卡巴斯基实验室解析勒索软件的发展与攻防
2017年,陆续爆发的永恒之蓝(WannaCry)、坏兔子、Petya等勒索软件,使政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域遭受到了前所未有的重大损失。
正当企业下定决心将防护勒索软件攻击进行到底时,勒索软件已经开始了默默的反击。2018年以来,勒索软件复杂性和变种的速度均有所增加,并通过使用各种混淆技术、更精细的设计确保攻击的准确性。
最初WannaCry版本的朴素界面
当今网络世界,勒索软件威胁持续发生,卡巴斯基实验室对勒索软件的研究从来没有停止过,近期卡巴斯基实验室就解析勒索软件的发展与攻防技术做了很好的诠释。
自1989年AIDS/PC Cyborg 勒索病毒开始。勒索软件通常由两种形式:一是锁屏类,即锁定用户计算机或手机,要求受害用户支付赎金解锁;二是加密类,即加密用户文件,要求受害用户支付赎金解密文件。目前我们遇到的基本都是文件加密类的勒索软件。
勒索软件感染破坏的一般过程:勒索软件作者使用对称加密算法加密用户文件,用非对称加密算法保护密钥。而密钥长度足够的话,可以说是无法破解的。
我们对WannaCry和ExPetr的特点进行了分析。WannaCry与其前一版本并无本质区别,但因为引入了永恒之蓝漏洞利用,使其造成了短时间内爆发式的感染。通过卡巴斯基样本溯源系统,卡巴斯基研究人员发现了WannaCry的最初版本,并发现其与朝鲜Lazarus攻击孟加拉银行所用的Contopee后门有共同的代码。
某版本GandCrab使用Nsis混淆包装自身并对抗分析
ExPetr在内网传播方面除了使用了永恒之蓝漏洞利用,还会利用APT攻击的手法在内网中进行横向移动。而ExPetr与2015年底攻击乌克兰电站的BlackEnergy硬盘擦除程序有相似代码,这也使研究人员认为ExPetr可以溯源至开发BlackEnergy的攻击组织——著名的俄罗斯APT攻击组织Sofacy。
对国内流行的GlobeImposter和GandCrab的特点进行了分析。两者都使用了长循环、反射加载等多种方法对抗安全软件、安全厂商的分析系统,使得没有优秀主动防御系统的安全软件无法抵御它们的攻击。
卡巴斯基实验室亚太区病毒中心负责人 董岩
“卡巴斯基的检测与防御技术。在云端,卡巴斯基的恶意软件分析系统拥有自主的虚拟化平台可以避开恶意软件对虚拟化平台的检测,而且恶意软件在虚拟分析系统中的运行速度与真实环境无异。除对勒索软件的特定行为、代码进行检测外,卡巴斯基的分析系统还可以针对勒索软件的一般行为进行分析检测,这使得它能够检测未知的勒索软件。比如WannaCry最初的版本就是由这种技术检测出来的。此外云端的分析系统还可以对勒索软件的对抗手段进行检测,如长循环与反射加载。”卡巴斯基实验室亚太区病毒中心负责人董岩表示,“在客户端,我们同样有先进的技术手段防御勒索软件。除了传统的静态文件分析和启发式分析技术外,我们的主动防御系统可以在勒索软件运行的同时分析其行为,当发现其行为符合勒索软件行为模式时将其阻断,并回滚一切其进行的操作,恢复被勒索软件加密的文件和被勒索软件修改的注册表设置。卡巴斯基还引入了基于局部敏感哈希技术的VisHash技术,使得可以使用一个VisHash通杀一批相似的恶意软件样本,也使得简单的免杀技术无效。比如2018年曾在国内肆虐的GlobeImposter样本其实代码彼此都很相似,而这些样本都可以被一个VisHash覆盖。”
卡巴斯基实验室解析勒索软件的发展与攻防相关推荐
- Google Cloud 线上课堂 | 解析勒索软件攻击链,看 Google Cloud 如何破局
数字化转型背景下,混合办公.人工智能.物联网.等技术快速发展,勒索软件攻击正在以多种方式持续演进,且波及金融.工业.教育等多个行业. 勒索软件为何能够长久存在且不断进化?为何全球重点行业用户能够让勒索 ...
- 《勒索软件防护发展报告(2022年)》正式发布,助力企业高效应对勒索软件攻击
随着云计算.大数据.人工智能等新技术的快速普及和应用,全球网络攻击层出不穷,勒索攻击呈现出持续高发态势,并已成为网络安全的最大威胁之一.因此建立全流程勒索软件防护体系,成为了企业防御勒索软件攻击的首要 ...
- 卡巴斯基实验室:2019Q1 IT威胁发展趋势统计报告
一.季度数据 根据卡巴斯基安全网络的统计结果,我们在2019Q1内,共阻止了全球203个国家中在线发生的843096461次攻击. Web反病毒组件将113640221个唯一URL识别为恶意URL. ...
- 解读全球最严重的5起勒索软件攻击
本文讲的是解读全球最严重的5起勒索软件攻击, 在最近几年间,说起令人厌烦的软件攻击类型,勒索软件已经成为不容忽视的一种存在了. 所谓勒索软件其实就是一种恶意软件,可以感染设备.网络与数据中心并使其瘫痪 ...
- 揭开勒索软件的真面目
一.前言 2013年9月,戴尔公司的SecureWorks威胁应对部门(CTU)发现了一种名为"CryptoLocker"的勒索软件,它以邮件附件形式分发,感染计算机并加密近百种格 ...
- 2021-2025年中国反勒索软件行业市场供需与战略研究报告
反勒索软件市场的企业竞争态势 该报告涉及的主要国际市场参与者有Sophos.Check Point.Cybereason.Faronics.Bitdefender.Malwarebytes.Kaspe ...
- 中国勒索软件数量增长超过67倍 多层防护机制是防御关键
2016年7月14日,亚信安全发布了最新的勒索软件风险研究报告,分析了2015年9月-2016年6月的勒索软件增长以及防治态势.报告指出,在监测的十个月内,全球传播的勒索软件数量增长了15倍,中国勒索 ...
- 全方位解析俄语系勒索软件的生态系统
本文讲的是全方位解析俄语系勒索软件的生态系统, 勒索软件的发家史 毫无疑问,近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军,勒索软件是当今网络攻击中一种最主要的攻击工具,对政府组 ...
- 新型攻击接踵而来 思科Talos解析Jaff勒索软件
思科Talos持续监控电子邮件威胁环境,紧密跟踪出现的新威胁和现有威胁的变化.我们最近观察到几次大规模的电子邮件攻击活动,它们试图传播一种名为"Jaff"的全新勒索软件变种.有意思 ...
- 思科Talos深度解析“WannaCry勒索软件
要点综述 据报道称,全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica.英国的国民保健署.以及美国的FedEx等组织纷纷中招.发起这一攻击的恶意软件是一种名为"Wanna ...
最新文章
- 汇编语言--call 指令
- 图像处理与识别技术的应用
- Condition.signal
- python无效的类字符串_Python基础-字符串处理
- 整个电脑键盘被锁住了_蜗居共享经济,如何彻底榨干你家里的电子设备|鼠标|共享经济|键盘|电脑桌|显示器|升降支架...
- windows消息检测函数
- NASM汇编语言与计算机系统03-实模式-屏幕显示HelloWorld(mov,jmp,time,dd,dw,$$)
- 「上云」不是终点,释放数据价值才是数字经济时代的「加油站」
- SERVER的蓝屏信息速查表--THREE
- Typora for Mac(文本编辑器)
- 【历史上的今天】1 月 1 日:惠普诞生;互联网的规范化;百度成立
- shell编写俄罗斯方块
- [IOS初学]ios 第一篇 storyboard 与viewcontroller的关系 - Zoe_J
- Java计算两个日期相差的月数
- 《Android 开发入门与实战(第二版)》——6.10节本章小结
- 2021年高压电工及高压电工模拟考试题
- Ubuntu Debian Kali 部署 巡风
- NLP - TextRank
- The server time zone value '?й???????' is unrecognized or represents more than one time zone
- [转帖]ASP中得到当前页面完整URL的方法