针对勒索软件,备份供应商通常都会这样建议用户:“只需将系统回滚至感染发生前的那一刻,你就能在几秒钟内恢复业务运营。”但是问题是我们怎么断定感染发生在哪个具体时刻。
今天的勒索软件正试图让感染更加难以检测,从而最大幅度地提升收入。典型的感染并不是立即展现出来的,而需要有一段间隔时间,然后慢慢进行破坏。Canary文件类型是防止勒索软件的方式之一,能够在攻击渗透到网络中时迅速通知到用户。
勒索软件攻防战的演变
早期的勒索软件会尽可能快的将一切数据加密,在有人反应之前产生更大的破坏。这时应用程序会立即停止工作,但是快速攻击使得感染点更容易被检测到,通常是未打补丁的桌面。
一些聪明的企业会让他们的员工关闭电脑以减少感染的传播。备份供应商和他们的客户擅长应对这类感染。许多支持虚拟化的备份技术可以还原至最近一次备份点。这些虚拟机的回滚恢复非常迅速,并且所恢复的是整个虚拟机,而非单个文件。因此许多企业组织能够在几分钟时间内根除勒索软件造成的感染。快速检测和恢复操作可以完全取代赎金。于是,勒索软件作者开始注意并改变其软件工作模式。
今天的攻击变得更为隐蔽,因此针对这类攻击需要更为复杂的保护措施。攻击或许只能封印其找到的备份文件,然后将其进行压缩。这样做的目的是在程序被检测出之前尽可能长时间的进行封印。假如用户需要一段时间才注意到有价值的文件遭到恶意加密,那么回滚操作便会更为困难。例如,假如我们需要将完整虚拟机恢复至一小时之前,那么在此期间所有的生产数据都将丢失。而如果我们要恢复一周之前的虚拟机,那么这便是一个天大的问题了。我们或许要识别出每个受感染的文件,仅将其逐一恢复,找到和选择性恢复过程非常艰难,而且通常需要手动完成。
恢复到一周前的数据,或者等待一周的时间来恢复正确的文件,这样都需要耗费大量的工作。在这种情况下,只用乖乖缴纳赎金便变得更有吸引力。勒索软件潜伏在你的环境中的时间越长,你支付赎金的概率便越大。
Canary文件类型:快速检测感染
打击这种潜伏模式的方式之一是尽可能快地发现感染。Canary文件类型能够快速识别出感染的发生,有助于抑制勒索软件。Canary文件类型就像是煤矿中的金丝雀:通过牺牲自己来测试出危险。Canary共享文件类型成为了检测勒索软件感染的诱饵,但其数据对企业并无价值。该共享文件类型仅用于快速的感染检测。
通常来说,文件的共享文件夹会和企业的实际数据混合存放。反恶意软件会观测Canary文件。紧盯住少量的Canary文件比追踪企业组织中每个共享文件夹中的每个文件要容易许多。普通用户和应用进程永远不会接触到Canary文件。假如该文件出现任何更改,那么出现恶意软件的几率就大幅上升。变更文件的更新时间戳、文件大小、文件名或检验码都意味着其已遭篡改。
由于这些文件永远不会被真实的用户访问,任何读写操作都代表着威胁的出现。Canary文件甚至会被文件扫描操作触发,因为真正的用户通常不会连接到它们。一旦出现可以访问,检测系统就可以进入主动模式,并开始隔离系统。经过快速检测,对整个虚拟机进行恢复的影响减弱许多。
更复杂的Canary系统甚至会对自身进行修改。由于恶意软件开发者被迫在其行动中变得更为隐蔽,以提防“金丝雀”。许多具有相同文件创造和最后访问日期的文件会被恶意软件认识到是红色禁区,因此看起来更像真实用户访问数据的金丝雀文件类型将更为有效。这些文件应该定期更新、创造新的文件,而文件访问日期戳在共享文件和文件夹中都应是不同的。
一套具有异常严格访问控制模式的金丝雀系统将非常有助于发现、识别出异常行为。而金丝雀文件不仅限于防范勒索软件,其可应用于其它各种类型的恶意软件和入侵检测。