0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

五种勒索软件检测方法的优缺点分析

Android编程精选 来源:Android编程精选 2023-01-29 09:26 次阅读

对付勒索软件的方法主要以预防和响应为主。但是,检测勒索软件对于保护企业组织同样重要。我们可以将勒索软件检测理解为勒索软件体系化防护的事中阶段,即勒索软件已渗透到系统内部,但还未大规模爆发。在这一阶段可以通过应用有效的监测防护手段,一方面防护的针对性较强,另一方面能够降低勒索软件爆发所产生的较严重后果。

勒索软件的检测威廉希尔官方网站 通常可以分为两大类:

基于终端、网络的恶意样本及恶意行为检测:这种检测行为具有较强的通用性,即将勒索软件作为攻击的一种进行防护,一般杀毒软件或者服务器安全工具也具备对勒索软件的识别,这种产品用户可以优先选择。

专有勒索软件检测威廉希尔官方网站 :随着勒索软件威胁逐步增加,安全厂商也不断推出专门针对勒索软件的检测产品或检测工具,这种产品可作为针对性勒索软件防护的产品,在完成基础部署后进一步采购应用。

本文将介绍目前业界常用的五种勒索软件检测方法,并对其应用优缺点进行分析。

静态文件分析

如果企业的一台关键服务器上触发了警报,但警报信息相当笼统,只是报告某文件可能是恶意软件。更糟糕的是,如果文件的哈希值不在VirusTotal(一个提供免费的可疑文件分析服务的网站)上,那么安全分析师将无法在网上找到任何信息来确定该文件是不是恶意文件。

这时候,要查看该文件是否可能是勒索软件(或任何恶意软件),最优选择就是进行静态文件分析。静态文件分析是一种恶意软件分析方法,它主要查看可执行文件是否可疑,但并不实际运行代码。

面对勒索软件,静态文件分析会查找已知的恶意代码序列或可疑字符串,比如经常被盯上的文件扩展名和勒索信中所用的常用词。分析工具会标记可执行文件中的可疑部分,可用于检查文件中的嵌入字符串、库、导入内容及其他攻陷指标(IOC)。不过此项检测手段需要依赖于针对勒索软件构建的威胁情报体系,不断增扩展名、可疑字符串等。同时,此项手段需人工处置的比例较大,产品化可能较低。

9947ec08-9f73-11ed-bfe3-dac502259ad0.png

静态恶意软件分析检测实例

优点:

•识别率较高,误报率低;

•可以相对有效地识别已知勒索软件;

•可以在勒索攻击执行前阻止攻击,因此并不加密文件。

缺点:

•主要依靠手动分析,很费时,产品化程度不足;

•可以使用打包器/加密器(Packer/Crypter)或只需将字符换成数字或特殊字符,即可轻松绕过。

常见文件扩展名检测

借助文件访问监控工具,组织可以将已知勒索软件的扩展名文件重命名操作列入黑名单,或者使用这类扩展名的新文件一旦创建,就发出警报。

比如说,Netapp的文件访问监控工具让你可以阻止某些类型的扩展名保存在存储系统和共享区上,比如WannaCry勒索软件(.wncry)。其他勒索软件黑名单解决方案包括ownCloud或Netwrix。

研究人员已针对勒索软件扩展名整理出众多列表,包括附有常见勒索软件扩展名的列表。可以较为方便的获取使用。不过此项检测手段也仅针对已知的勒索软件,对于勒索软件的变种防护能力较差。此手段可以作为一个基础性防护工具,与用户部署的终端安全产品形成联动。

优点:

•采用黑名单模式,检测误报率低;

•可较有效对付常见已知勒索软件;

•不会对正常应用系统造成损坏。

缺点:

•可轻松绕过,难以识别采用新扩展名的勒索软件;

•很难找到拥有扩展名黑名单功能的文件监控工具。

蜜罐文件

蜜罐文件是故意放到共享文件夹/位置的虚假文件,以便检测可能存在的攻击者。一旦蜜罐文件被打开,就发出警报。比如说,一个名为passwords.txt的文件可以用作工作站上的蜜罐文件。目前,我国主流安全厂商推出的勒索软件防护方案中,都已采用此种方式进行防护,例如安天、安恒、奇安信、深信服等。

创建快速简便的蜜罐文件的一种常见方法是使用Canarytokens。Canarytokens是Canary 公司提供的一款免费工具,可将令牌(独特的标识符)嵌入到文档中,比如Microsoft Word、Microsoft Excel、Adobe Acrobat、图片和目录文件夹等更多文档中。

优点:

•可以检测出静态引擎无法捕获的未知勒索软件。

缺点:

•存在误报,因为某些合法程序和用户也可能接触诱饵文件;

•如果勒索软件接触诱饵文件,重要数据文件将被主动加密;

•如果勒索软件跳过隐藏的文件/文件夹或攻击特定文件夹,即可绕过。

动态监控批量文件操作

通过监控文件系统以查找批量文件操作(比如重命名、写入或删除),安全人员也可以捕获实时发生的勒索软件攻击,甚至可以自动阻止攻击。

文件完整性监控(FIM)工具可以帮助你以这种方式检测勒索软件。FIM将文件的最新版本与已知、受信任的“基准版本”进行比对,以此验证和核实文件;如果文件被篡改、更新或删除,就发出警报。动态监控文件操作需要有一套文件的保管清单。

市面上有众多免费的开源FIM工具,比如OSSEC和Samhain File Integrity,其他解决方案拥有实时修复功能,因此可以通过威胁自动响应立即阻止检测到的勒索软件。

优点:

•可以检测出静态引擎无法捕获的勒索软件。

缺点:

•如果超过定义的限制阈值,文件可能会被加密,影响业务开展;

•如果勒索软件在加密操作之间添加延迟,或生成多个进程来加密成批/成组文件,可轻松绕过该检测方式。

测量文件数据的变化(熵)

在网络安全界,文件的熵是指一种测量随机性的特定指标,名为“香农熵”(Shannon Entropy):典型的文本文件有较低的熵,而加密或压缩的文件有较高的熵。换句话说,通过跟踪文件的数据变化率,安全人员就可以确定文件是否经过加密。使用文件熵可以实现检测并阻止加密个人文件的非法进程。测量文件熵的工具还可以在多次标记修改、出现重大变化后快速阻止恶意进程。

996de516-9f73-11ed-bfe3-dac502259ad0.png

合法文件的熵与恶意文件的熵对比

优点:

•可以检测出静态引擎无法捕获的勒索软件;

•误报率低于以上提到的动态检测手段。

缺点:

•对终端设备的CPU资源占用率高;

•文件将被加密,直至达到一定水平的可信度,因此无法阻止所有勒索破坏;

•如果攻击者仅加密文件的一部分或分块加密,可轻松绕过该检测模式。

结语:

检测勒索软件可能很棘手,攻击者会使用多种混淆手法让勒索软件规避检测,新的勒索软件变体每天都在出现。因此,企业需要使用多种不同的勒索软件检测手段,并充分了解每种手段的优缺点。

此外,安全人员要始终假设勒索攻击会成功。因此企业需要随时确保有适当的勒索软件预防和恢复策略。随着勒索攻击能力向高层次发展,其攻击的流程化、能力化已经与APT趋同,因此针对勒索攻击防护体系建设需要形成持续的预测、防护、检测、响应,依照攻击发生的状态,可分为勒索防护策略建立、勒索攻击事前防护、勒索攻击识别阻断、勒索攻击应急响应。

审核编辑:陈陈

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

原文标题:简析五种常用勒索软件检测威廉希尔官方网站 的特点和不足

文章出处:【微信号:AndroidPush,微信公众号:Android编程精选】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    AD采集中的10经典软件滤波程序优缺点分析(附程序)

    在AD采集中经常要用到数字滤波,而不同情况下又有不同的滤波需求,下面是10经典的软件滤波方法的程序和优缺点分析
    发表于 11-23 13:52 3968次阅读

    分析电流测量方法优缺点对比

    在极端条件下六电流测量方法优缺点对比
    发表于 05-07 06:29

    主流的三RF方案及其优缺点对比分析

    主流的三RF方案及其优缺点对比分析RF IC的主要性能是什么?
    发表于 05-25 06:34

    开关模式电源的电流检测方法优缺点有哪些

    开关模式电源的电流检测威廉希尔官方网站 有何优点?开关模式电源的电流检测方法有哪几种?分别有什么优缺点
    发表于 08-17 09:09

    基于类线会议系统的优缺点

    基于类线会议系统的优缺点   Internet的发展使得人们对于网络的认识越来越深,越来越广。目前各类电子产品都在寻求一
    发表于 02-21 09:46 692次阅读

    霍尔传感器的应用实例(工作原理_分类_检测方法_作用_优缺点

    本文介绍了霍尔传感器分类、霍尔传感器工作原理,对霍尔传感器的优缺点进行了分析,最后介绍了霍尔传感器的检测方法、霍尔传感器用途及应用实例。
    发表于 01-13 09:26 4.8w次阅读

    全面认识SaaS软件服务优缺点

    本文全面介绍了Saas软件服务优缺点。Saas(软件服务化)具有很多优势,如成本低、部署迅速、定价灵活,但在审计和法规遵从以及与企业已有方案的整合上也有其弱点,企业选择SaaS时对这些优缺点
    发表于 01-30 15:53 1.1w次阅读

    微流控芯片大优点及四大缺点分析

    本文首先介绍了微流控的大优点,其次就介绍了微流控的四大缺点,最后分析了四微流控芯片材料的优缺点以及阐述了微流控芯片材料选型原则。
    发表于 05-10 14:26 5.6w次阅读

    详解四软件架构的应用和优缺点

    如果一个软件开发人员,不了解软件架构的演进,会制约威廉希尔官方网站 的选型和开发人员的生存、晋升空间。这里我列举了目前主要的四软件架构以及他们的优缺点
    的头像 发表于 02-15 15:04 6901次阅读

    涡流检测优缺点及应用

    检测威廉希尔官方网站 是保障系统等安全的重要威廉希尔官方网站 手段,通过检测,我们可以及时发现系统等内部的故障。在前文中,小编对涡流检测有所简单介绍。为增进大家对涡流检测威廉希尔官方网站 的了解,本文将对涡流
    的头像 发表于 02-18 13:56 2.6w次阅读

    球阀,蝶阀,止回阀,闸阀四阀门的优缺点

    阀门的类型有很多种,每种都有各自的优缺点,下面小编就列举大阀门优缺点,包括闸阀、蝶阀、球阀、截止阀和旋塞阀,希望对您有所帮助。
    发表于 08-11 11:47 1474次阅读

    无损检测适用条件及优缺点

    、化工、机械制造、建筑、汽车、电子等众多领域。本文将详细介绍无损检测的适用条件、优缺点以及各种无损检测方法。 一、无损检测的适用条件 材料类
    的头像 发表于 05-24 15:02 1534次阅读

    常用的无损检测方法有哪些?有何优缺点

    、建筑、电力、交通等领域。以下是一些常用的无损检测方法及其优缺点: 超声波检测(Ultrasonic Testing,简称UT) 优点: a. 检测
    的头像 发表于 05-24 15:15 1254次阅读

    人脸检测种方法各有什么特征和优缺点

    人脸检测是计算机视觉领域的一个重要研究方向,主要用于识别和定位图像中的人脸。以下是常见的人脸检测方法及其特征和
    的头像 发表于 07-03 14:47 737次阅读

    武汉凯迪正大分享电缆电力检测方法及其优缺点

    随着威廉希尔官方网站 的发展和进步电缆电力检测方法也日益多样化,涵盖了从传统的电桥法到现代的局部放电法、红外热像法等多种威廉希尔官方网站 手段。本文将依照凯迪正大的经验围绕电缆电力检测的主要方法展开讨论,并
    的头像 发表于 07-24 17:28 313次阅读