变化多端的勒索病毒总是采用新技能攻击使用者和企业系统,犹如蔓延的鼠疫渗透企业网络并在系统内部疯狂传播。今天,小编就为大家剖析下黑客的攻击手段,同时也带来了防御病毒的侵害良药。
如果把勒索病毒比喻某种动物,老鼠则最为适合。它不仅偷盗噬咬人类的种子和食物,而且顽强的生命体让其迅速繁殖扩散,经常给人造成严重损失。想铲除这种鼠患,只有从它的生活习性、活动规律、出没时间等分析入手,并从多环节制定剿灭计划。
如同鼠灾般蔓延的勒索病毒,已成为影响数百万使用者并且掠夺数百万美元的严重问题。监测网络活动对于企业的安全来说意义重大,如果企业对网络没有清晰的能见度,那将会因为管理设备权限的缺陷而造成勒索病毒的感染。
企业被感染勒索病毒会带来严重后果,它不仅干扰破坏了正常系统和数据,而且还强制受感染的企业电脑在勒索病毒攻击中扮演两个角色:
成为通讯的中转站
变成病毒扩散到其他系统和服务器的帮凶
Ø 角色一
通讯中转站将掌握系统控制权
对于勒索病毒来说,网络最重要的用途是连结攻击者的命令与控制(C&C)服务器,因为勒索病毒需要用这种连结来获取加密档案的密钥。密钥通过服务器发送到中毒电脑里加密目标档案,如果这种连结建立完成,那么多数的勒索病毒会从服务器中取得公共密钥,而私钥则会一直留在攻击者那边。公钥可以根据情况随时加以改变,不会让管理者在恶意程序中发现任何痕迹。
如果遇到无法与服务器连结的状况,勒索软件还有“自救”手段。比如:CrypXXX能够在程序中预设密钥;Cerber 变种则通常在本机产生密钥,让安全研究人员更容易进行逆向工程,替使用者制造解密工具来回复加密文档。新的变种偏好使用来自C&C服务器,让使用固定密钥的解密工具无用武之地。
Ø 角色二
扩散源头,寻找网络传播“替罪羊”
勒索病毒在企业内部通过网络扩散传播,它在中毒系统上执行时多数都会加密本机磁盘和网络磁盘的文档。其结果就是更快地在企业系统内蔓延,使得原本只是单机中毒发展到众多业务终端机器被感染,让病毒源“一呼百应”。
解决措施
提升网络能见度,让解决方案有效阻隔病毒侵袭
对于勒索病毒在企业内部系统的扩散,一定要有足够的网络能见度才能更好地控制威胁所造成的影响。针对各企业的防御措施,亚信安全深度威胁发现平台(Deep Discovery)深度威胁发现设备TDA采用三层式侦测方法,即初步侦测、沙箱模拟分析、事件关联来发掘隐匿的攻击活动。根据静态分析、动态分析、行为检测的关联分析实现威胁侦测的可视化。
|