引言
近年来,勒索病毒的广泛传播逐步成为网络安全威胁的重要组成和发展趋势,且其攻击仍保持着强劲增长势头,同时已有从传统的加密勒索向数据泄露转变的迹象,对广大企业正常经营和社会稳定造成严峻挑战。
根据NCC Group的数据,2024年共发生了不少于5 263起成功攻击,成为勒索软件攻击数量最多的一年[1]。Chainalysis的报告显示,数据泄露网站上的披露数量也不断上升[1]。世界财富50强企业、美国药品分销巨头Cencora甚至向“黑暗天使”(Dark Angels)勒索软件组织支付了创纪录的7 500万美元(约合人民币5.28亿元)[1]。
相应地,越来越多网络安全企业投入到了反勒索病毒的技术和产品研发之中。然而,目前针对勒索病毒软件的防护思路主要集中在依靠监测勒索攻击的准备和投递环节,结合威胁情报,在病毒攻击的前期渗透阶段进行预警和阻断[2-3],而对于攻击进行中的实时检测和分析机制相对较少,特别是针对勒索病毒的本质和核心技术[4]——加密行为的指令级监测和预警方法尚未见提及和应用。
根据对已知勒索病毒软件技术原理和攻击过程的研究,勒索攻击前期的准备和投递环节主要体现为渗透扩散、遍历检索、代码伪装等行为,病毒不断进行相应调整和改变生成新的变种,以应对主流的检测方法,但其核心加密算法却不会出现大的变化。因而对核心加密行为的识别和拦截才是对病毒攻击中期的防护关键。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006645
作者信息:
靳京
(奇安信网神信息技术(北京)股份有限公司,北京100085)
