5月28日,卡巴斯基实验室亚太区病毒中心负责人董岩对外宣布,“卡巴斯基的检测与防御技术发展有了新的进展。在云端,卡巴斯基的恶意软件分析系统所拥有的自主虚拟化平台可以避开恶意软件对虚拟化平台的检测,而且恶意软件在虚拟分析系统中的运行速度与真实环境无异。”
他同时表示,除了对勒索软件的特定行为、代码进行检测外,卡巴斯基的分析系统还可以针对勒索软件的一般行为进行分析检测,这使得它能够检测未知的勒索软件。比如,WannaCry最初的版本就是由这种技术检测出来的。此外,卡巴斯基云端分析系统还可以对勒索软件的对抗手段进行检测,如长循环与反射加载。
卡巴斯基实验室亚太区病毒中心负责人董岩
2017年,陆续爆发的永恒之蓝(WannaCry)、坏兔子、Petya等勒索软件,使政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域遭受到了前所未有的重大损失。
正当企业下定决心将防护勒索软件攻击进行到底时,勒索软件已经开始了默默的反击。2018年以来,勒索软件复杂性和变种的速度均有所增加,并通过使用各种混淆技术、更精细的设计确保攻击的准确性。
最初WannaCry版本的朴素界面
当今网络世界,勒索软件威胁持续发生,卡巴斯基实验室对勒索软件的研究从来没有停止过,近期,卡巴斯基实验室就解析勒索软件的发展与攻防技术做了很好的诠释。
自1989年AIDS/PC Cyborg 勒索病毒开始。勒索软件通常由两种形式:一是锁屏类,即锁定用户计算机或手机,要求受害用户支付赎金解锁;二是加密类,即加密用户文件,要求受害用户支付赎金解密文件。目前我们遇到的基本都是文件加密类的勒索软件。
勒索软件感染破坏的一般过程:勒索软件作者使用对称加密算法加密用户文件,用非对称加密算法保护密钥。而密钥长度足够的话,可以说是无法破解的。
卡巴斯基对WannaCry和ExPetr的特点进行了分析。WannaCry与其前一版本并无本质区别,但因为引入了永恒之蓝漏洞利用,使其造成了短时间内爆发式的感染。通过卡巴斯基样本溯源系统,卡巴斯基研究人员发现了WannaCry的最初版本,并发现其与朝鲜Lazarus攻击孟加拉银行所用的Contopee后门有共同的代码。
GandCrab使用Nsis混淆包装自身
ExPetr在内网传播方面除了使用了永恒之蓝漏洞利用,还会利用APT攻击的手法在内网中进行横向移动。而ExPetr与2015年底攻击乌克兰电站的BlackEnergy硬盘擦除程序有相似代码,这也使研究人员认为ExPetr可以溯源至开发BlackEnergy的攻击组织——著名的俄罗斯APT攻击组织Sofacy。
对国内流行的GlobeImposter和GandCrab的特点进行了分析。两者都使用了长循环、反射加载等多种方法对抗安全软件、安全厂商的分析系统,使得没有优秀主动防御系统的安全软件无法抵御它们的攻击。
然而,对于这一切,卡巴斯基的先进反病毒技术显得游刃有余。
“在客户端,我们同样有先进的技术手段防御勒索软件。除了传统的静态文件分析和启发式分析技术外,卡巴斯基的主动防御系统可以在勒索软件运行的同时分析其行为,当发现其行为符合勒索软件行为模式时将其阻断,并回滚一切其进行的操作,恢复被勒索软件加密的文件和被勒索软件修改的注册表设置。”董岩表示,卡巴斯基还引入了基于局部敏感哈希技术的VisHash技术,这使得可以使用一个VisHash通杀一批相似的恶意软件样本,也使部分病毒采用的简单“免杀技术”无效,比如,2018年曾在国内肆虐的GlobeImposter样本其实代码彼此都很相似,而这些样本都可以被一个VisHash覆盖。