勒索軟件正在成為一種精心策劃的攻擊，并利用AI驅(qū)動(dòng)的精準(zhǔn)能力來(lái)繞過(guò)傳統(tǒng)防御。勒索軟件攻擊者以比以往任何時(shí)候都更強(qiáng)的適應(yīng)能力，將網(wǎng)絡(luò)安全演變成一場(chǎng)高風(fēng)險(xiǎn)的競(jìng)賽。在這場(chǎng)不斷白熱化的勒索軟件攻防對(duì)抗中，網(wǎng)絡(luò)安全專家不能不加快步伐，深入探索最前沿的勒索軟件規(guī)避技術(shù)，亮出更多出奇制勝的技術(shù)和手段。

更加精準(zhǔn)復(fù)雜的勒索軟件攻擊

2024 年，勒索軟件攻擊在攻擊頻率、復(fù)雜程度、攻擊精準(zhǔn)度等方面都出現(xiàn)了大幅提升。網(wǎng)絡(luò)犯罪分子越來(lái)越多地針對(duì)關(guān)鍵基礎(chǔ)設(shè)施、醫(yī)療保健、電信和金融服務(wù)等高價(jià)值行業(yè)。

有統(tǒng)計(jì)顯示，2024年全球勒索軟件贖金總額超過(guò)10億美元，但是在2024 年3 月出現(xiàn)了創(chuàng)紀(jì)錄的 7500 萬(wàn)美元受害者支付金額。在遭受了特別勒索軟件攻擊最嚴(yán)重的醫(yī)療保健行業(yè)，不僅恢復(fù)速度比2023年明顯延遲，而且恢復(fù)過(guò)程成本最高，平均每起事件高達(dá)977萬(wàn)美元。

在規(guī)模和頻次上，僅2024年上半年就有超過(guò)2500起公開(kāi)報(bào)告的勒索軟件攻擊，平均每天超過(guò)14起攻擊。這與AI工具的擴(kuò)散、深度偽造技術(shù)的改進(jìn)以及惡意軟件的可獲取性提高密切相關(guān)。

新的勒索攻擊團(tuán)伙不斷涌現(xiàn)。2024年， 33個(gè)新的或重新命名的勒索軟件攻擊團(tuán)伙加入，使活躍團(tuán)伙總數(shù)達(dá)到75個(gè)。僅新興勒索軟件即服務(wù)團(tuán)伙RansomHub在2024年攻擊了逾600家機(jī)構(gòu)。

勒索軟件的進(jìn)化不僅體現(xiàn)在規(guī)模的擴(kuò)張上，還體現(xiàn)在戰(zhàn)術(shù)的演變上，使傳統(tǒng)防御措施無(wú)法奏效。仔細(xì)觀察數(shù)字和趨勢(shì)，可以凸顯創(chuàng)新且有彈性的網(wǎng)絡(luò)安全措施的緊迫需求。

需要關(guān)注的七個(gè)技術(shù)手段

為了應(yīng)對(duì)高級(jí)勒索軟件攻擊，你需要掌握并部署以下7個(gè)已被證明在對(duì)抗勒索軟件方面有效的技術(shù)手段:

1.主動(dòng)威脅情報(bào)

主動(dòng)威脅情報(bào)涉及持續(xù)收集、分析和應(yīng)用與新興勒索軟件變種和戰(zhàn)術(shù)相關(guān)的數(shù)據(jù)。由AI和ML驅(qū)動(dòng)的先進(jìn)平臺(tái)能夠從全球威脅源匯總數(shù)據(jù)，分析惡意軟件行為并預(yù)測(cè)攻擊者策略。 

例如，信息共享和分析中心(ISACs)等威脅共享平臺(tái)使組織能夠?qū)崟r(shí)共享勒索軟件指示器(IOC)，加速集體防御機(jī)制。

這些情報(bào)還為入侵檢測(cè)系統(tǒng)(IDS)和終端檢測(cè)響應(yīng)(EDR)工具提供支持，使它們能夠動(dòng)態(tài)完善檢測(cè)算法，預(yù)測(cè)攻擊者的行動(dòng)，從而縮短響應(yīng)時(shí)間。

2.行為分析工具

行為分析工具對(duì)于識(shí)別規(guī)避基于簽名的檢測(cè)的勒索軟件至關(guān)重要。這些工具利用機(jī)器學(xué)習(xí)來(lái)建立用戶和系統(tǒng)的基線行為。

當(dāng)出現(xiàn)異常情況時(shí)，例如文件訪問(wèn)請(qǐng)求異常激增、特權(quán)升級(jí)嘗試異常或大規(guī)模數(shù)據(jù)外泄，這些工具會(huì)觸發(fā)警報(bào)。例如，如果一個(gè)特權(quán)賬戶在正常工作時(shí)間之外突然訪問(wèn)加密文件，系統(tǒng)就可以隔離該活動(dòng)并啟動(dòng)調(diào)查。

高級(jí)行為分析平臺(tái)與安全信息和事件管理(SIEM)系統(tǒng)無(wú)縫集成，提供可操作的洞見(jiàn)，使實(shí)時(shí)威脅中和成為可能。

3.網(wǎng)絡(luò)分段和微分段

傳統(tǒng)的網(wǎng)絡(luò)分段將網(wǎng)絡(luò)劃分為不同的分區(qū)，以控制潛在的感染。微分段將這種方法進(jìn)一步推進(jìn)，為單個(gè)工作負(fù)載和應(yīng)用程序?qū)嵤┘?xì)粒度的安全策略。

例如，云基礎(chǔ)設(shè)施中的每個(gè)應(yīng)用程序都可以擁有專用的防火墻規(guī)則，確保即使一個(gè)應(yīng)用程序被入侵，橫向移動(dòng)也會(huì)受阻。

這種方法通常采用軟件定義網(wǎng)絡(luò)(SDN)，盡管偶爾會(huì)自身存在漏洞，以及基于身份的訪問(wèn)控制，動(dòng)態(tài)限制網(wǎng)絡(luò)不同部分之間的通信。將微分段與零信任原則相結(jié)合，確保對(duì)同一網(wǎng)段內(nèi)的每個(gè)數(shù)據(jù)包都進(jìn)行檢查和驗(yàn)證。

4.欺騙技術(shù)

欺騙技術(shù)創(chuàng)建了一個(gè)旨在迷惑和延緩勒索軟件攻擊者的環(huán)境，同時(shí)收集有價(jià)值的情報(bào)。通過(guò)使用諸如假憑證、服務(wù)器和文件等誘餌，組織可以將勒索軟件重定向到一個(gè)受控環(huán)境中。

高級(jí)欺騙平臺(tái)使用模擬真實(shí)資產(chǎn)的動(dòng)態(tài)誘餌，使它們與合法資源無(wú)法區(qū)分。當(dāng)攻擊者與這些誘餌交互時(shí)，他們的技術(shù)和有效負(fù)載就會(huì)被記錄下來(lái)進(jìn)行分析。

例如，部署諸如蜜罐令牌(honeytokens)，在使用時(shí)觸發(fā)警報(bào)的虛假憑證，可以在攻擊生命周期的早期揭示攻擊者的存在和意圖。

5.基于內(nèi)存的無(wú)文件攻擊檢測(cè)

無(wú)文件勒索軟件僅駐留在易失性內(nèi)存中，繞過(guò)了傳統(tǒng)的基于磁盤(pán)的檢測(cè)機(jī)制?；趦?nèi)存的檢測(cè)工具會(huì)監(jiān)控 RAM 是否存在可疑活動(dòng)，例如未經(jīng)授權(quán)的進(jìn)程注入、DLL 劫持或異常API 調(diào)用。

對(duì)于無(wú)服務(wù)器環(huán)境，最好使用 RASP 直接集成到應(yīng)用程序運(yùn)行時(shí)環(huán)境中，以防止惡意代碼執(zhí)行。

例如，RASP可以實(shí)時(shí)檢測(cè)并阻止試圖利用Web應(yīng)用程序內(nèi)存緩沖區(qū)的行為，在威脅升級(jí)之前將其消除。內(nèi)存取證工具在事后分析中也至關(guān)重要，可捕獲RAM的快照，追溯無(wú)文件攻擊的起源和行為。

6.保護(hù)命令與控制通信

命令與控制(C2)通信渠道對(duì)于勒索軟件操作者發(fā)布命令、竊取數(shù)據(jù)和更新惡意軟件至關(guān)重要。

為了應(yīng)對(duì)這些行為，組織應(yīng)該部署DNS過(guò)濾來(lái)阻止與已知勒索軟件活動(dòng)相關(guān)的域名，并使用深度數(shù)據(jù)包檢測(cè)(DPI)分析加密流量是否存在異常。

機(jī)器學(xué)習(xí)模型可以識(shí)別與正常行為偏離的流量模式，如異常的HTTPS連接或突發(fā)性的對(duì)罕見(jiàn)域名的DNS請(qǐng)求。高級(jí)C2中斷策略，包括陷阱服務(wù)器(sinkholing)，將已知的惡意域名重定向到由防御者控制的安全服務(wù)器，切斷攻擊者與其有效負(fù)載的連接。

7.零信任框架

零信任框架遵循"永不信任，必須驗(yàn)證"的原則。在實(shí)踐中，這意味著任何用戶、設(shè)備或應(yīng)用程序在沒(méi)有持續(xù)認(rèn)證和授權(quán)的情況下都不會(huì)被授予訪問(wèn)權(quán)限。

與當(dāng)前的隱藏標(biāo)準(zhǔn)做法相反，重點(diǎn)應(yīng)該放在加強(qiáng)Wi-Fi安全性并在制造商之間共享。只有在保護(hù)了消費(fèi)者之后，網(wǎng)絡(luò)安全專家才能著手更加精細(xì)、長(zhǎng)期的解決方案。

同樣，多重身份驗(yàn)證(MFA)增加了一層額外的驗(yàn)證，而自適應(yīng)訪問(wèn)策略則根據(jù)用戶行為和上下文動(dòng)態(tài)調(diào)整權(quán)限。例如，來(lái)自不熟悉IP地址的登錄嘗試將觸發(fā)額外的驗(yàn)證步驟或直接阻止訪問(wèn)。如果惡意訪問(wèn)導(dǎo)致入侵，其影響也將被嚴(yán)格控制在一定范圍內(nèi)。

勒索軟件的演變凸顯了網(wǎng)絡(luò)安全實(shí)踐中對(duì)持續(xù)警惕和創(chuàng)新的需求。隨著攻擊者不斷改進(jìn)手段，防御者必須保持領(lǐng)先，利用先進(jìn)工具、培養(yǎng)安全意識(shí)文化，并采用適應(yīng)性策略。

 參考鏈接： https://www.tripwire.com/state-of-security/advanced-ransomware-evasion-techniques