Thales实验室对十起勒索攻击的软件进行测试,效果理想。另外对于这些常见的勒索攻击方式也进行了大量模拟,都很好的进行了保护。
BleepingComputer.com上的文章涵盖了过去几个月(2024年1月至3月)最近的勒索软件攻击。本博客将展示,如果在这些受攻击的公司和政府组织中安装了Thales CipherTrust透明加密勒索软件保护(CTE-RWP),他们的数据将得到保护和安全。
首先,让我们回顾一下当今网络安全专业人员使用的一些常见的勒索软件检测方法:行为、签名、二进制检测。
基于签名
许多勒索软件防护产品都是基于签名的。他们通过计算进程机器码的哈希值来识别给定的勒索软件,并将其与已知勒索软件签名的数据库进行比较。因此,这个勒索软件一定是之前被发现过并被添加到数据库中。然而,对原始勒索软件源代码的任何调整和重建都将绕过这种基于签名的解决方案。一个典型的例子是名为Sugar的勒索软件,它有大约200个版本,所以有200个不同的签名。
二进制检查
BasedOther勒索软件保护产品通过搜索可执行二进制文件来检测勒索软件,以寻找勒索软件进程的商标,例如看起来是赎金通知的文本,或指向加密库的链接。一些勒索软件程序通过混淆勒索信,甚至可执行的机器代码,在执行之前解密自己的二进制代码来规避这种检测。因此,在进程加载时不会检测到它。
基于行为
现在进入基于行为的解决方案。基于行为的勒索软件保护产品依赖于该勒索软件的行为,无论是在攻击时,还是在启动时,因为它准备攻击。CTE-RWP是基于行为的。CTE-RWP不仅监视典型行为,而且除了其他基于勒索软件保护行为的产品外,CTE-RWP还用抽象原则强调了这些技术。
一个关键点是CTE-RWP利用了所谓的非同步销毁。考虑一下烤蛋糕和吃蛋糕的类比。一个人烤一个蛋糕,每个步骤的顺序必须是同步的,但很多人可以同时吃掉或毁掉蛋糕。
同样,勒索软件的行为倾向于不同步类型的行为。您将看到许多文件被一个进程中的许多不同线程删除,它们之间没有顺序地随机来回切换。为什么?因为勒索软件并不关心你的数据。他们只是想快速加密您的数据并销毁任何原始副本,而不涉及同步。不同步破坏只是CTE-RWP关注的类似勒索软件行为的特征之一。
这些原则的基础是通过加密来监视文件内或跨文件的清晰读写操作的基本技术。CTE-RWP可以检测到这种异常的清除-读取-加密-写入行为,并经常在分页IOs将加密页面写入磁盘之前快速阻止该进程。数学方差、字节值频率、节的可压缩性和其他测量可以帮助CTE-RWP确定在读取和写入从透明数据到加密数据的过程中,整个文件是否发生了变化,无论是在该文件中还是在另一个文件中。
CTE-RWP的错误命中率非常低,使用可专利的技术来区分好行为和坏行为。最后,如果一个进程仍然短暂地表现出类似勒索软件的行为,那么CTE-RWP将提供一个豁免进程列表。防病毒软件属于这一类,因为它们扫描清除文件,但随后将加密的日志条目写入其日志。这可以在短时间内模拟勒索软件的行为。
结果
在泰雷兹实验室,我们测试了最近新闻报道的10起勒索软件攻击,CipherTrust透明加密勒索软件保护提醒并阻止了所有10起攻击。
在我们的实验室中,我们在vx-underground研究网站上选择了最近10次可以找到相应勒索软件的攻击,并使用该勒索软件攻击自己,以观察CTE-RWP的行为。最近测试的10个勒索软件是:
1 Lockbit
2 BlackBasta
3 Rhysida
4 Hive
5 Akira
6 Trigona
7 Play
8 BianLian
9 MedusaLocker
10 Phobos
在任何攻击之前、期间或之后都没有进行代码更改、阈值更改或任何其他更改。这是对已经发布的CTE-RWP产品的开箱即用测试,使用的是在新闻中提到的任何攻击之前创建的构建。
在其中的9个案例中,我们在任何加密数据进入磁盘之前立即检测并阻止了每一次勒索软件攻击。在第10种情况下,在磁盘被阻塞之前,磁盘上最多有5个小文件被加密。
在每种情况下,CTE-RWP都能够通过观察清除-读取-加密-写入的IO模式来检测每个勒索软件的行为,使用前面提到的数学方差、字节值频率和部分可压缩性的测量来确定读/写的数据是加密的还是清除的。清除读取和加密写入是勒索软件活动的关键指标。
正在进行的实时勒索软件测试
我们现在已经测试了55个保存在vx-underground.org恶意软件研究网站上的勒索软件,CTE-RWP检测并阻止了所有勒索软件。我们会继续监察vx-underground网站是否有新的勒索软件出现。
如前所述,如果CTE-RWP被安装在受到这些勒索软件攻击的公司、政府实体或其他地方,他们就会很好地证实基于行为的勒索软件保护方法的力量。
关于Thales泰雷兹
你依靠来保护你的隐私的人依靠Thales来保护他们的数据。在涉及到数据安全方面,组织面临着越来越多的决定性时刻。无论现在是建立一个加密策略,转移到云计算,还是满足合规要求,您都可以依赖Thales来确保您的数字转型。
决定决定性时刻的决定性技术。