應(yīng)用Canary文件類型阻擊勒索軟件
針對勒索軟件,備份供應(yīng)商通常都會這樣建議用戶:“只需將系統(tǒng)回滾至感染發(fā)生前的那一刻,你就能在幾秒鐘內(nèi)恢復(fù)業(yè)務(wù)運(yùn)營。”但是問題是我們怎么斷定感染發(fā)生在哪個(gè)具體時(shí)刻。
今天的勒索軟件正試圖讓感染更加難以檢測,從而最大幅度地提升收入。典型的感染并不是立即展現(xiàn)出來的,而需要有一段間隔時(shí)間,然后慢慢進(jìn)行破壞。Canary文件類型是防止勒索軟件的方式之一,能夠在攻擊滲透到網(wǎng)絡(luò)中時(shí)迅速通知到用戶。
勒索軟件攻防戰(zhàn)的演變
早期的勒索軟件會盡可能快的將一切數(shù)據(jù)加密,在有人反應(yīng)之前產(chǎn)生更大的破壞。這時(shí)應(yīng)用程序會立即停止工作,但是快速攻擊使得感染點(diǎn)更容易被檢測到,通常是未打補(bǔ)丁的桌面。
一些聰明的企業(yè)會讓他們的員工關(guān)閉電腦以減少感染的傳播。備份供應(yīng)商和他們的客戶擅長應(yīng)對這類感染。許多支持虛擬化的備份技術(shù)可以還原至最近一次備份點(diǎn)。這些虛擬機(jī)的回滾恢復(fù)非常迅速,并且所恢復(fù)的是整個(gè)虛擬機(jī),而非單個(gè)文件。因此許多企業(yè)組織能夠在幾分鐘時(shí)間內(nèi)根除勒索軟件造成的感染。快速檢測和恢復(fù)操作可以完全取代贖金。于是,勒索軟件作者開始注意并改變其軟件工作模式。
今天的攻擊變得更為隱蔽,因此針對這類攻擊需要更為復(fù)雜的保護(hù)措施。攻擊或許只能封印其找到的備份文件,然后將其進(jìn)行壓縮。這樣做的目的是在程序被檢測出之前盡可能長時(shí)間的進(jìn)行封印。假如用戶需要一段時(shí)間才注意到有價(jià)值的文件遭到惡意加密,那么回滾操作便會更為困難。例如,假如我們需要將完整虛擬機(jī)恢復(fù)至一小時(shí)之前,那么在此期間所有的生產(chǎn)數(shù)據(jù)都將丟失。而如果我們要恢復(fù)一周之前的虛擬機(jī),那么這便是一個(gè)天大的問題了。我們或許要識別出每個(gè)受感染的文件,僅將其逐一恢復(fù),找到和選擇性恢復(fù)過程非常艱難,而且通常需要手動完成。
恢復(fù)到一周前的數(shù)據(jù),或者等待一周的時(shí)間來恢復(fù)正確的文件,這樣都需要耗費(fèi)大量的工作。在這種情況下,只用乖乖繳納贖金便變得更有吸引力。勒索軟件潛伏在你的環(huán)境中的時(shí)間越長,你支付贖金的概率便越大。
Canary文件類型:快速檢測感染
打擊這種潛伏模式的方式之一是盡可能快地發(fā)現(xiàn)感染。Canary文件類型能夠快速識別出感染的發(fā)生,有助于抑制勒索軟件。Canary文件類型就像是煤礦中的金絲雀:通過犧牲自己來測試出危險(xiǎn)。Canary共享文件類型成為了檢測勒索軟件感染的誘餌,但其數(shù)據(jù)對企業(yè)并無價(jià)值。該共享文件類型僅用于快速的感染檢測。
通常來說,文件的共享文件夾會和企業(yè)的實(shí)際數(shù)據(jù)混合存放。反惡意軟件會觀測Canary文件。緊盯住少量的Canary文件比追蹤企業(yè)組織中每個(gè)共享文件夾中的每個(gè)文件要容易許多。普通用戶和應(yīng)用進(jìn)程永遠(yuǎn)不會接觸到Canary文件。假如該文件出現(xiàn)任何更改,那么出現(xiàn)惡意軟件的幾率就大幅上升。變更文件的更新時(shí)間戳、文件大小、文件名或檢驗(yàn)碼都意味著其已遭篡改。
由于這些文件永遠(yuǎn)不會被真實(shí)的用戶訪問,任何讀寫操作都代表著威脅的出現(xiàn)。Canary文件甚至?xí)晃募呙璨僮饔|發(fā),因?yàn)檎嬲挠脩敉ǔ2粫B接到它們。一旦出現(xiàn)可以訪問,檢測系統(tǒng)就可以進(jìn)入主動模式,并開始隔離系統(tǒng)。經(jīng)過快速檢測,對整個(gè)虛擬機(jī)進(jìn)行恢復(fù)的影響減弱許多。
更復(fù)雜的Canary系統(tǒng)甚至?xí)ψ陨磉M(jìn)行修改。由于惡意軟件開發(fā)者被迫在其行動中變得更為隱蔽,以提防“金絲雀”。許多具有相同文件創(chuàng)造和最后訪問日期的文件會被惡意軟件認(rèn)識到是紅色禁區(qū),因此看起來更像真實(shí)用戶訪問數(shù)據(jù)的金絲雀文件類型將更為有效。這些文件應(yīng)該定期更新、創(chuàng)造新的文件,而文件訪問日期戳在共享文件和文件夾中都應(yīng)是不同的。
一套具有異常嚴(yán)格訪問控制模式的金絲雀系統(tǒng)將非常有助于發(fā)現(xiàn)、識別出異常行為。而金絲雀文件不僅限于防范勒索軟件,其可應(yīng)用于其它各種類型的惡意軟件和入侵檢測。
