证券代码:831126 证券简称:元鼎科技 新 三 板 · 创 新 层 7*24小时服务热线:400-007-0628

Sophos 防御勒索软件解决方案

一、 概述

     根据Sophos威胁研究院的调查,目前无论是大、中还是小型企业都正受到越来越积极和残酷的勒索软件攻击的威胁。中招后用户失去对关键文件的访问能力,随后是支付赎金的要求,可轻易导致组织的生产力的大面积中断。但你了解勒索软件典型的攻击方式吗?什么安全解决方案可以以提供最好的防御效果?本文研究了勒索软件常用的进攻方式,看看为什么攻击能够成功,并提供九个安全建议,以帮助你保持安全。它还强调了IT设置应包括的关键安全技术。
 

二、 勒索软件简介

     勒索软件(Ransomware)是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一 种恶意软件。它是互联网用户面临的最广泛和最具破坏性的威胁之一。自从臭名昭着的CryptoLocker于2013年首次出现以来,我们看到了通过垃圾邮件和Exploit Kits提供的文件加密勒索软件变体的新时代,从家庭用户和企业中敲诈金钱。

     目前的勒索软件家族的演变可以通过“Locker”变体,将其根源追溯到早期的“假AV”,最终到今天流行的文件加密变体,。每个不同类别的恶意软件都有一个共同的目标 - 通过社会工程和彻底的威胁从受害者手中勒索金钱。每次迭代,对赎金的要求变得更加庞大。

     “勒索软件”是近年数量增加最快的电脑网络威胁之一,黑客通常为隐藏踪 迹而要求用户以电子货币方式支付赎金,以换取解密电脑数据所需电子“秘钥”。 据估计,黑客借助此类软件每年得手金额合计数亿美元。据报道,好莱坞长老会医疗中心支付了40个比特币(17,000美元),以重新获取其文件,而堪萨斯心脏病医院虽然支付了一笔未公布的金额,但面临着第二次赎金需求,而且没有访问其所有文件。
 

三、 为什么勒索软件会攻击成功

大多数的企业都部署了某种形式的IT安全产品,为什么勒索软件还是能成功进入?

1. 先进的攻击技术和不断创新

【黑客工具】成为攻击者中的一员越来越简单现,今任何人可以购买现成的“恶意软件即服务”(MaaS)工具来完成攻击,得到并使用入侵程序变得越来越容易。攻击者从而可以简单地启动,成功完成入侵,即使对于技术不足的攻击者也可以轻易获取利益。 下面是一个MaaS程序出售的例子。

\

 

【社会工程学】熟练的社会工程用于迷惑并提示用户运行勒索软件的安装程序。 例如,您可能会收到类似这样标题的电子邮件:“我的客户要求在附件中,请提供给我一个相关产品报价。

【专业性】勒索软件的制造者以高度专业的方式运作。 包括在支付赎金之后提供工作解密工具。

2. 安全漏洞,操作系统和应用程序的更新/补丁不能够快速安装。

现在许多企业的IT管理员都已经认识到及时更新补丁的重要性,但是很难确保企业的这项政策能够被员工迅速的执行和重视。

3. 安全系统配置不当

现今的信息安全产品功能都多样,初衷是给用户带来all in one的解决方案,但很多产品配置起来过于繁琐,很多管理员没有很多时间去学习,无奈只能用到部分功能。如杀毒软件,防火墙,IPS,电子邮件/ Web网关,未部署或未正确配置。

4. 缺乏先进的预防技术

勒索软件的出现反应了传统杀软的“软肋”,Ransomware不断更新自身,以及利用漏洞来避免被识别,甚至有自我保护机制。 例如,在将文件加密后,对其自身进行快速删除,安全厂商无法对其进行快速分析。

5. 缺乏安全知识与培训

我可以打开哪些文档并从哪些人那里获取文档?”,“如果文档看起来很恶意,该怎么办”,“如何识别网络钓鱼电子邮件?

 

四、 勒索软件攻击是怎样发生的

     勒索软件攻击有两种主要方式开始。 通过带有恶意附件的电子邮件,或通过访问被感染(通

常是合法主流)的网站。

1. 恶意邮件

勒索软件攻击的一个主要途径是通过邮件传输。今天的罪犯正在制作与正常的无法区分的电

子邮件。语法正确无拼写错误,并且通常以与您和您的业务相关的的内容编写。总之,攻击者

通过社会工程学手段引诱受害者运行恶意邮件的附件。

\

附件的内容通常会伪装成我们常见的格式,使得我们放松了警惕。

\

再以最近最知名的Locky勒索软件攻击原理为示例,勒索软件一般会利用 Office 文档中宏(现在的大部分文字处理程序,电子表格和数据库都包含功能强 大的程序语言,允许在文档中使用命令序列。这些命令序列或小程序就被叫做宏) 的功能来执行恶意代码,例如打开一个 word 文档,提示需要启动宏功能:

\

文档打开后是乱码,并有一行红字标明如果无法正确解码,请启用宏。如上 图中红框所示,Word 文档默认配置是禁用宏的。一旦用户成功“被骗”启用了宏, 则就成功中招。

2. 恶意网站

另一种常见的受到感染的方法是访问了已被感染合法网站。 即使是主流网站也可能暂时被攻破。漏洞攻击包是黑客用来利用已知或未知漏洞(例如零日漏洞利用)的黑市工具。

您浏览到被黑客入侵的网站,然后点击网站的链接,广告,或在许多情况下只查看网页。这就足以下载勒索软件文件到您的计算机上运行,通常没有可见的迹象,直到攻击完成。
 

五、 勒索软件攻击成功是什么样的

中招的结果就是可执行代码会从远程服务器下载 勒索软件的本体到临时文 件夹,并自动执行,结果就是会在本地计算机,可移动设备和所有可访问的网络驱动器上加密特定文件类型(根据勒索软件类型而异),例如Office文档,数据库文件,PDF,CAD文档,HTML,XML等。,而且会把文件名混杂成不可读的样子并且更改扩展名(如比如这样:F67091F1D24A922B1A7FC27E19A9D9BC.locky)。经常删除Windows操作系统的自动备份(卷影副本),以防止数据恢复。

之后,在 Windows 桌面和每一个文件夹内都会出现一个新的可读的 txt 文档, 这个就是勒索信息,同时桌面背也会被勒索信息所替换,要求受害者使用比特币付款,通常需要1个以上的比特币(价值 200 到 400 美金)。

 \

总结勒索软件攻击过程如下: 

\

 

六、 Sophos勒索软件威胁解决方案

     针对勒索软件的主要传播途径,以及变种快,不易被签名技术查杀的特点。

     Sophos最新推出了革新性的终端安全产品——Sophos Intercept X。它在现有的端点安全(防毒)之上增填了新一代防护技术,可提供完整且多层式的保护。配合使用集成了Sandstorm(云沙箱技术)功能Sophos邮件安全网关为用户解决勒索软件和钓鱼邮件带来的安全威胁。

1. Sohpos Intercept X简介

Sophos 下一代端点安全解决方案 Intercept X。 基于 Sophos Central 云端解决方案。主要目的在阻止未知的威胁。有别于传统的防病毒软件,Sophos Intercept X不需要更新病毒定义库,Intercept X基于行为分析,分析威胁的行为,阻止该行为。面对当今千变万化的勒索软件的攻击,Intercept X通过独特的技术可以防止文件被加密,还原被加密的文件。Intercept X可以和原有 Sophos 端点安全产品整合还可以和第三方防病毒软件兼容使用。

\

2. Sophos Intercept X 的主要功能如下:

a) Cryptoguard- CryptoGuard技术能侦测出自发性的恶意数据加密情形,阻断勒索软件的运作以及恢复被加密的软件。

b) 防入侵技术:防入侵程序技术可辨识和阻挡常见的恶意攻击工具渗透技术,在威胁形成问题前就加以阻挡,以便保护端点,防范未知的威胁和零日漏洞。

c) 根本原因分析:根本原因分析能显示导致该次侦测的所有事件。您将可以了解该恶意软件接触过哪些文件,协助您清除并恢复到事件发生前的状态。

3. Sophos Intercept X 工作工程:

\

4. Sohpos 邮件安全网关简介

Sophos 邮件安全网关一直以来都是Sophos的核心产品线。Sophos Email Appliance屡次获得 VB 反垃圾邮件测试顶级评价的产品。

\

Sophos Email Appliance是一款性能强大,功能丰富的反垃圾邮件安全设备,可以旁路部署在用户网络中,并且支持多种邮件加密方式、反病毒邮件、反垃圾邮件和云沙箱功能,Sophos Email Appliance产品型号齐备,可以集群式部署,满足不同用户规模的需求,无论是运营商、服务提供商、大型企业或中小企,均可部署作为垃圾邮件防御、恶意软件防御以及来源于邮件信息的威胁防御的解决方案。

Sophos有别于其他友商使用OEM的反病毒引擎,Sophos本身就是传统的防毒厂商,连续8年别评为企业终端安全的领导者。

\

Sophos Email Appliance设备同时还集成了云沙箱集成,由Sophos 全球威胁响应团队全年7*24 小时提供服务支持。

当用户收到一封含有勒索软件的邮件时,Sophos Email Appliance会对邮件进行全面的检测,包括邮件正文内的链接是否恶意,附件是否恶意等等。当 Sophos Email Appliance检测附件内容为可疑时,会将文件发往关联的 Sophos Sandstorm进行确认,如果 Sandstorm返回结果为“恶意”, Sophos Email Appliance则将此邮件丢弃,同时发送一封替换的告警邮件给收件人,如果结果为“正常”则会将邮件继续投递给收件人。由上述内容我们发现,针对勒索软件的检测与发现的核心在于基于行为的Sandstorm沙箱产品。

Sandstorm采用先进的多层检测防御架构,能够实现分钟级的响应,大幅降低攻击风险。文件在进入 Sandstorm后会首先经过反病毒机制的检测,拥有全量病毒特征库的沙箱能够对可疑文件进行预过滤,降低沙箱系统的性能开销。

随后,云沙箱会对文件进行查杀,与Sophoslabs通信,查询最新的恶意软件信息是否与之匹配,如新签名、IP信誉、文件信誉、URL信誉等等。之后Sandstorm会对文件进行代码仿真和启发式检测。启发式检测即沙箱的轻量级检测,能够快速定位恶意行为,提高检测效率。最常用的启发式检测是对文件在限定时间内执行其中的脚本或对其代码段进行行为模式分析,然后检测其中是否包含对系统可能带来风险的代码或脚本。

Sandstorm是恶意软件威胁检测的利器,APT攻击防御的桥头堡。

 

七、 Sophos方案优势

Sophos向用户推荐业界独一无二的防御勒索软件解决方案——Intercept X + Email application

Intercept X部署在终端PC上形成无时无刻的保护。

集成Sandstorm云沙箱的邮件安全网关阻断恶意邮件、钓鱼邮件的入侵。
 

此方案是业界唯一的能够有效对抗勒索软件的安全方案。有如下3点优势

1. Intercept X基于行为和漏洞的无签名检测技术识别未知恶意攻击行为。勒索软件的迭代速度高,针对静态检 测的逃逸和绕过机制丰富,这就让基于静态签名的反病毒和入侵防御技术在对抗勒索 软件时无法起到特别关键的作用。

2. 在勒索软件主要传播途径即邮件侧进行拦截。Sophos Sandstorm高级威胁防御系统采用全量签名库为前置,以虚拟沙箱技术进行行为释放为核心,根据可疑样本的行为对其进行打分,进而判定是否为恶意。当有结果后,Sophos Sandstorm会将检测信息同步给其他Sophos安全设备,按照策略进行对应的动作。Sophos Email application更是在邮件安全方面具备业界领先的安全水平、检测水平与查杀水平。

3. 自动化防御提升安全响应速度。勒索软件在对抗难度上给防御方带来了极大的挑战, 也让我们发现了传统安全方案的不足。目前业界很多方案只能提供网络侧安全检测, 或邮件安全,或沙盒检测,互相割裂的方案,虽然在检测方面可能可以达到一定的效果,但是在响应速度方面一定是慢的。Sophos 勒索软件解决方案的核心产品 Intercept X可以和Sophos XG下一代防火墙形成联动机制,协同工作,不仅针对勒索软件的传播特点和技术特点进行防御和对抗,更是能够将防御、检测、响应形成自动化闭环。在不加人工干预的情况下,将安全响应速度提升到秒级。

 

IT服务

微信号:yd4000070628

元鼎科技官方微信

旗下网站

国内领先IT学习&直播平台

企业级云服务平台

版权所有2003-2018北京元鼎时代科技股份有限公司 京ICP-3备06005430号