卡巴斯基新技術可使勒索軟體「免殺技術」失效

5月28日，卡巴斯基實驗室亞太區病毒中心負責人董岩對外宣布，「卡巴斯基的檢測與防禦技術發展有了新的進展。在雲端，卡巴斯基的惡意軟體分析系統所擁有的自主虛擬化平台可以避開惡意軟體對虛擬化平台的檢測，而且惡意軟體在虛擬分析系統中的運行速度與真實環境無異。」

他同時表示，除了對勒索軟體的特定行為、代碼進行檢測外，卡巴斯基的分析系統還可以針對勒索軟體的一般行為進行分析檢測，這使得它能夠檢測未知的勒索軟體。比如，WannaCry最初的版本就是由這種技術檢測出來的。此外，卡巴斯基雲端分析系統還可以對勒索軟體的對抗手段進行檢測，如長循環與反射載入。

打開今日頭條，查看更多圖片

卡巴斯基實驗室亞太區病毒中心負責人董岩

2017年，陸續爆發的永恆之藍(WannaCry)、壞兔子、Petya等勒索軟體，使政府、教育、醫院、能源、通信、製造業等眾多關鍵信息基礎設施領域遭受到了前所未有的重大損失。

正當企業下定決心將防護勒索軟體攻擊進行到底時，勒索軟體已經開始了默默的反擊。2018年以來，勒索軟體複雜性和變種的速度均有所增加，並通過使用各種混淆技術、更精細的設計確保攻擊的準確性。

最初WannaCry版本的樸素界面

當今網路世界，勒索軟體威脅持續發生，卡巴斯基實驗室對勒索軟體的研究從來沒有停止過，近期，卡巴斯基實驗室就解析勒索軟體的發展與攻防技術做了很好的詮釋。

自1989年AIDS/PC Cyborg 勒索病毒開始。勒索軟體通常由兩種形式：一是鎖屏類，即鎖定用戶計算機或手機，要求受害用戶支付贖金解鎖;二是加密類，即加密用戶文件，要求受害用戶支付贖金解密文件。目前我們遇到的基本都是文件加密類的勒索軟體。

勒索軟體感染破壞的一般過程：勒索軟體作者使用對稱加密演算法加密用戶文件，用非對稱加密演算法保護密鑰。而密鑰長度足夠的話，可以說是無法破解的。

卡巴斯基對WannaCry和ExPetr的特點進行了分析。WannaCry與其前一版本並無本質區別，但因為引入了永恆之藍漏洞利用，使其造成了短時間內爆髮式的感染。通過卡巴斯基樣本溯源系統，卡巴斯基研究人員發現了WannaCry的最初版本，並發現其與朝鮮Lazarus攻擊孟加拉銀行所用的Contopee後門有共同的代碼。

GandCrab使用Nsis混淆包裝自身

ExPetr在內網傳播方面除了使用了永恆之藍漏洞利用，還會利用APT攻擊的手法在內網中進行橫向移動。而ExPetr與2015年底攻擊烏克蘭電站的BlackEnergy硬碟擦除程序有相似代碼，這也使研究人員認為ExPetr可以溯源至開發BlackEnergy的攻擊組織——著名的俄羅斯APT攻擊組織Sofacy。

對國內流行的GlobeImposter和GandCrab的特點進行了分析。兩者都使用了長循環、反射載入等多種方法對抗安全軟體、安全廠商的分析系統，使得沒有優秀主動防禦系統的安全軟體無法抵禦它們的攻擊。

然而，對於這一切，卡巴斯基的先進反病毒技術顯得遊刃有餘。

「在客戶端，我們同樣有先進的技術手段防禦勒索軟體。除了傳統的靜態文件分析和啟發式分析技術外，卡巴斯基的主動防禦系統可以在勒索軟體運行的同時分析其行為，當發現其行為符合勒索軟體行為模式時將其阻斷，並回滾一切其進行的操作，恢復被勒索軟體加密的文件和被勒索軟體修改的註冊表設置。」董岩表示，卡巴斯基還引入了基於局部敏感哈希技術的VisHash技術，這使得可以使用一個VisHash通殺一批相似的惡意軟體樣本，也使部分病毒採用的簡單「免殺技術」無效，比如，2018年曾在國內肆虐的GlobeImposter樣本其實代碼彼此都很相似，而這些樣本都可以被一個VisHash覆蓋。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！