虹科分享|如何解決勒索軟件安全漏洞

近年來，各種網(wǎng)絡(luò)攻擊的數(shù)量和頻率都在增加，尤其是經(jīng)歷了極速演變的勒索軟件。五年前，勒索軟件對于大多數(shù)組織來說是一個相對遙遠(yuǎn)的問題。但如今，每分鐘都會發(fā)生數(shù)次勒索軟件的攻擊入侵。很少會有高管會輕視這種惡意軟件對其組織所構(gòu)成的威脅，但并沒有多少人知道如何去防止勒索軟件的攻擊。

更加危險的勒索軟件

近年來勒索軟件入侵次數(shù)上升，勒索軟件入侵作為一種犯罪商業(yè)活動的增長也催化了其深刻的技術(shù)轉(zhuǎn)變。

值得注意的是，一方面，今天的第三代勒索軟件已經(jīng)成為一種勒索與拒絕訪問相結(jié)合的多層次威脅；另一個方面，惡意軟件開發(fā)人員繼續(xù)完善勒索軟件的交付和部署方法。因此，勒索軟件正變得更加危險，并且常常能夠完全避開安全機(jī)制的控制。

目前最令人擔(dān)憂的發(fā)展可能是基于文件的勒索軟件部署方式的轉(zhuǎn)變。現(xiàn)在，一個有效載荷交付的攻擊鏈往往在設(shè)備運(yùn)行時的內(nèi)存中開始和結(jié)束。這對大多數(shù)組織來說是一個極其脆弱的攻擊媒介。為了應(yīng)對這種攻擊部署的深刻變化，需要重新評估終端組織的防御措施是否有效。

如何防御勒索軟件

01 勒索軟件防御的困境？

在防御勒索軟件時，安全專業(yè)人員通常依靠威脅情報的反饋來關(guān)聯(lián)和分析信息，從而評估安全防御措施，并優(yōu)先采取減少風(fēng)險的行動。不幸的是，威脅情報源監(jiān)測的環(huán)境和攻擊發(fā)生的地方之間存在著嚴(yán)重的差距。由于掃描監(jiān)測解決方案通常專注于靜態(tài)文件和網(wǎng)絡(luò)行為，這些資料提供的靜態(tài)入侵指標(biāo)（IOC）往往導(dǎo)致安全團(tuán)隊(duì)落后于攻擊者一步。這意味著絕大多數(shù)組織都沒有對一個關(guān)鍵的威脅載體進(jìn)行防御的設(shè)備內(nèi)存。

大多數(shù)網(wǎng)絡(luò)安全解決方案難以覆蓋這一漏洞，原因很簡單：在運(yùn)行期間掃描內(nèi)存和進(jìn)程會使一切都變慢,設(shè)備和服務(wù)器的使用很少能與持續(xù)地掃描設(shè)備的內(nèi)存的設(shè)施兼容。因此，大多數(shù)安全解決方案只在運(yùn)行開始和結(jié)束時掃描設(shè)備。他們依賴威脅留下的可檢測的特征，這些特征是經(jīng)過訓(xùn)練的，可以識別的。然而，現(xiàn)代勒索軟件使用內(nèi)存攻擊鏈，無情地利用了這種方法的弱點(diǎn)。

02 內(nèi)存攻擊是如何進(jìn)行的？

第一階段:

下載器被下載到受害者的設(shè)備上。在這一點(diǎn)上，任何基于靜態(tài)IOC的威脅情報 反饋都是多余的。例如，無論誘餌是通過惡意的Excel安裝的，還是通過遠(yuǎn)程代碼執(zhí)行的無文件安裝的，高度混淆的攻擊都不會出現(xiàn)在威脅情報反饋中，直到攻擊被了解和分類。

第二階段:

加載器部署威脅。通過運(yùn)行時下載或代碼注入等過程獲得對設(shè)備運(yùn)行時內(nèi)存的訪問。到現(xiàn)在，攻擊已經(jīng)完全脫離了傳統(tǒng)終端防御的監(jiān)測。

第三階段:

有效載荷部署。可能是像RAT或內(nèi)存中的反向外殼，同樣發(fā)生在設(shè)備運(yùn)行時內(nèi)存中。這意味著攻擊又是不可見的，只有在造成破壞后才能被靜態(tài)地檢測到。從這里，威脅可以在網(wǎng)絡(luò)中橫向移動，關(guān)閉解決方案的控制，并部署勒索軟件。當(dāng)勒索軟件攻擊引起防御者的注意時，游戲已經(jīng)結(jié)束。

我們注意到，內(nèi)存攻擊鏈往往涉及像Cobalt Strike這樣的惡意軟件或像Conti這樣的內(nèi)存勒索軟件菌株部署。在像這樣的攻擊中，在使用API調(diào)用下載惡意的.dll文件之前，一個shellcode通常被分配到設(shè)備內(nèi)存的動態(tài)空間。

這類威脅具有高度規(guī)避性，主要存在于設(shè)備內(nèi)存中，因此任何級別的NGAV或最佳EDR都無法可靠地檢測和阻止它們。網(wǎng)絡(luò)安全界必須通過升級威脅情報并專注于內(nèi)存檢測來應(yīng)對這些類型的攻擊。

03 如何抵御勒索軟件的攻擊？

如何防止勒索軟件攻擊的答案是使用虹科Morphisec移動目標(biāo)防御（MTD）技術(shù)。它提供了針對零和內(nèi)存攻擊的主動、輕量級保護(hù)。

·什么是移動目標(biāo)防御（MTD）技術(shù)？

移動目標(biāo)防御（MTD）技術(shù)是業(yè)界領(lǐng)先的高級攻擊的解決方案。它為每一個面臨內(nèi)存攻擊的組織提供了一種低影響、高效力的防御性解決方案。

·移動目標(biāo)防御（MTD）技術(shù)如何抵御勒索軟件的攻擊？

1.通過在運(yùn)行期間對設(shè)備內(nèi)存進(jìn)行變形，移動目標(biāo)防御（MTD）技術(shù)增強(qiáng)了企業(yè)現(xiàn)有的安全堆棧，以阻止和歸因于無文件的攻擊，否則就無法檢測到其入侵。

2.客戶通常會增強(qiáng)他們現(xiàn)有的解決方案，包括AV和EDR，以創(chuàng)建深度防御。而將MTD技術(shù)與操作系統(tǒng)原生的Windows Defender配對，可以創(chuàng)造出一個極具成本效益的安全堆棧，能夠擊敗高級威脅。

·虹科Morphisec移動目標(biāo)防御（MTD)技術(shù)的優(yōu)勢

在安全行業(yè)中獨(dú)一無二的是，虹科Morphisec的MTD技術(shù)利用多態(tài)性，以不可預(yù)測的方式向?qū)κ蛛[藏應(yīng)用程序和操作系統(tǒng)目標(biāo)。這導(dǎo)致了攻擊面的急劇減少，使目標(biāo)無法找到。它提出的誘餌，在不影響可用性的情況下欺騙和誘捕入侵威脅。虹科Morphisec的MTD依靠內(nèi)存中動態(tài)變化阻止并使得隱蔽性的攻擊者暴露出來。