摘要：勒索病毒事件層出不窮，傳統(tǒng)的防治手段逐漸失效。通過沙箱、蜜罐、仿真誘捕技術，“三管齊下”可以實現(xiàn)有效防治。尤其是利用高仿真誘捕技術，可以檢測并識別包括勒索和0day的惡意代碼攻擊，確保網(wǎng)絡系統(tǒng)安全高效運營。

關鍵詞：沙箱技術，蜜罐技術，仿真誘捕技術，勒索病毒，防御策略

前言

近幾年來，勒索病毒事件在各個行業(yè)可謂層出不窮。在公共交通方面，2018年2月，SamSam勒索軟件感染科羅拉多州交通部，科羅拉多州當局最終為清除該感染花費了150萬美元費用;2018年12月，莫斯科新纜車的計算機系統(tǒng)遭遇勒索病毒入侵。在工業(yè)互聯(lián)網(wǎng)方面，2019年1月，新型勒索軟件LockerGoga攻擊挪威鋁制造巨頭公司Norsk Hydro，造成其關閉網(wǎng)絡之后僅僅幾天，又被發(fā)現(xiàn)疑似入侵了另外兩家美國化學公司Hexion和Momentive的計算機網(wǎng)絡。在政府事務方面，2019年3月9日發(fā)現(xiàn)的一款惡意軟件襲擊了英格蘭與威爾士聯(lián)邦警署(PFEW)，2019年3月11日開始，我國多地政府及醫(yī)院遭遇勒索病毒攻擊。

一、早期防治措施及痛點

說起勒索病毒，其實最早從2006年開始就進入了中國大陸，國家計算機病毒應急處理中心統(tǒng)計顯示，當年感染581例。而真正讓其“家喻戶曉”則是2017年著名的“永恒之藍”病毒的爆發(fā)，其影響范圍之廣，涉及系統(tǒng)之重要，讓所有IT運維與管理者聞之色變，遂掀起了一輪勒索病毒防范高潮。這次威脅達到前所未有的廣度和深度,構成了對全球各國、各界全方位的挑戰(zhàn),無論政府、企業(yè)、公共機構和個人,都難以幸免。其次,說明了當今全球性網(wǎng)絡治理機制的失靈，面對如此明目張膽的全球性威脅,居然迄今為止沒能進行真正的溯源、形成真正的有效制約與防御,甚至難以有效防止未來繼續(xù)發(fā)生[1]。

目前國內對勒索病毒防治方法，一般可以概括為五個字：“補改關裝規(guī)”。也即是，打補丁：及時更新系統(tǒng)補丁，修補漏洞;改口令：對系統(tǒng)內服務器、主機均強行實施復雜密碼策略，杜絕弱口令;關端口：盡量關閉不必要的文件共享及不必要的系統(tǒng)服務端口;裝軟件：安裝終端防護軟件及防病毒軟件，并保證病毒庫最新;重規(guī)劃：全面規(guī)劃網(wǎng)絡安全區(qū)域，強化業(yè)務數(shù)據(jù)備份等。

然而手忙腳亂一陣，各行業(yè)客戶的IT運維和信息安全管理人員仍提心吊膽。究其原因，無外乎兩方面：一是“敵暗我明”，所謂勒索病毒、惡意軟件及其變種層出不窮，隱藏技術和攻擊手段難以預知，“防不勝防”;二是作為傳統(tǒng)防范措施的防病毒軟件已日漸蒼老，“不堪大用”，靠病毒特征比對，簡單行為分析已難以識別和防范勒索等新惡意代碼的威脅。

二、防治戰(zhàn)略：“知彼知己”

勒索病毒，其實應該稱謂為勒索軟件或勒索程序，是惡意軟件或者叫惡意代碼的一種。嚴格來講，是一種木馬而不是病毒，因為木馬和病毒是兩種截然不同的威脅。

一是隱蔽性。本質上病毒極具感染性，且感染極難發(fā)現(xiàn)。而木馬則出于本身“任務”的特殊性要隱藏其行蹤，以便“開展工作”。從這一點來講，木馬更強調隱蔽和偽裝，諸如近期發(fā)現(xiàn)的Clop勒索病毒會冒用有效的數(shù)字簽名，騙取系統(tǒng)及防病毒軟件的信任，披上“合法外衣”，令一般的防治手段形同虛設。

二是危害性。病毒一般以破壞系統(tǒng)文件為目標，危害并不是很大;而木馬則帶有更為明確的目標性和任務指向性，多為錢財、數(shù)據(jù)或政治利益，危害性更大。勒索病毒之所以被稱為勒索，正是由于其索取利益的目標特征。

三是復雜性。從已知的勒索病毒及其變種來看，傳播手段包括利用系統(tǒng)漏洞、利用垃圾郵件、廣告以及光盤U盤等，可以說無論系統(tǒng)在線或是隔離內網(wǎng)，均可能被感染;而從加密手段上，最新發(fā)現(xiàn)的勒索病毒大多會采用非對稱高強度加密算法，理論上破解毫無可能。

四是廣泛性。勒索病毒已有的感染事例，已經涵蓋了世界各地各個國家的政府、高校、交通、制造、醫(yī)院、能源、軍工等領域，可以說無孔不入，尤其近期在我國主要以政府、醫(yī)院、教育和制造等行業(yè)被感染事例較多。

中了勒索病毒，被加密的數(shù)據(jù)文件是否可以找回?第一種是按照勒索病毒感染后留下的線索提交“贖金”，可能拿到解開數(shù)據(jù)文件的密鑰，從而恢復數(shù)據(jù)文件，但僅僅是可能，這個可能性目前看相當小;另一種是利用數(shù)據(jù)恢復類軟件，針對勒索病毒加密數(shù)據(jù)文件后將原數(shù)據(jù)文件刪除的機制，努力恢復硬盤上的原文件。此種方法要求硬盤第一時間“封盤”，要求感染后不做任何讀寫動作，可找回的幾率很小，并且數(shù)據(jù)恢復的成本非常高。近年來,隨著信息安全技術的不斷進步,安全研究人員破解加密勒索病毒的技術也在不斷提高,但是攻擊者使用的加密方式也在不斷升級,各類勒索病毒攻擊令人防不勝防。[2]

三、防治戰(zhàn)術：“三管齊下”

既然勒索病毒如此“狡猾狠毒”，該以何法處之呢?近期無論是傳統(tǒng)防病毒廠商還是傳統(tǒng)網(wǎng)絡安全廠商，均在各自產品中增加了EDR(終端檢測與響應)技術與功能，來應對勒索病毒危害，EDR突出對終端的檢測與響應，其中檢測是根本，傳統(tǒng)檢測手段主要依靠“特征庫比對”，而EDR則突出“行為檢測”，對系統(tǒng)中的進程行為進行實時檢測以發(fā)現(xiàn)潛在威脅。對一般性的關鍵系統(tǒng)文件訪問、系統(tǒng)進程調用、網(wǎng)絡訪問等行為容易被檢測，而對于勒索病毒及其變種則難以通過簡單的檢測奏效，因其為隱藏行蹤，除了前文提到的取得“合法身份”變種之外，對于一些傳統(tǒng)行為檢測技術的防范也是勒索病毒必修之功課，如何檢測并識別勒索病毒及其變種成為防御勒索病毒的首要技術任務。這里筆者，提出一個“三管齊下”的防治策略。

一是依托沙箱技術。“Sandbox(又叫沙箱、沙盤)是一個虛擬系統(tǒng)程序，允許在沙盤環(huán)境中運行瀏覽器或其他程序，因此運行所產生的變化并不影響宿主機，重啟進程后可以隨時刪除模擬的程序。它創(chuàng)造了一個類似沙盒的獨立作業(yè)環(huán)境，在其內部運行的程序并不能對硬盤產生永久性的影響。作為一個獨立的虛擬環(huán)境，可以用來測試不受信任的應用程序或上網(wǎng)行為。”利用沙箱技術，可以測試多數(shù)惡意代碼程序，并令其“現(xiàn)出原形”，以做好防范。缺點是沙箱技術虛擬的系統(tǒng)環(huán)境相對簡陋，對于一些高級木馬變種尤其是勒索病毒已知變種來看，反沙箱檢測技術已經很成熟，所以沙箱技術本身已顯落后。

二是依托蜜罐技術。蜜罐技術本質上是一種對攻擊方進行欺騙的技術。通過布置一些主機、網(wǎng)絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析[3]，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統(tǒng)的安全防護能力�？雌饋砻酃藜夹g可以高明很多，作為靶機，誘使攻擊方展開攻擊，且不說是否能騙過勒索病毒及其變種，令其展開攻擊并被有效收集。當下，蜜罐逃逸技術也已經很成熟，蜜罐被狡猾的入侵者反利用來攻擊別人的例子也屢見不鮮，只要管理員在某個設置上出現(xiàn)錯誤，蜜罐就成了“打狗的肉包子”。

三是仿真誘捕技術。“兵者，詭道也。故能而示之不能，用而示之不用，近而示之遠，遠而示之近;利而誘之，亂而取之，實而備之，強而避之，怒而撓之，卑而驕之，佚而勞之，親而離之。攻其無備，出其不意。此兵家之勝，不可先傳也。”──《孫子兵法》。仿真誘捕，古有研究，而作為網(wǎng)絡防御技術，前幾年也有相關專家作過研究論證，作為勒索病毒防治的晉級新技術，仿真誘捕技術被啟用并通過算法重構了誘捕模型。構建高仿真系統(tǒng)，設置勒索病毒感染“陷阱”，“誘捕”勒索病毒發(fā)作現(xiàn)身，這針對具有反沙箱、蜜罐逃逸技術特征的惡意代碼變種具有奇效。

結語

目前，惡意代碼檢測與防御系統(tǒng)采用機器學習及大數(shù)據(jù)分析技術、高級行為分析技術和漏洞利用檢測技術，結合有效的威脅情報信息，針對類似于勒索病毒等高級威脅提供及時檢測和快速響應。尤其是采用高仿真誘捕技術，可以有效檢測并識別惡意代碼攻擊(包括勒索病毒和0day利用)。確保了行業(yè)客戶的網(wǎng)絡系統(tǒng)安全高效和正常運營。

參考文獻

[1] 方興東.中國信息安全: 勒索病毒事件對全球網(wǎng)絡治理的影響[J].2017.

[2] 金重振，葛萬龍.信息與電腦(理論版): 局域網(wǎng)勒索病毒的防護策略研究 ——以WannaCry為例[J].2017.

[3] 秦玉杰. 信息技術與網(wǎng)絡安全：一種基于分布式蜜罐技術的勒索蠕蟲病毒監(jiān)測方法[J].2018.

(新媒體責編：syhz0808)