如何檢測勒索軟件:了解感染跡象

教學

隨著勒索軟體變得越來越複雜,組織正面臨著持續的數據丟失和違規的威脅。根據Statista的數據,自2018年以來,每年遭受勒索軟體攻擊的組織數量不斷增加,並且在2021年達到了企業的68.5%的峰值。此外,2020年檢測到的勒索軟體家族數量比2019年增加了34%(2020年為127個家族)。

在這篇博文中,我們定義了勒索軟體,並闡明了主要的感染途徑和勒索軟體檢測技術。同時,我們將討論識別勒索軟體、防止進一步感染以及提高數據抵抗勒索軟體的韌性的解決方案。

什麼是勒索軟體?

勒索軟體是一種惡意軟體,用於入侵個人/企業的IT環境,對數據進行加密或鎖定。勒索軟體攻擊的目的是向受害者勒索贖金,以恢復其對加密/鎖定數據的訪問權。

系統如何感染勒索軟體:5個感染途徑

要防止組織的IT系統受到勒索軟體感染,您應該了解恶意软件傳播的最常見方式。這樣,您就可以了解哪些系統組件更容易受到勒索軟體攻擊的威脅,以及如何及時檢測基礎設施中的勒索軟體活動。

你的組織成為勒索軟體受害者的方式有無數種。然而,以下是最常見的惡意軟體感染向量:

  • 可疑的電子郵件,促使收件人點擊鏈接或下載包含惡意軟體的附件。
  • 惡意網站旨在欺騙人們瀏覽其網頁,最終通過點擊惡意超鏈接感染勒索軟體。
  • 社交媒體通常被認為是可信任和合法的平台,因此使個人立即信任它們。通常,惡意軟體通過社交媒體平台上的惡意應用程式、廣告、插件和鏈接傳播。這些應用程式、廣告、鏈接和瀏覽器附件然後誘使用戶下載惡意內容,如勒索軟體或加密挖礦代理。
  • 惡意廣告是一種包含惡意代碼的在線廣告形式。您在看似合法的網站上點擊鏈接,您的計算機可能會自動感染惡意軟體。
  • 移動端勒索軟體通過注入惡意代碼的移動應用程序執行。通過下載這些應用程式,您可以讓惡意軟體在幾秒鐘內感染您的手機,然後在下次連接兩個設備時將感染傳播到您的計算機。

勒索軟體檢測技術

要檢測企圖侵入或已經擾亂您的IT環境的勒索軟體,您可以使用一套工具和技術來揭示惡意文件和可疑活動。IT專家區分以下檢測技術類型:

  • 基於簽名的
  • 基於行為的
  • 欺騙

以下我們詳細回顧每種勒索軟體檢測技術。

基於簽名的檢測

基於簽名方法將勒索軟體樣本的哈希值與先前發現的簽名進行比較。這是防毒解決方案和安全平台的常見第一步技術。這些檢查在啟動該檔案之前打包在可執行檔中的資料片段。該技術涉及早期檢測類似勒索軟體的程式碼片段並阻止感染程式碼的執行。

該方法用於建立組織的基本防禦。然而,即使它們有效地檢測已知的勒索軟體變種,基於簽名的方法可能無法應對新的惡意軟體。此外,駭客投入大量精力來更新其惡意軟體和安全中和工具,使簽名的檢測變得更具挑戰性。

目前有多家恶意软件检测软件供应商在市场上竞争。它们每家都提供一套功能齐全的勒索软件检测工具,可以在某种程度上起到作用。然而,根据Sophos的报告,2021年超过50%的勒索软件攻击成功,这意味着没有任何恶意软件检测系统可以百分之百保证揭示勒索软件。

基於行為的檢測

基於行為的勒索軟體檢測方法將歷史上已知的行為與新行為進行比較。專家和自動工具監控環境中用戶和應用程序的活動,以捕捉文件系統中的異常變化、異常流量、未知進程和API調用等跡象。

檢查並記錄勒索軟體攻擊嘗試或成功系統感染的常見行為跡象:

  • 垃圾郵件和釣魚郵件:釣魚是駭客交付勒索軟體的最常見方法。
  • 性能下降:如果您的IT基礎設施節點運行速度低於預期,請確保對潛在的勒索軟體入侵做出反應。
  • 持續的可疑登錄活動:如果定期發生登錄失敗的嘗試,並且來自異常位置和設備的各種帳戶,很可能有人試圖未經授權地訪問您組織的IT系統。
  • 檢測到未經授權的網絡掃描器:當您不知道誰啟動了網絡掃描程序以及其目的時,應該對此進行調查,因為它可能是惡意活動。
  • 潛在的測試攻擊:駭客可以對一些節點發起幾次輕微的攻擊,以測試您組織的保護系統彈性和反應時間,然後再發起全面攻擊。
  • 安全軟體停用或移除:不能忽略任何保護系統的干擾,因為即使短暫的故障也可能意味著勒索軟體感染的開放漏洞。
  • 某些節點上的資料加密:系統中任何節點上成功的資料加密都表示您的IT保護存在漏洞,黑客可以利用這一點進行更嚴重的攻擊。
  • 檢測到已知的駭客工具:如果您在組織環境中注意到Microsoft Process Explorer、MimiKatz、IOBit Uninstaller和PC Hunter等應用程式,您應該對每個節點進行全面的安全審查。
  • 活動目錄周圍的不尋常活動:已知有黑客使用遠端桌面協議(RDP)來接觸油氣設施的受保護的AD伺服器,並直接將Ryuk勒索軟體注入AD登錄腳本。已知案例
  • 備份損壞嘗試:備份存儲平台是網絡攻擊的優先目標之一。無論是在物理磁盤還是在雲中,備份存儲周圍的任何可疑活動都可能是潛在或正在進行的勒索軟體攻擊的跡象。

欺騙式檢測

就像駭客定期試圖欺騙組織的數位威脅檢測系統一樣,IT 安全專家想出了引誘惡意行為者的方法。其中最常見的誘餌之一被稱為蜜罐:一台伺服器或組織 IT 環境中的一個區域,其中包含看似對駭客有價值的資料。然而,這個環境完全與網站隔離,可以用來監視和分析攻擊策略。

不斷演變的威脅使公司利用所有可用的安全選項來防止侵犯和數據丟失,因此結合勒索軟體檢測方法是一種常見的做法。此外,一個良好的策略來檢測和主動對抗勒索軟體攻擊是了解攻擊者的策略並防止滲透。以下是一些識別和防止攻擊的建議。

如何識別和防止攻擊

我們建議您採取以下做法來防止勒索軟體攻擊。我們還提供了一些減少數據丟失風險的提示,以防勒索軟體滲透組織的環境。

  • 鼓勵員工:
    • 了解勒索軟體和其他惡意軟體的最常見跡象
    • 使用強密碼並定期更新
    • 在點擊鏈接和附件之前檢查它們
    • 了解釣魚的工作原理並檢查傳入郵件的郵件地址
  • 定期更新您的系統

您應該保持您的操作系統和關鍵應用程序打補丁並保持最新。一旦發布更新,就應立即安裝。系統更新和安全補丁通常旨在修復過去版本的問題並涵蓋系統已知漏洞。

  • 驗證第三方軟件

在安裝第三方軟件之前,首先驗證軟件供應商是否真實可靠。為此,安裝白名單軟件(例如,Bit9,Velox,McAfee,Lumension),這可以識別新應用程序是否足夠安全,可以在您的系統上安裝和運行。

  • 定期掃描您的基礎設施

安裝並使用反惡意軟件,它會通知您任何可能的威脅,識別潛在的漏洞,並在您的基礎設施中檢測勒索軟件活動。現代反勒索軟件工具使您能夠掃描整個系統中的現有病毒和活躍的惡意軟件威脅。此外,這樣的計算機掃描可以按需運行或根據您設置的時間表運行,從而最大限度地減少您的管理輸入。

  • 創建蜜罐

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

  • 限制對關鍵系統和應用程序的訪問

在授予員工系統權限時應遵循最小權限原則。該原則涉及僅向員工授予對其工作效率所需的文件和系統資源訪問權限。管理員應禁止任何員工無需執行其職責的操作或訪問,以避免意外感染。

  • 資料保護與測試備份

建立並定期更新資料備份。使用3-2-1規則增強保護,確保成功對加密數據進行勒索軟件恢復。該規則要求您擁有3份資料副本,並將它們存儲在2種不同的媒體上,其中1份存儲在離線位置。在完成資料備份後,運行測試以驗證您的備份是否可用且可恢復。這樣,您就可以防止系統恢復過程中可能發生的故障。

NAKIVO如何幫助保護您的數據免受勒索軟件攻擊

如今,使組織數據無法使用的勒索軟件攻擊不僅是另一種可能性,而是時間問題。防止數據丟失事件並避免由成功的勒索軟件攻擊引起的生產停機的最有效方式是擁有準備好供恢復使用的有效備份。

一些公司不实施备份和灾难恢复计划的93%在全球数据丢失灾难后的一年内倒闭。另一方面,

96%的公司拥有可靠的备份和恢复策略,成功从勒索软件攻击中恢复。NAKIVO备份与复制是一种数据保护解决方案,您可以使用它来实施可靠的勒索软件保护策略,并提高组织对攻击的恢复能力:

  1. 创建可靠且与应用程序一致的数据备份。
  2. 将备份存储在本地、远程或云端,遵循3-2-1规则,避免单点故障。
  3. 启用备份存储在本地Linux基础存储库和/或云中的不变性,以确保备份数据保持不变,即使勒索软件攻击备份基础架构。
  4. 在传输和静态状态下启用备份数据的加密。该解决方案使用AES-256加密标准,防止第三方访问您的备份数据。
  5. 使用基于角色的访问控制(RBAC)设置员工的访问权限,提高备份的安全性。当勒索软件攻击并加密原始数据时,使用备份进行恢复。您可以立即恢复完整的虚拟机和物理机器作为虚拟机。使用即时细粒度恢复将个别文件和应用程序对象恢复到原始或自定义位置,以减少停机时间。
  6. 當遭到勒索軟體攻擊並加密原始資料時,使用備份進行恢復。您可以立即將完整的VM和物理機器作為VM恢復。使用即時粒度恢復將個別文件和應用程式物件恢復到原始或自定義位置,以實現更短的停機時間。
  7. 使用複製、自動故障轉移和災難恢復協調,以快速提供系統和應用程式的可用性。

NAKIVO解決方案使您能夠從單一窗格控制和自動化備份和恢復過程。運行備份頻率可達每分鐘一次,以最小化資料損失。擁有相關的不可變備份,即使勒索軟體繞過您的安全系統並成功加密原始資料,您也可以避免向黑客支付贖金。

Source:
https://www.nakivo.com/blog/methods-tools-ransomware-detection/