如何检测勒索软件:了解感染迹象

教程

随着勒索软件变得越来越复杂,组织正面临着持续的数据丢失和泄露威胁。根据Statista的数据,自2018年以来,经历了勒索软件攻击的组织数量逐年增加,而在2021年达到了高峰,占企业总数的68.5%。68.5%此外,2020年检测到的勒索软件家族数量比2019年增加了34%(2020年共有127个家族)。

在这篇博客文章中,我们定义了勒索软件,并阐明了主要的感染途径和勒索软件检测技术。此外,我们还将介绍识别勒索软件、预防进一步感染以及增强数据抵御勒索软件的韧性的解决方案。

什么是勒索软件?

勒索软件是一种恶意软件,用于侵入个人/企业的IT环境,并加密或锁定数据。勒索软件攻击的目标是勒索受害者,以恢复对加密/锁定数据的访问。

系统如何感染勒索软件:5个感染向量

为了防止您的组织IT系统感染勒索软件,您应该了解恶意软件传播的最常见方式。这样,您就可以了解哪些系统组件更容易受到勒索软件攻击,以及如何及时检测您基础架构中的勒索软件活动。

您的组织可能成为勒索软件的受害者的方式多种多样。然而,以下是最常见的恶意软件感染途径:

  • 可疑的电子邮件消息,诱使收件人点击链接或下载包含恶意软件的附件。
  • 恶意网站旨在欺骗人们浏览其页面,并最终通过点击恶意超链接感染勒索软件。
  • 社交媒体通常被视为值得信赖和合法的平台,因此使个人立即信任它们。通常,恶意软件通过社交媒体平台上的恶意应用程序、广告、插件和链接传播。这些应用程序、广告、链接和浏览器附件会诱使用户下载恶意内容,例如勒索软件或加密货币挖矿代理。
  • 恶意广告是一种包含恶意代码的在线广告形式。您点击看似合法网站上的链接,您的计算机就可能自动感染恶意软件。
  • 移动端勒索软件通过注入恶意代码的移动应用程序执行。通过下载此类应用程序,您可能使恶意软件在几秒钟内感染您的手机,然后在您连接这两台设备时将感染传播到您的计算机上。

勒索软件检测技术

为了检测试图侵入或已经扰乱您的IT环境的勒索软件,您可以使用一套工具和技术来揭示恶意文件和可疑活动。IT专家区分以下检测技术类型:

  • 基于签名的行为
  • 基于行为的欺骗
  • 下面我们详细审查每种勒索软件检测技术。

基于签名的检测

基于签名的方法将勒索软件样本的哈希与先前发现的签名进行比较。这是杀毒解决方案和安全平台的常见第一步技术。在启动文件之前,这些方法检查了可执行文件中打包的数据片段。该技术涉及尽早检测到类似勒索软件的代码片段,并阻止执行受感染的代码。

该方法用于构建组织的基本防御。然而,即使它们有效地检测到已知的勒索软件变种,基于签名的方法在面对新的恶意软件时可能会失败。此外,黑客们投入了大量精力来更新他们的恶意软件和安全中和工具,使得检测签名变得更加具有挑战性。

目前有多家恶意软件检测软件供应商在市场上竞争。它们每个都提供一套功能齐全的勒索软件检测工具,可能在某种程度上是有效的。然而,根据Sophos的报告,2021年超过50%的勒索软件攻击都取得了成功,这意味着没有任何恶意软件检测系统能够百分之百地保证揭示勒索软件。

基于行为的检测

行为基础的勒索软件检测方法将历史上已知的行为与新行为进行比较。专家和自动工具监视环境中用户和应用程序的活动,以捕捉文件系统中的异常变化、异常流量、未知进程和API调用等迹象。

检查并记住勒索软件攻击尝试或成功系统感染的常见行为迹象:

  • 垃圾邮件和网络钓鱼:网络钓鱼是黑客传播勒索软件的最常见方法。
  • 性能下降:如果您的IT基础设施节点的运行速度低于预期,请确保对潜在的勒索软件入侵做出反应。
  • 持续的可疑登录活动:当定期发生登录尝试失败,并且来自不同位置和设备的各种帐户时,很可能有人试图未经授权地访问您的组织IT系统。
  • 检测到未经授权的网络扫描器:当您不知道是谁启动了网络扫描过程以及出于何种目的时,请进行调查,因为这可能是恶意活动。
  • 潜在的测试攻击:黑客可能会在一些节点上发起轻微攻击,以检查您的组织保护系统的弹性和反应时间,然后再发动全面攻击。
  • 安全软件被禁用或移除:不能忽视任何保护系统的故障,因为即使是短期的故障也意味着勒索软件感染的漏洞敞开。
  • 某些节点上的数据加密:在系统中的任何节点成功加密数据都表明您的IT保护存在漏洞,黑客可以利用这一漏洞进行更严重的攻击。
  • 检测到已知的黑客工具:如果您在组织环境中注意到诸如Microsoft Process Explorer、MimiKatz、IOBit Uninstaller和PC Hunter等应用程序,您应该对每个节点进行全面的安全审查。
  • 活动目录周围的异常活动:已知有黑客使用远程桌面协议(RDP)来到达石油和天然气设施的受保护AD服务器,并直接将Ryuk勒索软件注入到AD登录脚本中。
  • 备份损坏企图:备份存储平台是网络攻击的优先目标之一。在备份存储周围出现任何可疑活动,无论是在物理磁盘上还是在云中,都可能是潜在或正在进行的勒索软件攻击的迹象。

基于欺骗的检测

就像黑客定期试图欺骗组织的数字威胁检测系统一样,IT安全专家已经想出了诱饵坏人的方法。其中最常见的诱饵之一被称为蜜罐:组织的IT环境中包含看似对黑客有价值的数据的服务器或区域。然而,这个环境与站点完全隔离,并且可以用来监视和分析攻击策略。不断发展的威胁使公司利用每一种可用的安全选项来防止违规和数据丢失,因此结合勒索软件检测方法是一种常见做法。此外,检测和主动打击勒索软件攻击的良好策略是了解攻击者的策略并防止渗透。以下是一些建议来识别和防止攻击。

如何识别和防止攻击

我们建议您采取以下实践来防止勒索软件攻击。我们还添加了一些减少数据丢失风险的提示,以防勒索软件渗透到组织的环境中。

  • 鼓励员工:
    • 学习勒索软件和其他恶意软件的最常见迹象
    • 使用强密码并定期更新
    • 在点击链接和文件附件之前检查它们
    • 了解钓鱼的工作原理并检查收件箱中传入消息的电子邮件地址
  • 定期更新您的系统

您应该保持操作系统和关键应用程序的补丁和更新。一旦发布更新,就立即安装。系统更新和安全补丁通常旨在修复过去版本的问题并覆盖您系统的已知漏洞。

  • 验证第三方软件

在安装第三方软件之前,首先验证软件供应商是否真实可信。为此,安装白名单软件(例如,Bit9,Velox,McAfee,Lumension),它可以识别新应用程序是否足够安全,可以在您的系统中安装和运行。

  • 定期扫描您的基础设施

安装并使用反恶意软件,它会在检测到任何潜在威胁时通知您,识别潜在的漏洞,并在您的基础设施中检测勒索软件活动。现代反勒索软件工具使您能够扫描整个系统以查找现有病毒和活跃的恶意软件威胁。此外,此类计算机扫描可以按需运行或根据您设置的时间表运行,从而最大限度地减少您的管理输入。

  • 创建蜜罐

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

  • 限制对关键系统和应用程序的访问

应用最小权限原则在授予员工系统权限时。该原则涉及仅给予员工访问那些对其有效履行工作所必需的文件和系统资源。管理员应禁止员工执行其职责所不必要的任何操作或访问,以避免意外感染。

  • 数据保护和备份测试

创建并定期更新数据备份。使用3-2-1规则增强保护,并确保成功地恢复被加密的数据。该规则规定,您应该有3份数据副本,并将它们存储在2种不同的介质上,其中1份存储在外部。在备份数据后,运行测试以验证您的备份是否功能正常且可恢复。因此,您可以防止在系统恢复过程中可能发生的失败。

NAKIVO如何帮助保护您的数据免受勒索软件攻击

如今,勒索软件攻击使组织的数据不可用不再是另一种可能性,而是迟早会发生的事情。而避免生产中断并防止成功的勒索软件攻击造成的中断后的数据丢失事件的最有效方法是准备好用于恢复的有效备份。

一些公司不实施备份和灾难恢复计划的93%在全球数据丢失灾难发生后的一年内倒闭。另一方面,有可靠的备份和恢复策略的公司中有96%能够成功从勒索软件攻击中恢复过来。

NAKIVO备份与复制是一种数据保护解决方案,您可以使用它来实施可靠的勒索软件保护策略,并提高组织对攻击的抵抗力:

  1. 创建可靠且应用一致的数据备份。
  2. 将备份存储在现场、离场或云端,遵循3-2-1规则,避免单点故障。
  3. 为存储在本地基于Linux的存储库中和/或云端的备份启用不可变性,以确保备份数据在备份基础设施遭受勒索软件攻击时保持不变且可用。
  4. 启用备份数据的飞行中和静止状态的加密。该解决方案使用AES-256加密标准,以防止第三方访问备份数据。
  5. 使用基于角色的访问控制(RBAC)为员工设置访问权限,提高备份的安全性。当遭受勒索软件攻击并加密原始数据时,使用备份进行恢复。您可以立即恢复完整的虚拟机和物理机作为虚拟机。使用即时细粒度恢复将单个文件和应用对象恢复到原始位置或自定义位置,以缩短停机时间。
  6. 当遭受勒索软件攻击并导致原始数据被加密时,使用备份进行恢复。您可以立即恢复完整的虚拟机和物理机作为虚拟机。使用即时粒度恢复来恢复单个文件和应用程序对象到原始或自定义位置,以实现更短的停机时间。
  7. 使用复制、自动故障转移和灾难恢复编排来快速提供系统和应用程序的可用性。

NAKIVO解决方案使您能够从一个单一的控制面板控制和自动化备份和恢复过程。运行备份的频率可以高达每分钟一次,以最小化数据丢失。拥有相关的不可变备份,即使勒索软件绕过您的安全系统并成功加密原始数据,您也可以避免向黑客支付赎金。

Source:
https://www.nakivo.com/blog/methods-tools-ransomware-detection/