近年來(lái)，各種網(wǎng)絡(luò)攻擊的數(shù)量和頻率都在增加，尤其是經(jīng)歷了極速演變的勒索軟件。五年前，勒索軟件對(duì)于大多數(shù)組織來(lái)說(shuō)是一個(gè)相對(duì)遙遠(yuǎn)的問(wèn)題。但如今，每分鐘都會(huì)發(fā)生數(shù)次勒索軟件的攻擊入侵。很少會(huì)有高管會(huì)輕視這種惡意軟件對(duì)其組織所構(gòu)成的威脅，但并沒(méi)有多少人知道如何去防止勒索軟件的攻擊。

更加危險(xiǎn)的勒索軟件

近年來(lái)勒索軟件入侵次數(shù)上升，勒索軟件入侵作為一種犯罪商業(yè)活動(dòng)的增長(zhǎng)也催化了其深刻的技術(shù)轉(zhuǎn)變。

值得注意的是，一方面，今天的第三代勒索軟件已經(jīng)成為一種勒索與拒絕訪問(wèn)相結(jié)合的多層次威脅；另一個(gè)方面，惡意軟件開(kāi)發(fā)人員繼續(xù)完善勒索軟件的交付和部署方法。因此，勒索軟件正變得更加危險(xiǎn)，并且常常能夠完全避開(kāi)安全機(jī)制的控制。

目前最令人擔(dān)憂的發(fā)展可能是基于文件的勒索軟件部署方式的轉(zhuǎn)變。現(xiàn)在，一個(gè)有效載荷交付的攻擊鏈往往在設(shè)備運(yùn)行時(shí)的內(nèi)存中開(kāi)始和結(jié)束。這對(duì)大多數(shù)組織來(lái)說(shuō)是一個(gè)極其脆弱的攻擊媒介。為了應(yīng)對(duì)這種攻擊部署的深刻變化，需要重新評(píng)估終端組織的防御措施是否有效。

如何防御勒索軟件

01 勒索軟件防御的困境？

在防御勒索軟件時(shí)，安全專業(yè)人員通常依靠威脅情報(bào)的反饋來(lái)關(guān)聯(lián)和分析信息，從而評(píng)估安全防御措施，并優(yōu)先采取減少風(fēng)險(xiǎn)的行動(dòng)。不幸的是，威脅情報(bào)源監(jiān)測(cè)的環(huán)境和攻擊發(fā)生的地方之間存在著嚴(yán)重的差距。由于掃描監(jiān)測(cè)解決方案通常專注于靜態(tài)文件和網(wǎng)絡(luò)行為，這些資料提供的靜態(tài)入侵指標(biāo)（IOC）往往導(dǎo)致安全團(tuán)隊(duì)落后于攻擊者一步。這意味著絕大多數(shù)組織都沒(méi)有對(duì)一個(gè)關(guān)鍵的威脅載體進(jìn)行防御的設(shè)備內(nèi)存。

大多數(shù)網(wǎng)絡(luò)安全解決方案難以覆蓋這一漏洞，原因很簡(jiǎn)單：在運(yùn)行期間掃描內(nèi)存和進(jìn)程會(huì)使一切都變慢,設(shè)備和服務(wù)器的使用很少能與持續(xù)地掃描設(shè)備的內(nèi)存的設(shè)施兼容。因此，大多數(shù)安全解決方案只在運(yùn)行開(kāi)始和結(jié)束時(shí)掃描設(shè)備。他們依賴威脅留下的可檢測(cè)的特征，這些特征是經(jīng)過(guò)訓(xùn)練的，可以識(shí)別的。然而，現(xiàn)代勒索軟件使用內(nèi)存攻擊鏈，無(wú)情地利用了這種方法的弱點(diǎn)。

02 內(nèi)存攻擊是如何進(jìn)行的？

第一階段:

下載器被下載到受害者的設(shè)備上。在這一點(diǎn)上，任何基于靜態(tài)IOC的威脅情報(bào) 反饋都是多余的。例如，無(wú)論誘餌是通過(guò)惡意的Excel安裝的，還是通過(guò)遠(yuǎn)程代碼執(zhí)行的無(wú)文件安裝的，高度混淆的攻擊都不會(huì)出現(xiàn)在威脅情報(bào)反饋中，直到攻擊被了解和分類。

第二階段:

加載器部署威脅。通過(guò)運(yùn)行時(shí)下載或代碼注入等過(guò)程獲得對(duì)設(shè)備運(yùn)行時(shí)內(nèi)存的訪問(wèn)。到現(xiàn)在，攻擊已經(jīng)完全脫離了傳統(tǒng)終端防御的監(jiān)測(cè)。

第三階段:

有效載荷部署。可能是像RAT或內(nèi)存中的反向外殼，同樣發(fā)生在設(shè)備運(yùn)行時(shí)內(nèi)存中。這意味著攻擊又是不可見(jiàn)的，只有在造成破壞后才能被靜態(tài)地檢測(cè)到。從這里，威脅可以在網(wǎng)絡(luò)中橫向移動(dòng)，關(guān)閉解決方案的控制，并部署勒索軟件。當(dāng)勒索軟件攻擊引起防御者的注意時(shí)，游戲已經(jīng)結(jié)束。

我們注意到，內(nèi)存攻擊鏈往往涉及像Cobalt Strike這樣的惡意軟件或像Conti這樣的內(nèi)存勒索軟件菌株部署。在像這樣的攻擊中，在使用API調(diào)用下載惡意的.dll文件之前，一個(gè)shellcode通常被分配到設(shè)備內(nèi)存的動(dòng)態(tài)空間。

這類威脅具有高度規(guī)避性，主要存在于設(shè)備內(nèi)存中，因此任何級(jí)別的NGAV或最佳EDR都無(wú)法可靠地檢測(cè)和阻止它們。網(wǎng)絡(luò)安全界必須通過(guò)升級(jí)威脅情報(bào)并專注于內(nèi)存檢測(cè)來(lái)應(yīng)對(duì)這些類型的攻擊。

03 如何抵御勒索軟件的攻擊？

如何防止勒索軟件攻擊的答案是使用虹科Morphisec移動(dòng)目標(biāo)防御（MTD）技術(shù)。它提供了針對(duì)零和內(nèi)存攻擊的主動(dòng)、輕量級(jí)保護(hù)。

·什么是移動(dòng)目標(biāo)防御（MTD）技術(shù)？

移動(dòng)目標(biāo)防御（MTD）技術(shù)是業(yè)界領(lǐng)先的高級(jí)攻擊的解決方案。它為每一個(gè)面臨內(nèi)存攻擊的組織提供了一種低影響、高效力的防御性解決方案。

·移動(dòng)目標(biāo)防御（MTD）技術(shù)如何抵御勒索軟件的攻擊？

1.通過(guò)在運(yùn)行期間對(duì)設(shè)備內(nèi)存進(jìn)行變形，移動(dòng)目標(biāo)防御（MTD）技術(shù)增強(qiáng)了企業(yè)現(xiàn)有的安全堆棧，以阻止和歸因于無(wú)文件的攻擊，否則就無(wú)法檢測(cè)到其入侵。

2.客戶通常會(huì)增強(qiáng)他們現(xiàn)有的解決方案，包括AV和EDR，以創(chuàng)建深度防御。而將MTD技術(shù)與操作系統(tǒng)原生的Windows Defender配對(duì)，可以創(chuàng)造出一個(gè)極具成本效益的安全堆棧，能夠擊敗高級(jí)威脅。

·虹科Morphisec移動(dòng)目標(biāo)防御（MTD)技術(shù)的優(yōu)勢(shì)

在安全行業(yè)中獨(dú)一無(wú)二的是，虹科Morphisec的MTD技術(shù)利用多態(tài)性，以不可預(yù)測(cè)的方式向?qū)κ蛛[藏應(yīng)用程序和操作系統(tǒng)目標(biāo)。這導(dǎo)致了攻擊面的急劇減少，使目標(biāo)無(wú)法找到。它提出的誘餌，在不影響可用性的情況下欺騙和誘捕入侵威脅。虹科Morphisec的MTD依靠?jī)?nèi)存中動(dòng)態(tài)變化阻止并使得隱蔽性的攻擊者暴露出來(lái)。