使用CipherTrust透明加密勒索软件保护阻止勒索软件的传播

news2024/12/28 23:55:18

  Thales实验室对十起勒索攻击的软件进行测试,效果理想。另外对于这些常见的勒索攻击方式也进行了大量模拟,都很好的进行了保护。

  BleepingComputer.com上的文章涵盖了过去几个月(2024年1月至3月)最近的勒索软件攻击。本博客将展示,如果在这些受攻击的公司和政府组织中安装了Thales CipherTrust透明加密勒索软件保护(CTE-RWP),他们的数据将得到保护和安全。

  首先,让我们回顾一下当今网络安全专业人员使用的一些常见的勒索软件检测方法:行为、签名、二进制检测。

  基于签名

  许多勒索软件防护产品都是基于签名的。他们通过计算进程机器码的哈希值来识别给定的勒索软件,并将其与已知勒索软件签名的数据库进行比较。因此,这个勒索软件一定是之前被发现过并被添加到数据库中。然而,对原始勒索软件源代码的任何调整和重建都将绕过这种基于签名的解决方案。一个典型的例子是名为Sugar的勒索软件,它有大约200个版本,所以有200个不同的签名。

  二进制检查

  BasedOther勒索软件保护产品通过搜索可执行二进制文件来检测勒索软件,以寻找勒索软件进程的商标,例如看起来是赎金通知的文本,或指向加密库的链接。一些勒索软件程序通过混淆勒索信,甚至可执行的机器代码,在执行之前解密自己的二进制代码来规避这种检测。因此,在进程加载时不会检测到它。

  基于行为

  现在进入基于行为的解决方案。基于行为的勒索软件保护产品依赖于该勒索软件的行为,无论是在攻击时,还是在启动时,因为它准备攻击。CTE-RWP是基于行为的。CTE-RWP不仅监视典型行为,而且除了其他基于勒索软件保护行为的产品外,CTE-RWP还用抽象原则强调了这些技术。

  一个关键点是CTE-RWP利用了所谓的非同步销毁。考虑一下烤蛋糕和吃蛋糕的类比。一个人烤一个蛋糕,每个步骤的顺序必须是同步的,但很多人可以同时吃掉或毁掉蛋糕。

  同样,勒索软件的行为倾向于不同步类型的行为。您将看到许多文件被一个进程中的许多不同线程删除,它们之间没有顺序地随机来回切换。为什么?因为勒索软件并不关心你的数据。他们只是想快速加密您的数据并销毁任何原始副本,而不涉及同步。不同步破坏只是CTE-RWP关注的类似勒索软件行为的特征之一。

  这些原则的基础是通过加密来监视文件内或跨文件的清晰读写操作的基本技术。CTE-RWP可以检测到这种异常的清除-读取-加密-写入行为,并经常在分页IOs将加密页面写入磁盘之前快速阻止该进程。数学方差、字节值频率、节的可压缩性和其他测量可以帮助CTE-RWP确定在读取和写入从透明数据到加密数据的过程中,整个文件是否发生了变化,无论是在该文件中还是在另一个文件中。

  CTE-RWP的错误命中率非常低,使用可专利的技术来区分好行为和坏行为。最后,如果一个进程仍然短暂地表现出类似勒索软件的行为,那么CTE-RWP将提供一个豁免进程列表。防病毒软件属于这一类,因为它们扫描清除文件,但随后将加密的日志条目写入其日志。这可以在短时间内模拟勒索软件的行为。

  结果

  在泰雷兹实验室,我们测试了最近新闻报道的10起勒索软件攻击,CipherTrust透明加密勒索软件保护提醒并阻止了所有10起攻击。

  在我们的实验室中,我们在vx-underground研究网站上选择了最近10次可以找到相应勒索软件的攻击,并使用该勒索软件攻击自己,以观察CTE-RWP的行为。最近测试的10个勒索软件是:

  1 Lockbit

  2 BlackBasta

  3 Rhysida

  4 Hive

  5 Akira

  6 Trigona

  7 Play

  8 BianLian

  9 MedusaLocker

  10 Phobos

  在任何攻击之前、期间或之后都没有进行代码更改、阈值更改或任何其他更改。这是对已经发布的CTE-RWP产品的开箱即用测试,使用的是在新闻中提到的任何攻击之前创建的构建。

  在其中的9个案例中,我们在任何加密数据进入磁盘之前立即检测并阻止了每一次勒索软件攻击。在第10种情况下,在磁盘被阻塞之前,磁盘上最多有5个小文件被加密。

  在每种情况下,CTE-RWP都能够通过观察清除-读取-加密-写入的IO模式来检测每个勒索软件的行为,使用前面提到的数学方差、字节值频率和部分可压缩性的测量来确定读/写的数据是加密的还是清除的。清除读取和加密写入是勒索软件活动的关键指标。

  正在进行的实时勒索软件测试

  我们现在已经测试了55个保存在vx-underground.org恶意软件研究网站上的勒索软件,CTE-RWP检测并阻止了所有勒索软件。我们会继续监察vx-underground网站是否有新的勒索软件出现。

  如前所述,如果CTE-RWP被安装在受到这些勒索软件攻击的公司、政府实体或其他地方,他们就会很好地证实基于行为的勒索软件保护方法的力量。

  关于Thales泰雷兹

  你依靠来保护你的隐私的人依靠Thales来保护他们的数据。在涉及到数据安全方面,组织面临着越来越多的决定性时刻。无论现在是建立一个加密策略,转移到云计算,还是满足合规要求,您都可以依赖Thales来确保您的数字转型。

  决定决定性时刻的决定性技术。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1613710.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

强固型工业电脑在码头智能闸口、OCR(箱号识别)、集装箱卡车车载电脑行业应用

集装箱卡车车载电脑应用 背景介绍 针对码头集装箱卡车的调度运用, 结合码头TOS系统设计出了各种平台的车载电脑(VT系列)和车载LED显示屏(VLD系列),同时提供各种安装支架,把车载电脑固定到狭小的驾驶室中;同时提供了各种天线选择(…

IEEE PDF eXpress Validating Pdf..之后Error in converting file

在将自己写好的pdf论文转化为IEEE出版的pdf论文格式的时候,错误如下图: 解决办法如下:失败之后,那里有一个选项按钮,叫做manual request,也就是人工转换,点那个申请就可以了,然后也挺…

PostCSS概述与指南:轻松应对浏览器兼容性与CSS优化!

PostCSS是一个用于处理CSS的工具,它可以让开发者使用最新的CSS特性,而不需要担心浏览器兼容性问题。PostCSS通过将CSS解析成抽象语法树(AST),然后对AST进行操作,最后再生成新的CSS。这样,开发者…

Redis详解和Spring Data Redis应用

注意事项 如何快速进入命令行窗口什么是配置类 Redis简介 Redis是一个开源的使用ANSI C语言编写的、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。它通常被称为数据结构服务器,因为值(value&#xff09…

遇到you-get下载报错问题解决

pip3 install you-get安装这里就不赘述了,如果你还不会安装,说明这篇文章不适合你,这篇文章主要解决当执行you-get的报错: 当然你可以加选项–debug具体看一下到底报什么错。 第一步 替换文件 首先,我们下载仓库最新…

基于函数计算FC3.0 部署AI数字绘画stable-diffusion自定义模型

基于函数计算FC3.0 部署AI数字绘画stable-diffusion自定义模型 部署AI数字绘画stable-diffusion曲线救国授权github账号 部署ffmpeg-app-v3总结 在讲述了函数计算FC3.0和函数计算FC2.0的操作界面UI改版以及在函数管理、函数执行引擎、自定义域名、函数授权及弹性伸缩规则方面进…

java中的异常机制

异常原理分析 在我们编写一个代码的时候必然会出现这样那样的问题,这些问题可能是明显的,也有可能是不明显的。从理论上来说,一个程序员应当具备处理代码出现的大多数问题的能力,但是这并不意味着程序员要思考处理所有的代码问题。…

从零开始的vscode配置及安装rust教程

配置vscode的rust环境 下载安装vscodemac 环境1. 下载安装rust2. 配置 mac vscode环境3. 创建一个测试项目 windows 环境1. 安装c运行环境2. 安装配置rustup3. 配置windows vscode环境4. 创建一个测试项目 下载安装vscode 1.官网应用程序下载 vscode:https://code.v…

Mogdb 5.0新特性:SQL PATCH绑定执行计划

前言 熟悉Oracle的dba都知道,生产系统出现性能问题时,往往是SQL走错了执行计划,紧急情况下,无法及时修改应用代码,dba可以采用多种方式针对于某类SQL进行执行计划绑定,比如SQL Profile、SPM、SQL Plan Base…

Git多人协作开发

1、创建分支(在码云上) (1)在本地查看我们本地指向远程的分支:git branch -r (2)我们在码云上新建了个dev分支,我们将dev分支拉取到本地:git pull (3&#…

2.1K Star微软开源的高质量 iot库

功能描述 该项目是一个开源的 .NET Core 实现,旨在帮助开发者构建适用于物联网(IoT)设备和场景的应用程序。它提供了与传感器、显示器和输入设备等相互作用所需的 GPIO 引脚、串口等硬件的接口。该仓库包含 System.Device.Gpio 库以及针对各种板卡(如 Ra…

学习51单片机 C语言知识

一、数据类型 C 语言包含的数据类型如下图所示 C51 的数据类型分为基本数据类型和组合数据类型,情况与标准 C 中的数据类型基本相同,但其中 char 型与 short 型相同,float 型与 double 型相同,另外,C51 中还有专门针…

大多企业搞错了!TRIZ的培训不是目的,应用才是

近年来,企业对于员工的培训投入越来越大,尤其是在引入TRIZ等先进方法论方面。然而,许多企业在实施过程中却陷入了一个误区:将培训本身视为目的,而非将其应用于实际工作和问题解决中。天行健六西格玛培训公司解析如下&a…

【未完成】【QT+OpenCV】车牌号检测 学习记录 遇到的问题

【QTOpenCV】车牌号检测 学习记录 首先在QT里面配置好OpenCV .pro文件中加入: INCLUDEPATH G:/opencv/build/include LIBS -L"G:/opencv/build/x64/vc14/lib"\-lopencv_core \-lopencv_imgproc \-lopencv_highgui \-lopencv_ml \-lopencv_video \-lo.c…

Python 全栈安全(三)

原文:annas-archive.org/md5/712ab41a4ed6036d0e8214d788514d6b 译者:飞龙 协议:CC BY-NC-SA 4.0 第十一章:OAuth 2 本章内容 注册 OAuth 客户端 请求对受保护资源的授权 授权而不暴露身份验证凭据 访问受保护的资源 OAuth …

Python 全栈安全(四)

原文:annas-archive.org/md5/712ab41a4ed6036d0e8214d788514d6b 译者:飞龙 协议:CC BY-NC-SA 4.0 第十五章:内容安全策略 本章涵盖 使用 fetch、navigation 和 document 指令编写内容安全策略 使用 django-csp 部署 CSP 使用报…

【C++】学习笔记——类和对象_3

文章目录 二、类和对象11. 析构函数(补)12. 拷贝构造函数13. 运算符重载 未完待续 二、类和对象 11. 析构函数(补) 析构函数并不是销毁对象,对象的销毁是由编译器完成的,析构函数的作用是清理&#xff0c…

java-Spring-bean的生命周期

定义 程序中的每个对象都有生命周期,对象的创建、初始化、应用、销毁的整个过程称之为对象的生命周期; 在对象创建以后需要初始化,应用完成以后需要销毁时执行的一些方法,可以称之为是生命周期方法; 在spring中&…

<计算机网络自顶向下> 可靠数据传输的原理

可靠数据传输(rdt:Reliable Data Transfer)的原理 rdt在应用层,传输层和数据链路层都很重要是网络TOP10问题之一信道的不可靠特点决定了可靠数据传输rdt的复杂性rdt_send: 被上层(如应用层)调用&#xff0…

AI安全之问:我们的智能助手真的安全吗?

在我们日益依赖人工智能来撰写文档、编写程序代码、甚至创作艺术作品的今天,我们是否曾经想过这些智能系统可能面临的被恶意操纵的风险? 分享几个网站 GPT-3.5研究测试: https://hujiaoai.cn GPT-4研究测试: https://higpt4.cn…