雷鋒網(wǎng)編者按：勒索軟件常有，而“想哭”勒索蠕蟲風(fēng)波不常有。“想哭”在全世界搞事以后，僅僅知道如何抵抗它這種“一次性”安全行為還不夠，曾有安全專家預(yù)言，這幾年將面臨勒索軟件的爆發(fā)，因為很多攻擊者發(fā)現(xiàn)，相對別的手段而言，這種犯罪手段也許是“人傻、錢多、速來”，再加上勒索軟件的代碼可以被輕易改變，“改頭換面”后又是一條“好漢”，怎么才能持久性預(yù)防？以下是網(wǎng)絡(luò)測試、可視化和安全解決方案供應(yīng)商 Ixia的投稿，已授權(quán)雷鋒網(wǎng)發(fā)表，在不改變原意的基礎(chǔ)上，雷鋒網(wǎng)略有刪節(jié)。

--

勒索軟件已經(jīng)成為黑客在網(wǎng)絡(luò)犯罪中牟利的慣用伎倆。據(jù)最新《Verizon數(shù)據(jù)泄露調(diào)查報告》（DBIR）表明，由于通過加密文件進(jìn)行勒索贖金速度快、風(fēng)險低并且可以輕松斂財，尤其使用比特幣進(jìn)行收款，可使收款人無法追蹤，勒索軟件是目前犯罪軟件最常見的類型。自2016年1月起，以企業(yè)為目標(biāo)的攻擊增長了300%，且攻擊頻率每40秒發(fā)生一次。此次波及全球范圍的勒索攻擊WannaCry，自5月12日以來已經(jīng)影響到150個國家，逾二十萬受害者。以上只說明一個事實：各組織機構(gòu)須立刻采取應(yīng)對措施，以防患于未然。

由于犯罪分子尋求提高感染率以及增加其非法收入，勒索軟件的傳播方法已發(fā)生變化。早期傳統(tǒng)的入侵方式，比如電子郵件中使用惡意文件作為附件，可以相對容易地被防病毒產(chǎn)品和安全沙箱檢測和屏蔽。然而，目前的入侵方式已經(jīng)經(jīng)過專門設(shè)計，旨在繞過這些傳統(tǒng)的安全防護產(chǎn)品。

Ixia應(yīng)用威脅情報部門的高級總監(jiān)Steve McGregory表示：“網(wǎng)絡(luò)犯罪分子可以輕易地變換和改寫勒索軟件代碼，并足以成功逃避殺毒軟件的特征庫匹配。這些勒索軟件的變種被稱為“零日突變”，即一旦被識別，勒索軟件的簽名便可以被更新并公布，因此防病毒軟件將需要幾天的時間來屏蔽新的變種。而在此期間，企業(yè)機構(gòu)仍易受到攻擊，網(wǎng)絡(luò)犯罪分子往往會繼續(xù)乘虛而入為其謀利?！?/p>

Ixia表示，如果企業(yè)機構(gòu)打算抵御勒索軟件的攻擊，需要掌握三大核心原則：

1. 追根溯源

勒索軟件感染鏈通常始于一個帶有惡意附件的釣魚郵件，其附件通常包含宏文件（macro）。即使對于安全沙箱來說這個宏似乎都毫無風(fēng)險，但打開該文件時，宏就會被激活，并通過互聯(lián)網(wǎng)連接攻擊者的遠(yuǎn)程服務(wù)器，將勒索軟件有效載荷下載到本地。此外，該宏還可以在下載過程中進(jìn)行文件變換。因此，直到在它實際進(jìn)入主機之前，都實則看似無害。

2. 對癥下藥

如果只將關(guān)注點放在審查文件載荷的內(nèi)容，這樣的防御措施往往徒勞無功。由于基于電子郵件的宏往往無法被發(fā)現(xiàn)，因為在檢測過程中它們并不會表現(xiàn)出惡意行為，所以即便是最先進(jìn)的安全沙箱也束手無策。事實上，這些文件載荷在實際被下載到電腦中并開始加密文件之前，看起來都沒有惡意，所以各企業(yè)機構(gòu)應(yīng)探查感染來源，而非僅僅耽于表象。

3. 阻止感染

在勒索軟件感染的最后階段，文件載荷將從已知的惡意IP進(jìn)行發(fā)送。由于 IP 地址相對稀少，同一個“惡意”地址往往會被重復(fù)使用。即使全新的惡意軟件變種也可能復(fù)用一小段已經(jīng)暴露的惡意 IP 地址。

這意味著，如果某個企業(yè)的網(wǎng)絡(luò)內(nèi)有一臺電腦試圖從一個已知的惡意 IP 地址下載文件，它們通常處于勒索軟件攻擊的初始階段，所以也就沒必要檢測正在試圖進(jìn)行下載行為的宏文件，或者正在下載的內(nèi)容。

因此抵御攻擊的最直接，且經(jīng)濟的方法是：自動阻斷所有企業(yè)內(nèi)網(wǎng)中，試圖連接已知惡意IP地址的行為，并且這個惡意 IP 地址庫需要通過收集威脅情報進(jìn)行持續(xù)更新。這會使大部分已有攻擊甚至新的攻擊無功而返。

“各企業(yè)不能再對勒索軟件的威脅視而不見。如果僅將這些數(shù)據(jù)保存在受攻擊影響的系統(tǒng)中，而沒有備份關(guān)鍵數(shù)據(jù)，那么無論是經(jīng)濟影響還是企業(yè)聲譽都將付出無法想象的代價?？蛻魯?shù)據(jù)、財務(wù)記錄和其他無法替代信息的丟失將可能導(dǎo)致業(yè)務(wù)停滯，并留下永久性的空白。” McGregory總結(jié)。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。