針對勒索軟件,備份供應商通常都會這樣建議用戶:“只需將系統回滾至感染發生前的那一刻,你就能在幾秒鐘內恢復業務運營。”但是問題是我們怎么斷定感染發生在哪個具體時刻。
今天的勒索軟件正試圖讓感染更加難以檢測,從而最大幅度地提升收入。典型的感染并不是立即展現出來的,而需要有一段間隔時間,然后慢慢進行破壞。Canary文件類型是防止勒索軟件的方式之一,能夠在攻擊滲透到網絡中時迅速通知到用戶。
勒索軟件攻防戰的演變
早期的勒索軟件會盡可能快的將一切數據加密,在有人反應之前產生更大的破壞。這時應用程序會立即停止工作,但是快速攻擊使得感染點更容易被檢測到,通常是未打補丁的桌面。
一些聰明的企業會讓他們的員工關閉電腦以減少感染的傳播。備份供應商和他們的客戶擅長應對這類感染。許多支持虛擬化的備份技術可以還原至最近一次備份點。這些虛擬機的回滾恢復非常迅速,并且所恢復的是整個虛擬機,而非單個文件。因此許多企業組織能夠在幾分鐘時間內根除勒索軟件造成的感染。快速檢測和恢復操作可以完全取代贖金。于是,勒索軟件作者開始注意并改變其軟件工作模式。
今天的攻擊變得更為隱蔽,因此針對這類攻擊需要更為復雜的保護措施。攻擊或許只能封印其找到的備份文件,然后將其進行壓縮。這樣做的目的是在程序被檢測出之前盡可能長時間的進行封印。假如用戶需要一段時間才注意到有價值的文件遭到惡意加密,那么回滾操作便會更為困難。例如,假如我們需要將完整虛擬機恢復至一小時之前,那么在此期間所有的生產數據都將丟失。而如果我們要恢復一周之前的虛擬機,那么這便是一個天大的問題了。我們或許要識別出每個受感染的文件,僅將其逐一恢復,找到和選擇性恢復過程非常艱難,而且通常需要手動完成。
恢復到一周前的數據,或者等待一周的時間來恢復正確的文件,這樣都需要耗費大量的工作。在這種情況下,只用乖乖繳納贖金便變得更有吸引力。勒索軟件潛伏在你的環境中的時間越長,你支付贖金的概率便越大。
Canary文件類型:快速檢測感染
打擊這種潛伏模式的方式之一是盡可能快地發現感染。Canary文件類型能夠快速識別出感染的發生,有助于抑制勒索軟件。Canary文件類型就像是煤礦中的金絲雀:通過犧牲自己來測試出危險。Canary共享文件類型成為了檢測勒索軟件感染的誘餌,但其數據對企業并無價值。該共享文件類型僅用于快速的感染檢測。
通常來說,文件的共享文件夾會和企業的實際數據混合存放。反惡意軟件會觀測Canary文件。緊盯住少量的Canary文件比追蹤企業組織中每個共享文件夾中的每個文件要容易許多。普通用戶和應用進程永遠不會接觸到Canary文件。假如該文件出現任何更改,那么出現惡意軟件的幾率就大幅上升。變更文件的更新時間戳、文件大小、文件名或檢驗碼都意味著其已遭篡改。
由于這些文件永遠不會被真實的用戶訪問,任何讀寫操作都代表著威脅的出現。Canary文件甚至會被文件掃描操作觸發,因為真正的用戶通常不會連接到它們。一旦出現可以訪問,檢測系統就可以進入主動模式,并開始隔離系統。經過快速檢測,對整個虛擬機進行恢復的影響減弱許多。
更復雜的Canary系統甚至會對自身進行修改。由于惡意軟件開發者被迫在其行動中變得更為隱蔽,以提防“金絲雀”。許多具有相同文件創造和最后訪問日期的文件會被惡意軟件認識到是紅色禁區,因此看起來更像真實用戶訪問數據的金絲雀文件類型將更為有效。這些文件應該定期更新、創造新的文件,而文件訪問日期戳在共享文件和文件夾中都應是不同的。
一套具有異常嚴格訪問控制模式的金絲雀系統將非常有助于發現、識別出異常行為。而金絲雀文件不僅限于防范勒索軟件,其可應用于其它各種類型的惡意軟件和入侵檢測。
京公網安備 11010502049343號