◆門嘉平

(北京國(guó)聯(lián)易安信息技術(shù)有限公司 北京 100084)

近幾年來(lái)，勒索病毒事件在各個(gè)行業(yè)可謂層出不窮。在公共交通方面，2018年2月，SamSam勒索軟件感染科羅拉多州交通部，科羅拉多州當(dāng)局最終為清除該感染花費(fèi)了150萬(wàn)美元費(fèi)用；2018年12月，莫斯科新纜車的計(jì)算機(jī)系統(tǒng)遭遇勒索病毒入侵。在工業(yè)互聯(lián)網(wǎng)方面，2019年1月，新型勒索軟件LockerGoga攻擊挪威鋁制造巨頭公司 Norsk Hydro，造成其關(guān)閉網(wǎng)絡(luò)之后僅僅幾天，又被發(fā)現(xiàn)疑似入侵了另外兩家美國(guó)化學(xué)公司 Hexion和Momentive的計(jì)算機(jī)網(wǎng)絡(luò)。在政府事務(wù)方面，2019年3月9日發(fā)現(xiàn)的一款惡意軟件襲擊了英格蘭與威爾士聯(lián)邦警署（PFEW），2019年3月11日開始，我國(guó)多地政府及醫(yī)院遭遇勒索病毒攻擊。

1 早期防治措施及痛點(diǎn)

說(shuō)起勒索病毒，其實(shí)最早從2006年開始就進(jìn)入了中國(guó)大陸，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心統(tǒng)計(jì)顯示，當(dāng)年感染581例。而真正讓其“家喻戶曉”的則是2017年著名的“永恒之藍(lán)”病毒的爆發(fā)，其影響范圍之廣，涉及系統(tǒng)之重要，讓所有 IT運(yùn)維與管理者聞之色變，遂掀起了一輪勒索病毒防范高潮。這次威脅達(dá)到前所未有的廣度和深度，構(gòu)成了對(duì)全球各國(guó)、各界全方位的挑戰(zhàn)，無(wú)論政府、企業(yè)、公共機(jī)構(gòu)和個(gè)人，都難以幸免。其次，說(shuō)明了當(dāng)今全球性網(wǎng)絡(luò)治理機(jī)制的失靈，面對(duì)如此明目張膽的全球性威脅，居然迄今為止沒能進(jìn)行真正的溯源、形成真正的有效制約與防御，甚至難以有效防止未來(lái)繼續(xù)發(fā)生[1]。

目前國(guó)內(nèi)對(duì)勒索病毒防治方法，一般可以概括為五個(gè)字：“補(bǔ)改關(guān)裝規(guī)”。也即是，打補(bǔ)?。杭皶r(shí)更新系統(tǒng)補(bǔ)丁，修補(bǔ)漏洞；改口令：對(duì)系統(tǒng)內(nèi)服務(wù)器、主機(jī)均強(qiáng)行實(shí)施復(fù)雜密碼策略，杜絕弱口令；關(guān)端口：盡量關(guān)閉不必要的文件共享及不必要的系統(tǒng)服務(wù)端口；裝軟件：安裝終端防護(hù)軟件及防病毒軟件，并保證病毒庫(kù)最新；重規(guī)劃：全面規(guī)劃網(wǎng)絡(luò)安全區(qū)域，強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份等。

然而手忙腳亂一陣，各行業(yè)客戶的 IT運(yùn)維和信息安全管理人員仍提心吊膽。究其原因，無(wú)外乎兩方面：一是“敵暗我明”，所謂勒索病毒、惡意軟件及其變種層出不窮，隱藏技術(shù)和攻擊手段難以預(yù)知，“防不勝防”；二是作為傳統(tǒng)防范措施的防病毒軟件已日漸蒼老，“不堪大用”，靠病毒特征比對(duì)，簡(jiǎn)單行為分析已難以識(shí)別和防范勒索等新惡意代碼的威脅。

2 防治戰(zhàn)略：“知彼知己”

勒索病毒，其實(shí)應(yīng)該稱之為勒索軟件或勒索程序，是惡意軟件或者叫惡意代碼的一種。嚴(yán)格來(lái)講，是一種木馬而不是病毒，因?yàn)槟抉R和病毒是兩種截然不同的威脅。

一是隱蔽性。本質(zhì)上病毒極具感染性，且感染極難發(fā)現(xiàn)。而木馬則出于本身“任務(wù)”的特殊性要隱藏其行蹤，以便“開展工作”。從這一點(diǎn)來(lái)講，木馬更強(qiáng)調(diào)隱蔽和偽裝，諸如近期發(fā)現(xiàn)的Clop勒索病毒會(huì)冒用有效的數(shù)字簽名，騙取系統(tǒng)及防病毒軟件的信任，披上“合法外衣”，令一般的防治手段形同虛設(shè)。

二是危害性。病毒一般以破壞系統(tǒng)文件為目標(biāo)，危害并不是很大；而木馬則帶有更為明確的目標(biāo)性和任務(wù)指向性，多為錢財(cái)、數(shù)據(jù)或政治利益，危害性更大。勒索病毒之所以被稱為勒索，正是由于其索取利益的目標(biāo)特征。

三是復(fù)雜性。從已知的勒索病毒及其變種來(lái)看，傳播手段包括利用系統(tǒng)漏洞、利用垃圾郵件、廣告以及光盤U盤等，可以說(shuō)無(wú)論系統(tǒng)在線或是隔離內(nèi)網(wǎng)，均可能被感染；而從加密手段上，最新發(fā)現(xiàn)的勒索病毒大多會(huì)采用非對(duì)稱高強(qiáng)度加密算法，理論上破解毫無(wú)可能。

四是廣泛性。勒索病毒已有的感染事例，已經(jīng)涵蓋了世界各地各個(gè)國(guó)家的政府、高校、交通、制造、醫(yī)院、能源、軍工等領(lǐng)域，可以說(shuō)無(wú)孔不入，尤其近期在我國(guó)主要以政府、醫(yī)院、教育和制造等行業(yè)被感染事例較多。

中了勒索病毒，被加密的數(shù)據(jù)文件是否可以找回？第一種是按照勒索病毒感染后留下的線索提交“贖金”，可能拿到解開數(shù)據(jù)文件的密鑰，從而恢復(fù)數(shù)據(jù)文件，但僅僅是可能，這個(gè)可能性目前看相當(dāng)??；另一種是利用數(shù)據(jù)恢復(fù)類軟件，針對(duì)勒索病毒加密數(shù)據(jù)文件后將原數(shù)據(jù)文件刪除的機(jī)制，努力恢復(fù)硬盤上的原文件。此種方法要求硬盤第一時(shí)間“封盤”，要求感染后不做任何讀寫動(dòng)作，可找回的概率很小，并且恢復(fù)數(shù)據(jù)的成本非常高。近年來(lái)，隨著信息安全技術(shù)的不斷進(jìn)步，安全研究人員破解加密勒索病毒的技術(shù)也在不斷提高，但是攻擊者使用的加密方式也在不斷升級(jí)，各類勒索病毒攻擊令人防不勝防[2]。

3 防治戰(zhàn)術(shù)：“三管齊下”

既然勒索病毒如此“狡猾狠毒”，該以何法處之呢？近期無(wú)論是傳統(tǒng)防病毒廠商還是傳統(tǒng)網(wǎng)絡(luò)安全廠商，均在各自產(chǎn)品中增加了EDR（終端檢測(cè)與響應(yīng)）技術(shù)與功能，來(lái)應(yīng)對(duì)勒索病毒危害，EDR突出對(duì)終端的檢測(cè)與響應(yīng)，其中檢測(cè)是根本，傳統(tǒng)檢測(cè)手段主要依靠“特征庫(kù)比對(duì)”，而EDR則突出“行為檢測(cè)”，對(duì)系統(tǒng)中的進(jìn)程行為進(jìn)行實(shí)時(shí)檢測(cè)以發(fā)現(xiàn)潛在威脅。對(duì)一般性的關(guān)鍵系統(tǒng)文件訪問(wèn)、系統(tǒng)進(jìn)程調(diào)用、網(wǎng)絡(luò)訪問(wèn)等行為容易被檢測(cè)，而對(duì)于勒索病毒及其變種則難以通過(guò)簡(jiǎn)單的檢測(cè)奏效，因其為隱藏行蹤，除了前文提到的取得“合法身份”變種之外，對(duì)于一些傳統(tǒng)行為檢測(cè)技術(shù)的防范也是勒索病毒必修之功課，如何檢測(cè)并識(shí)別勒索病毒及其變種成為防御勒索病毒的首要技術(shù)任務(wù)。這里筆者，提出一個(gè)“三管齊下”的防治策略。

一是依托沙箱技術(shù)。“Sandbox（又叫沙箱、沙盤）是一個(gè)虛擬系統(tǒng)程序，允許在沙盤環(huán)境中運(yùn)行瀏覽器或其他程序，因此運(yùn)行所產(chǎn)生的變化并不影響宿主機(jī)，重啟進(jìn)程后可以隨時(shí)刪除模擬的程序。它創(chuàng)造了一個(gè)類似沙盒的獨(dú)立作業(yè)環(huán)境，在其內(nèi)部運(yùn)行的程序并不能對(duì)硬盤產(chǎn)生永久性的影響。作為一個(gè)獨(dú)立的虛擬環(huán)境，可以用來(lái)測(cè)試不受信任的應(yīng)用程序或上網(wǎng)行為。”利用沙箱技術(shù)，可以測(cè)試多數(shù)惡意代碼程序，并令其“現(xiàn)出原形”，以做好防范。缺點(diǎn)是沙箱技術(shù)虛擬的系統(tǒng)環(huán)境相對(duì)簡(jiǎn)陋，對(duì)于一些高級(jí)木馬變種尤其是勒索病毒已知變種來(lái)看，反沙箱檢測(cè)技術(shù)已經(jīng)很成熟，所以沙箱技術(shù)本身已顯落后。

二是依托蜜罐技術(shù)。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)。通過(guò)布置一些主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析[3]，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力?？雌饋?lái)蜜罐技術(shù)可以高明很多，作為靶機(jī)，誘使攻擊方展開攻擊，且不說(shuō)是否能騙過(guò)勒索病毒及其變種，令其展開攻擊并被有效收集。當(dāng)下，蜜罐逃逸技術(shù)也已經(jīng)很成熟，蜜罐被狡猾的入侵者反利用來(lái)攻擊別人的例子也屢見不鮮，只要管理員在某個(gè)設(shè)置上出現(xiàn)錯(cuò)誤，蜜罐就成了“打狗的肉包子”。

三是仿真誘捕技術(shù)?！氨?，詭道也。故能而示之不能，用而示之不用，近而示之遠(yuǎn)，遠(yuǎn)而示之近；利而誘之，亂而取之，實(shí)而備之，強(qiáng)而避之，怒而撓之，卑而驕之，佚而勞之，親而離之。攻其無(wú)備，出其不意。此兵家之勝，不可先傳也?！暴ぉぁ秾O子兵法》。仿真誘捕，古有研究，而作為網(wǎng)絡(luò)防御技術(shù)，前幾年也有相關(guān)專家做過(guò)研究論證，作為勒索病毒防治的晉級(jí)新技術(shù)，仿真誘捕技術(shù)被啟用并通過(guò)算法重構(gòu)了誘捕模型。構(gòu)建高仿真系統(tǒng)，設(shè)置勒索病毒感染“陷阱”，“誘捕”勒索病毒發(fā)作現(xiàn)身，這針對(duì)具有反沙箱、蜜罐逃逸技術(shù)特征的惡意代碼變種具有奇效。

4 結(jié)語(yǔ)

目前，惡意代碼檢測(cè)與防御系統(tǒng)采用機(jī)器學(xué)習(xí)及大數(shù)據(jù)分析技術(shù)、高級(jí)行為分析技術(shù)和漏洞利用檢測(cè)技術(shù)，結(jié)合有效的威脅情報(bào)信息，針對(duì)類似于勒索病毒等高級(jí)威脅提供及時(shí)檢測(cè)和快速響應(yīng)。尤其是采用高仿真誘捕技術(shù)，可以有效檢測(cè)并識(shí)別惡意代碼攻擊（包括勒索病毒和0day利用），確保了行業(yè)客戶的網(wǎng)絡(luò)系統(tǒng)安全高效和正常運(yùn)營(yíng)。