受勒索攻击,足以说明勒索攻击已成为席卷政府、制造、交通等多行业的全球性安全威胁。而早发现、早响应是遏制勒索攻击,降低资产损失的重要手段,为实现对勒索攻击的快速响应,国内外安全研究人员在梳理勒索软件攻击流程的基础上,开展了大量的勒索软件检测技术研究。
一、勒索软件攻击流程
勒索软件主要可分为三种类型:恐吓型、锁屏型和加密型。恐吓型勒索软件会弹出威胁消息,利用被害者的恐惧心理来实施勒索,但一般不会对系统造成实际性破坏。锁屏型勒索软件会锁定设备屏幕或键盘,但通常可采用进入安全模式后开启杀毒软件的方式进行查杀。加密型勒索软件会对受害者的数据资产实施加密,以解密数据为要挟来索要赎金,是作案范围最广、造成经济损失最严重的勒索攻击形式。因此,本文将重点介绍加密型勒索软件的一般化攻击流程。
1.1 入侵尝试
勒索软件采用系统漏洞、网页挂马、远程桌面协议(Remote Desktop Protocol,RDP)暴力破解等方式来实现入侵。勒索软件所利用的系统漏洞可分为零日漏洞和未修补漏洞,零日漏洞是尚未被公开披露,无补丁的安全漏洞,因此具备渗透成功率高、影响范围大的特性;未修补漏洞存在官方补丁,但由于大量机构疏于安全管理,漏洞未被及时修复,因此可被勒索软件重复利用。在网页挂马攻击中,攻击者会在网页中嵌入恶意代码,当用户访问网页时,代码会自动执行勒索软件的下载与运行操作。RDP暴力破解会扫描Windows主机的3389端口,如端口开启,则证明当前主机允许远程连接,之后再采用字典攻击去尝试猜测登录密码,以实现对Windows系统的非法访问。鉴于后疫情时代下常态化远程办公模式的影响,RDP暴力破解已成为勒索软件的首要攻击切入点。
1.2 信道建立与横向渗透
多数勒索软件在实现入侵后,会与命令与控制服务器(Command-and-Control server,C&C server)建立连接,以实现加强控制、传递数据、获取密钥等目的。例如勒索软件会将用户数据回传至服务器,后续以泄露数据为威胁,强化勒索效果;或根据C&C服务器下发指令执行潜伏操作,有效躲避安全软件监测。此外,在机构内网环境中,勒索软件还会以当前主机为跳板,利用从C&C服务器中下载的恶意载荷来实现横向渗透,不断扩大攻击的影响范围。
1.3 文件加密
勒索软件会尝试寻找系统中的高价值数据,例如根据文件扩展名,将.doc、.pdf等类型的用户文件作为加密目标。出于效率考虑,多数勒索软件会采用对称加密与非对称加密相结合的混合加密模式。以WannaCry勒索软件为例,其采用AES与RSA相结合的加密方式,先根据文件数量,随机生成等量的AES密钥,对受害人文件进行加密;再提取攻击者预先生成、内嵌在代码中的RSA公钥,采用两级RSA加密的方式加密AES密钥,并将加密结果写回对应加密文件头部。除非获取到攻击者预先生成的RSA私钥,否则无法解密被加密文件。
1.4 勒索实施
在完成加密操作后,勒索软件会在系统明显位置展示勒索警告,告知被害者需缴纳的赎金数额与支付方式。而加密货币的匿名与去中心化特性能大幅降低赎金被追踪定位的可能,因此,近年来勒索软件多通过匿名网络向被害者提供加密货币赎金地址。此外,勒索软件还会采用设定支付时限、发布攻击公告、公开部分数据等威胁方式来施加压力,迫使受害者尽快妥协并支付赎金。
二、勒索软件检测技术分析
安全人员提出了诸多检测方法来实现对勒索软件的快速响应与阻断。根据检测方法的特性,本文将检测方法划分为静态特征检测、动态沙箱检测、蜜罐触发、网络行为分析、文件行为分析五类,以下将进行分类介绍。
2.1 静态特征检测
静态特征检测指在不运行程序的情况下,通过提取分析程序文件结构、调用函数、字符串常量等静态特征来判定程序属性的一种检测方法。静态特征检测多采用特征码匹配的方式,会利用勒索软件中的字节序列、字符串集等信息生成特征库;在检测时,扫描获取软件的相关特性,并与特征库中的信息进行匹配,如匹配成功,则证明其为勒索软件。静态特征检测的优势是检测速度快,至今仍是安全软件中运用最为广泛的检测方法;劣势是泛化能力差,勒索软件可通过加壳、代码混淆、多态实现等方式来改变程序静态特征,进而逃避检测。
2.2 动态沙箱检测
沙箱检测是指在安全隔离或受控虚拟环境中运行可疑软件,通过监控并分析软件运行产生的多维行为数据来判定软件恶意属性的一种检测技术。沙箱的监控是细粒度的,能获取注册表、文件、内存、网络等资源访问关键行为与API调用序列。许多沙箱还内置了检测模型,能自动化开展勒索软件检测,例如360发布的沙箱云产品。此外,部分沙箱还提供交互服务功能,能为安全人员开展后续分析提供数据来源,例如文献基于ANY.RUN沙箱所采集的勒索软件运行API序列进行特征向量转换,并建立机器学习算法模型开展检测,实验结果显示模型对于未知勒索软件样本的检出率可达96.7%。沙箱检测主要有两项缺陷:一是易被规避,近年来的Colossus、Py Locky等勒索软件内置了用户交互行为检测、延时启动、真实系统特征查询等沙箱规避技术,将大幅降低沙箱的检测效果;二是沙箱的细粒度监控所带来的系统性能高负载与检测结果高延迟,导致其难以适用于实时检测场景。
2.3 蜜罐触发
蜜罐触发是一种基于欺骗的检测方法,蜜罐是部署在真实环境中的虚假高价值目标,旨在吸引勒索软件率先对蜜罐实施入侵,并在入侵发生后,利用监控系统对攻击行为进行记录、识别与阻断。蜜罐的可定制化程度高,能根据部署场景进行灵活变更,例如在机构内网环境中可被设定为关键应用数据库,而在用户系统中可被设定为敏感路径下的诱饵文件。文献[6]实现了Windows平台上基于诱饵文件的勒索软件检测,核心思想是在系统关键位置动态部署诱饵文件,同时监视针对诱饵文件的可疑访问行为,将修改诱饵文件的进程判定为勒索软件。蜜罐触发检测方法有两点优势:一是误报率低,蜜罐作为诱骗陷阱,基本不会被正常用户访问,因此针对蜜罐的访问或操作均可被认为是异常行为;二是可以检测未知威胁,因为蜜罐监控入侵结果,而不关注入侵行为的具体实现方式,所以可检出采出新变种的勒索软件。但缺陷在于检测效果极度依赖于勒索软件的攻击路径选择,而当勒索软件未触发蜜罐或触发时刻较晚时,系统就会遭受较大损失,因此该方法在检出率和实时性上的表现欠佳。
2.4 网络流量分析
多数勒索软件会在入侵后尝试与C&C服务器建立连接,因此C&C服务器域名检测技术成为识别勒索软件的关键一环。域名黑名单可拦截传统的硬编码域名,但无法将利用域名生成算法(Domain Generation Algorithm,DGA)生成的大量备选域名全部添加到黑名单中。当前的DGA域名识别技术利用了信息熵、域名长度、字符转移概率等特征的传统机器学习方法和深度学习模型,并取得了较好的检测效果。但研究发现勒索软件正逐步使用DNS加密协议来传输DGA域名,这将导致以明文DNS请求为数据源的域名检测方法失效。此外,由于勒索软件会执行获取加密密钥、上传机密数据等操作而产生异常网络流量,因此,对网络数据包的端口号、目的IP、通信协议等多维特征开展分析的流量识别技术能运用于勒索软件检测。例如文献[7]通过识别TCP连接中显著增加的RST与ACK包,检测出Locky勒索软件。当前,针对非加密流量的检测研究已取得一定成果,但针对加密流量的检测研究多集中于特定类型的加密协议,因此,勒索软件可采用未知协议和加密方式来规避检测。
2.5 文件行为分析
勒索软件会在文件加密攻击阶段进行大量文件操作,因此可采用基于异常的检测方式,即设定正常系统中的文件读写、删除、类型更改等行为阈值,并监视当前系统中的文件操作,如超出阈值则判定存在勒索软件。此外,勒索软件还会修改文件内容,因此低文件相似度与高熵值数据写入也是判定勒索软件的重要指标。前者指加密操作会完全修改原文件内容,导致加密文件与原文件相似度趋近于0,异常于修改或新增部分文件内容的正常操作;后者指加密后数据相比于明文,拥有更强的随机性,因此信息熵值更高,勒索软件将表现出写入高熵值加密数据的特性。文献[8]通过文件过滤驱动来收集上述文件行为,并利用朴素贝叶斯、随机森林等多种算法开展特征学习,生成勒索软件实时检测器,实验结果显示分类准确率可达96%,但会给系统带来8%的额外开销。该检测方法的缺陷在于难以检出只进行少量文件内容加密的勒索软件,例如Unlock92勒索软件仅对文件头部进行加密修改,但能规避上述检测机制;此外,文件加密压缩、文件批处理等行为可能会触发误报。
三、勒索软件发展趋势
3.1 攻击目标多元化
攻击者试图研发跨平台勒索软件来感染尽可能多的设备、扩大攻击的影响范围。近年来,勒索软件在继续主攻Windows系统的同时,还向Linux、Android等平台扩散蔓延,例如Tycoon能同时针对Windows和Linux平台发动攻击。而物联网设备广泛存在的弱口令、暴露面广、漏洞修复缓慢等安全问题,正在促使其成为勒索软件的下一个攻击目标。目前,Vedere Labs安全研究机构已展示了物联网勒索软件攻击的概念证明[9],一旦该类勒索软件开始流行,不仅会导致攻击事件激增,还会给经济民生、社会稳定乃至国家安全带来巨大威胁。此外,勒索软件攻击还呈现出普遍性与针对性并存的特征,即在通过广撒网攻击手法对个人用户、中小型企业造成威胁的同时,还向政府、大型企业机构发动定制化攻击,以破坏关键基础设施或机密数据为要挟来勒索高额赎金。可以预见,勒索软件在未来一段时间内会继续在多平台、多场景中发动攻击,将给全球网络安全造成更大的威胁。
3.2 勒索软件即服务主流化
勒索软件的高收益特性驱使勒索软件向产业化、链条化方向演进,勒索软件即服务(Ransomware-as-a-Service,RaaS)应运而生。RaaS是一种由开发者制作勒索软件、多级分销者扩散分发软件、攻击者实施入侵,并由三者共同参与赎金分配的黑产营销模式。RaaS中的攻击者无须任何编程基础,就能直接依靠开发者提供的全套解决方案来实现勒索攻击,大幅降低了勒索攻击门槛。而RaaS中的开发者在提供核心技术、获取高额收益的同时,却拥有极低的暴露风险。这给相关部门的打击治理带来了挑战,且一旦上游未被完全摧毁,整条产业极易死灰复燃。近年来,RaaS在勒索软件中得到了广泛运用,诸如REvil、Conti等广泛传播的勒索软件均采用了该模式,这也标志着勒索攻击已呈现出系统化、便捷化的发展趋势。
以下为隐藏内容,登录后可见。