您当前的位置是:  首页 > 资讯 > 国内 >
 首页 > 资讯 > 国内 >

CheckPoint 勒索软件、预防当先

2019-05-28 13:37:39   作者:   来源:CTI论坛   评论:0  点击:


  2018年1月,一款名为GandCrab的勒索软件横空出世。在开始阶段,GandCrab曾通 过U盘蠕虫、邮件捆绑Dropper、利用永恒之蓝漏洞等方式进行传播,攻并通过顶级漏洞 利用工具包(Exploit Kit)RIG来寻找计算机系统中的软件漏洞,并在未经受害者许可的情 况下安装GandCrab。一旦侵入成功,该软件将对电脑中高达300余类文件(包 括Word、PDF、Excel、图像文件等)使用Salsa20算法加密,继而通过RSA算法加 密Salsa20秘钥,至此,除非通过攻击者留下的信息购买秘钥,否则受害者所有文件将无 法正常使用。
  事实上,勒索软件的历史由来已久,真正使GandCrab成为危害巨大且仍在继续肆虐 的原因则在于其始作俑者“推陈出新“的传播方式以及改软件不断迭代挑战传统杀毒模式的 速率与效果。GandCrab采用了时下流行的勒索软件即服务(Ransomware-as-aservice,RaaS)方式在暗网平台上进行出售。不同于一般不法分子的低调,其创始者甚 至于今年二月在暗网论坛上放出自己的“收入”详情以吸引更多关注与购买。
  这种“代理”模式带来的关注与“受益”,它的“幕后黑手”也就更有动力对其进行更新迭 代。截止2019年3月,这款软件已经来到了最新的5.2版本。在历次迭代中,创作者都紧跟 技术发展,不停更新可以利用的漏洞。在19年的主要更新中,GandCrab不仅增加了主页 挂马的传播方式,其漏洞工具包Fallout Exploit Kit近期也进行了更新,添加了对CVE2018-4878(Adobe Flash Player漏洞)、以及CVE-2018-8174(Windows VBScript引擎 远程代码执行漏洞)的漏洞利用。源于这样快速、激进的迭代,传统被动的静态查杀方式 无法有效应对GandCrab的威胁,因此它成为了近两年危害排名极高的勒索软件之一。
  GandCrab是否是无解的?答案其实是否定的,在Check Point安全专家眼中,通过软 件行为分析,配合人工智能的病毒库梳理,可以使该类勒索软件无处遁形。Check Point 安全专家指出,包括GandCrab在内的勒索病毒,其运作方式往往来自与利用Windows默 认工具(如PowerShell,Windows Management Instrumentation)的漏洞。因此,其运 作方式在传统静态查杀环境中,经常会被视为合法,这也正是此类勒索软件能够顺利侵入 用户系统的主因之一。然而,通过Check Point Behavioral Guard (行为分析) 与SandBlast Forensics,用户或安全管理人员可以在恶意软件运行前就得到威胁分析报 告,从而获知其潜在影响。同时,通过Check Point业界领先的行为分析引擎,非法使用 默认工具的编码会在第一时间被识别并加以阻断,从而使其不对正常运行产生危害。此 外,Check Point安全解决方案在甄别恶意软件前,将对重要数据及文件进行快照,这意 味着用户受到零日安全威胁时,其核心业务仍可不被中断。


  在当下,数字资产已经被视为企业与个人的核心资产,这也是不法分子谋取利益的主 要源动力。依托大数据与AI,为用户交付更加灵捷、智能的安全解决方案;通过主动预防 的方式帮助用户料敌机先、规避风险,是Check Point为全球众多用户带来的最大价值之 一。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业