恶意软件疫苗如何阻止勒索软件的肆虐

本文探讨了恶意软件疫苗技术如何通过创建感染标记来欺骗勒索软件,使其放弃感染Windows系统。文章详细介绍了疫苗的工作原理、技术实现方式以及行业专家对这一新兴安全技术的不同观点和展望。

恶意软件疫苗如何阻止勒索软件的肆虐

网络安全专家正在探索是否可以通过感染欺骗代码为Windows系统提供免疫防护

疫苗工作原理

通常,当勒索软件进入Windows机器时,它会首先扫描缓存内存、注册表键、文件路径和运行进程,以检查系统是否已被感染、是否运行在恶意软件分析师的计算机上,或者是否试图在虚拟机的沙盒环境中运行。

如果发现任何这些迹象,它就会放弃;但如果没有,勒索软件会向网络犯罪分子的服务器发送消息并开始下载有效载荷,然后窃取数据、锁定文件并要求赎金。

到目前为止,疫苗的工作原理是在Windows系统上创建"感染标记"来欺骗恶意软件放弃攻击,方法包括在PC上放置小型诱饵文件、编辑注册表或创建假的互斥对象。

技术实现方式

诱饵文件的问题较小,因为当它们执行时实际上不会做任何事情,但如果恶意软件查看当前在机器上运行的进程,它会看到"mal.exe"或"vmware-vmx.exe"等程序正在运行,从而推断该机器要么已被感染,要么正在运行流行的虚拟机软件。

编辑注册表会产生更严重的后果,但已成功用于禁用恶意软件,例如当Binary Defense的研究人员在2020年创建EmoCrash终止开关时。研究员James Quinn使用PowerShell脚本创建具有"null"数据值的假注册表键,导致银行木马Emotet溢出并崩溃,从而无法运行。

另一个例子涉及互斥标志,它控制Windows资源并允许一个进程使用互斥对象控制共享资源。只有当进程结束时,另一个进程才能接管。恶意软件也需要使用互斥体来运行其有效载荷,因此如果你能说服它有效载荷已经在运行,它就会在访问内核之前退出并停止运行。这就是Recorded Future对Rhadamanthys数据窃取恶意软件所做的。

疫苗应针对恶意软件家族

虽然这些疫苗听起来都很聪明,但问题是如果你只针对一种恶意软件,永远无法开发出足够的疫苗,而且疫苗文件可能会干扰合法软件或系统行为。

此外,疫苗越容易实施,威胁行为者就越容易通过一些小的代码更改来绕过它。Binary Defense表示,其终止开关仅工作了六个月就被Emotet的作者修补了。

“下一阶段必须是一种影响多个恶意软件家族的疫苗,“Grosfelt说。他和团队的另一名成员作为业余爱好者在逆向工程恶意软件时提出的想法是,你可以在PowerShell配置文件中挂钩命令,这样每次运行命令时,它都会返回一个特定值。如果你能重命名该值,就可以欺骗多种数据窃取恶意软件,这些恶意软件在执行有效载荷前都以相同方式扫描PC。

例如,可以修改PowerShell配置文件以显示"IsVirtualMachine = true”。PC的操作系统中实际上没有任何变化,也没有任何虚拟机软件在运行,但恶意软件不知道这一点。

为什么恶意软件疫苗尚未普及?

恶意软件疫苗目前很少见,尽管所有接受The Register采访的专家都承认它们自1980年代以来就一直存在。

事实上,开发感染标记的想法在2012年就在IEEE期刊上发表了,但此后再也没有关于它的文章。专家们表示,网络安全行业中没有人认真致力于使疫苗商业化。

Grosfelt的团队仅考虑恶意软件疫苗一年时间,他告诉The Register,有几家公司曾在2019年尝试将恶意软件疫苗商业化,但似乎没有取得太大成功。

“端点检测与响应(EDR)市场巨大,由Google、Microsoft和CrowdStrike等行业所有大公司控制,因此一家新公司出现并说’哦,这里也有疫苗’——我很容易看出它们可能被其他EDR供应商吞没,“他说。

行业合作现状

佐治亚理工学院网络安全与隐私学院的副教授Brendan Saltaformaggio表示:“任何类型的网络安全实践标准化仍处于起步阶段,这因国家甚至地区而异,但在网络安全方面,我们确实缺乏明确的标准指导,尤其是在不同行业之间。”

他领导一个实验室,过去五年分析了全球数百个感染恶意软件的Android设备,开发了一个名为Echo的自动化工具,可以检测与僵尸网络相关的恶意软件菌株,自动生成疫苗,并通过互联网立即将其分发给受害设备。

Saltaformaggio补充说,多年来一直难以让企业、关键基础设施提供商或政府分享有关网络攻击的信息,因为这被视为没有人愿意承认的"污点”。

不同观点

然而,StrikeReady的首席技术官Alex Lanstein不同意恶意软件疫苗的概念,因为根据他的经验,它们在企业网络上效果不佳。“对于家庭用户来说,使用这些技术没有缺点,或者如果你是一个拥有足够资源的组织,拥有网络安全分析师测试每种疫苗。”

“对企业来说,这是一种有趣的方法,但它解决的问题比例不够大,不值得。”

公开资助网络安全的必要性

根据Saltaformaggio的说法,还有理由为网络安全研究和培训提供更多公共资金,他的实验室由国家科学基金会(NSF)、DARPA和海军研究办公室资助。

“我们危险地接近网络安全的专制——你不想让它成为富人的特征,“他警告说。“网络安全背后有真正的科学,资助这些科学以公开可用的发现绝对至关重要[以及]弥合将这些发现从实验室转移到人们手中的差距。”

Surrey大学的Woodward教授表示:“我们需要更多资金投入网络安全人员培训。目前,招聘人员正在寻找人员进行消防,但我们仍然需要一些人进行基础研究,这应该由公共资助,如果仅仅因为这是一个英国范围和国际问题的话。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次