什麼是勒索軟體檢測?
與大多數惡意軟體一樣,勒索軟體旨在感染計算機,並且在實現其目標之前不會被發現。對於勒索軟體,攻擊者的目標是讓受害者在收到贖金要求時才意識到感染。
反勒索軟體解決方案旨在儘早識別感染,可能是在造成任何損害之前。為此,他們使用各種勒索軟體偵測技術來克服勒索軟體的隱形和防禦規避功能。
早期檢測的需要
在應對網路攻擊時,早期偵測始終很重要。在攻擊鏈中越早偵測並修復事件,攻擊者竊取敏感資料或以其他方式造成業務損害的機會就越少。
對於勒索軟體來說,早期偵測比大多數攻擊更為重要,因為勒索軟體造成的損害可能是不可逆轉的。如果勒索軟體對安全備份中未包含的資料進行加密,那麼即使受害者支付了贖金,資料也可能無法恢復。在加密開始之前識別並消除勒索軟體感染對於最大限度地減少其影響至關重要。
隨著勒索軟體的發展,早期檢測變得更加重要。現代勒索軟體變體通常會在加密之前洩露公司的敏感資料。如果可以在資料竊取發生之前偵測到勒索軟體,那麼該公司就可以避免代價高昂且令人尷尬的資料外洩。
勒索軟體檢測技術的類型
勒索軟體感染可以透過幾種不同的方法來識別。一些最常見的勒索軟體檢測機制包括:
通過簽名檢測
基於簽章的偵測是識別系統上是否存在惡意軟體的最簡單方法。惡意軟體簽章包括檔案雜湊、命令和控制基礎設施的網域名稱和 IP 位址等訊息,以及可以唯一識別惡意軟體樣本的其他指標。基於簽章的偵測系統儲存這些簽章的函式庫,並將它們與進入或在系統上執行的每個檔案進行比較,以確定它是否是惡意軟體。
但是,基於簽名的偵測越來越有用。 基於簽章的偵測從未適用於新型惡意軟體,因為尚未為惡意軟體變體建立簽章。如今,勒索軟體團體通常在每次攻擊活動中使用其惡意軟體的獨特版本(具有不同的檔案雜湊、命令和控制基礎設施等),從而使得基於簽章的偵測變得無效。
依行為偵測
行為檢測是檢測系統上是否有勒索軟體的另一種選擇。可以設計以行為為基礎的偵測演算法來尋找已知為惡意的特定活動,或尋找與標準不同的異常動作。
基於行為的勒索軟體偵測利用了勒索軟體具有非常不尋常的行為這一事實。例如,勒索軟體的加密階段要求惡意軟體開啟系統上的許多文件,讀取其內容,然後用加密版本覆蓋它們。如果反勒索軟體解決方案監視檔案操作或加密操作並就這種異常行為發出警報,則此行為可以幫助偵測勒索軟體。
通過異常交通檢測
監視檔案操作是基於行為的威脅偵測的端點級形式。然而,透過尋找可能顯示勒索軟體感染或一般惡意軟體的異常流量,也可以在網路層級偵測勒索軟體。
過去,勒索軟體在開始加密之前執行很少的網路操作,以幫助隱藏其在系統上的存在。然而,現代勒索軟體會在加密之前竊取和洩露敏感數據,以便攻擊者在說服受害者支付贖金要求時提供額外的手段。
實施大規模資料外洩需要能夠在攻擊者的控制下將大量資料從網路內部傳送到外部系統。雖然勒索軟體可能會嘗試隱藏這些資料傳輸,但它們可能會產生異常網路流量,這些流量可以被偵測到並追溯到系統上存在的勒索軟體。
反映意見