10月16日，在2016云棲大會(huì)之西湖論劍安全峰會(huì)之安全行業(yè)應(yīng)用專場(chǎng)上，F(xiàn)ortinet 亞太區(qū)首席安全專家Jack Chan向與會(huì)者分享了Fortinet視角的勒索軟件攻與防，并現(xiàn)場(chǎng)演示了勒索軟件的觸發(fā)與檢測(cè)。

從CryptoWall到Locky，勒索軟件從去年開(kāi)始可謂名聲大噪。全球范圍內(nèi)，不論企業(yè)規(guī)模大小，甚至是個(gè)人用戶，都紛紛中招，其中不乏眾多耳熟能詳?shù)闹髽I(yè)。勒索軟件的肆虐，給企業(yè)和個(gè)人都帶來(lái)了不少的麻煩，因此各種解決方案也應(yīng)運(yùn)而生不絕于耳，但是效果卻大相徑庭。Jack Chan在本屆云棲大會(huì)的分論壇上便向用戶做了一場(chǎng)關(guān)于勒索軟件攻防的主題演講。

首先，勒索軟件是一種禁止終端正常運(yùn)行的惡意軟件，其使用的技術(shù)并不先進(jìn)，全部都是傳統(tǒng)惡意軟件運(yùn)用的技術(shù)，但是需要受害者通過(guò)付款等利益輸送方式才能讓設(shè)備正常工作。

勒索軟件有兩種類型:

加鎖型勒索軟件: 禁止設(shè)備運(yùn)行

• 騷擾頁(yè)面持續(xù)展示，不讓設(shè)備正常使用

• 禁止啟動(dòng)操作

加密型勒索軟件: 加密用戶文件

• 加密文檔、郵件等等文件

• 如果沒(méi)有備份的話，設(shè)備將不能恢復(fù)

由于電腦中存放的信息與日常生活和工作十分緊密，一旦中招勒索軟件，對(duì)受害者帶來(lái)的損失可能很大，這是勒索軟件能夠“成功”的原因，另一個(gè)原因是勒索軟件變種極多，更新十分快速，可以有效對(duì)抗檢出率不佳的反病毒軟件，并且還具備簡(jiǎn)單對(duì)抗虛擬環(huán)境和沙箱環(huán)境的能力。

針對(duì)勒索軟件流程的簡(jiǎn)單解析：

• 提取系統(tǒng)信息 (用來(lái)識(shí)別已經(jīng)付款的用戶設(shè)備)

• 識(shí)別系統(tǒng)語(yǔ)言

• 獲取公有IP地址 : 比如在某些國(guó)家或地區(qū)不感染

• 從CnC服務(wù)器獲取Payload (不一定需要)

• 添加一條自動(dòng)運(yùn)行的注冊(cè)表項(xiàng)

• 刪除影子文件

• 關(guān)閉啟動(dòng)修復(fù)

• 聯(lián)系 CnC 服務(wù)器. 獲取公鑰

• 基于文件類型和目錄加密文件

• 顯示解密方法給受害者 (勒索信息)

在演講過(guò)程中，Jack還現(xiàn)場(chǎng)演示了一個(gè)勒索軟件在PC中被觸發(fā)之后的效果，包括感染，加密文件，勒索信息彈出，指示下載TOR瀏覽器，找到收款信息，以及如何付款等等。

在勒索軟件中招過(guò)程展示結(jié)束后，自然就到了如何防御的環(huán)節(jié)。Jack將防御過(guò)程分為了單機(jī)下一代防火墻防御，以及與沙箱技術(shù)結(jié)合的高級(jí)防御兩部分。

首先是僅使用下一代防火墻的防御。在FortiGate下一代防火墻上，精準(zhǔn)識(shí)別出勒索軟件使用的exploit kit，并且其載荷嘗試攻擊了某Flash漏洞，而回連的URL被識(shí)別為惡意網(wǎng)站，訪問(wèn)的大量外部IP均為某僵尸網(wǎng)絡(luò)。

第二個(gè)展示加入了沙箱進(jìn)行配合，目的是為了檢測(cè)無(wú)簽名的勒索軟件是否能夠通過(guò)沙箱技術(shù)進(jìn)行有效發(fā)現(xiàn)。在沙箱運(yùn)行報(bào)告中我們發(fā)現(xiàn)，有嘗試CnC連接，隱藏創(chuàng)建的文件夾，注冊(cè)表寫(xiě)入，執(zhí)行后刪除等多個(gè)不正常行為，在1分鐘內(nèi)就反饋出此文件為惡意軟件的結(jié)果。

在最后，Jack講到，在以快打快的攻防對(duì)抗中，防御方必須具備極佳的防御、檢測(cè)和響應(yīng)能力，而且必須要快速，F(xiàn)ortinet以FortiSandbox沙箱技術(shù)為核心的自動(dòng)化高級(jí)威脅防御體系能夠有效應(yīng)對(duì)勒索軟件的攻擊，并可以幾乎全自動(dòng)地執(zhí)行防御、檢測(cè)和響應(yīng)閉環(huán)，為企業(yè)資產(chǎn)安全保駕護(hù)航。