勒索软件正在成为一种精心策划的攻击,并利用AI驱动的精准能力来绕过传统防御。勒索软件攻击者以比以往任何时候都更强的适应能力,将网络安全演变成一场高风险的竞赛。在这场不断白热化的勒索软件攻防对抗中,网络安全专家不能不加快步伐,深入探索最前沿的勒索软件规避技术,亮出更多出奇制胜的技术和手段。
更加精准复杂的勒索软件攻击
2024 年,勒索软件攻击在攻击频率、复杂程度、攻击精准度等方面都出现了大幅提升。网络犯罪分子越来越多地针对关键基础设施、医疗保健、电信和金融服务等高价值行业。
有统计显示,2024年全球勒索软件赎金总额超过10亿美元,但是在2024 年3 月出现了创纪录的 7500 万美元受害者支付金额。在遭受了特别勒索软件攻击最严重的医疗保健行业,不仅恢复速度比2023年明显延迟,而且恢复过程成本最高,平均每起事件高达977万美元。
在规模和频次上,仅2024年上半年就有超过2500起公开报告的勒索软件攻击,平均每天超过14起攻击。这与AI工具的扩散、深度伪造技术的改进以及恶意软件的可获取性提高密切相关。
新的勒索攻击团伙不断涌现。2024年, 33个新的或重新命名的勒索软件攻击团伙加入,使活跃团伙总数达到75个。仅新兴勒索软件即服务团伙RansomHub在2024年攻击了逾600家机构。
勒索软件的进化不仅体现在规模的扩张上,还体现在战术的演变上,使传统防御措施无法奏效。仔细观察数字和趋势,可以凸显创新且有弹性的网络安全措施的紧迫需求。
需要关注的七个技术手段
为了应对高级勒索软件攻击,你需要掌握并部署以下7个已被证明在对抗勒索软件方面有效的技术手段:
1.主动威胁情报
主动威胁情报涉及持续收集、分析和应用与新兴勒索软件变种和战术相关的数据。由AI和ML驱动的先进平台能够从全球威胁源汇总数据,分析恶意软件行为并预测攻击者策略。
例如,信息共享和分析中心(ISACs)等威胁共享平台使组织能够实时共享勒索软件指示器(IOC),加速集体防御机制。
这些情报还为入侵检测系统(IDS)和终端检测响应(EDR)工具提供支持,使它们能够动态完善检测算法,预测攻击者的行动,从而缩短响应时间。
2.行为分析工具
行为分析工具对于识别规避基于签名的检测的勒索软件至关重要。这些工具利用机器学习来建立用户和系统的基线行为。
当出现异常情况时,例如文件访问请求异常激增、特权升级尝试异常或大规模数据外泄,这些工具会触发警报。例如,如果一个特权账户在正常工作时间之外突然访问加密文件,系统就可以隔离该活动并启动调查。
高级行为分析平台与安全信息和事件管理(SIEM)系统无缝集成,提供可操作的洞见,使实时威胁中和成为可能。
3.网络分段和微分段
传统的网络分段将网络划分为不同的分区,以控制潜在的感染。微分段将这种方法进一步推进,为单个工作负载和应用程序实施细粒度的安全策略。
例如,云基础设施中的每个应用程序都可以拥有专用的防火墙规则,确保即使一个应用程序被入侵,横向移动也会受阻。
这种方法通常采用软件定义网络(SDN),尽管偶尔会自身存在漏洞,以及基于身份的访问控制,动态限制网络不同部分之间的通信。将微分段与零信任原则相结合,确保对同一网段内的每个数据包都进行检查和验证。
4.欺骗技术
欺骗技术创建了一个旨在迷惑和延缓勒索软件攻击者的环境,同时收集有价值的情报。通过使用诸如假凭证、服务器和文件等诱饵,组织可以将勒索软件重定向到一个受控环境中。
高级欺骗平台使用模拟真实资产的动态诱饵,使它们与合法资源无法区分。当攻击者与这些诱饵交互时,他们的技术和有效负载就会被记录下来进行分析。
例如,部署诸如蜜罐令牌(honeytokens),在使用时触发警报的虚假凭证,可以在攻击生命周期的早期揭示攻击者的存在和意图。
5.基于内存的无文件攻击检测
无文件勒索软件仅驻留在易失性内存中,绕过了传统的基于磁盘的检测机制。基于内存的检测工具会监控 RAM 是否存在可疑活动,例如未经授权的进程注入、DLL 劫持或异常API 调用。
对于无服务器环境,最好使用 RASP 直接集成到应用程序运行时环境中,以防止恶意代码执行。
例如,RASP可以实时检测并阻止试图利用Web应用程序内存缓冲区的行为,在威胁升级之前将其消除。内存取证工具在事后分析中也至关重要,可捕获RAM的快照,追溯无文件攻击的起源和行为。
6.保护命令与控制通信
命令与控制(C2)通信渠道对于勒索软件操作者发布命令、窃取数据和更新恶意软件至关重要。
为了应对这些行为,组织应该部署DNS过滤来阻止与已知勒索软件活动相关的域名,并使用深度数据包检测(DPI)分析加密流量是否存在异常。
机器学习模型可以识别与正常行为偏离的流量模式,如异常的HTTPS连接或突发性的对罕见域名的DNS请求。高级C2中断策略,包括陷阱服务器(sinkholing),将已知的恶意域名重定向到由防御者控制的安全服务器,切断攻击者与其有效负载的连接。
7.零信任框架
零信任框架遵循"永不信任,必须验证"的原则。在实践中,这意味着任何用户、设备或应用程序在没有持续认证和授权的情况下都不会被授予访问权限。
与当前的隐藏标准做法相反,重点应该放在加强Wi-Fi安全性并在制造商之间共享。只有在保护了消费者之后,网络安全专家才能着手更加精细、长期的解决方案。
同样,多重身份验证(MFA)增加了一层额外的验证,而自适应访问策略则根据用户行为和上下文动态调整权限。例如,来自不熟悉IP地址的登录尝试将触发额外的验证步骤或直接阻止访问。如果恶意访问导致入侵,其影响也将被严格控制在一定范围内。
勒索软件的演变凸显了网络安全实践中对持续警惕和创新的需求。随着攻击者不断改进手段,防御者必须保持领先,利用先进工具、培养安全意识文化,并采用适应性策略。
参考链接: https://www.tripwire.com/state-of-security/advanced-ransomware-evasion-techniques
