引言

近年來(lái)，勒索病毒的廣泛傳播逐步成為網(wǎng)絡(luò)安全威脅的重要組成和發(fā)展趨勢(shì)，且其攻擊仍保持著強(qiáng)勁增長(zhǎng)勢(shì)頭，同時(shí)已有從傳統(tǒng)的加密勒索向數(shù)據(jù)泄露轉(zhuǎn)變的跡象，對(duì)廣大企業(yè)正常經(jīng)營(yíng)和社會(huì)穩(wěn)定造成嚴(yán)峻挑戰(zhàn)。

根據(jù)NCC Group的數(shù)據(jù)，2024年共發(fā)生了不少于5 263起成功攻擊，成為勒索軟件攻擊數(shù)量最多的一年［1］。Chainalysis的報(bào)告顯示，數(shù)據(jù)泄露網(wǎng)站上的披露數(shù)量也不斷上升［1］。世界財(cái)富50強(qiáng)企業(yè)、美國(guó)藥品分銷(xiāo)巨頭Cencora甚至向“黑暗天使”（Dark Angels）勒索軟件組織支付了創(chuàng)紀(jì)錄的7 500萬(wàn)美元（約合人民幣5.28億元）［1］。

相應(yīng)地，越來(lái)越多網(wǎng)絡(luò)安全企業(yè)投入到了反勒索病毒的技術(shù)和產(chǎn)品研發(fā)之中。然而，目前針對(duì)勒索病毒軟件的防護(hù)思路主要集中在依靠監(jiān)測(cè)勒索攻擊的準(zhǔn)備和投遞環(huán)節(jié)，結(jié)合威脅情報(bào)，在病毒攻擊的前期滲透階段進(jìn)行預(yù)警和阻斷［2-3］，而對(duì)于攻擊進(jìn)行中的實(shí)時(shí)檢測(cè)和分析機(jī)制相對(duì)較少，特別是針對(duì)勒索病毒的本質(zhì)和核心技術(shù)［4］——加密行為的指令級(jí)監(jiān)測(cè)和預(yù)警方法尚未見(jiàn)提及和應(yīng)用。

根據(jù)對(duì)已知勒索病毒軟件技術(shù)原理和攻擊過(guò)程的研究，勒索攻擊前期的準(zhǔn)備和投遞環(huán)節(jié)主要體現(xiàn)為滲透擴(kuò)散、遍歷檢索、代碼偽裝等行為，病毒不斷進(jìn)行相應(yīng)調(diào)整和改變生成新的變種，以應(yīng)對(duì)主流的檢測(cè)方法，但其核心加密算法卻不會(huì)出現(xiàn)大的變化。因而對(duì)核心加密行為的識(shí)別和攔截才是對(duì)病毒攻擊中期的防護(hù)關(guān)鍵。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://www.jysgc.com/resource/share/2000006645

作者信息：

靳京

(奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司，北京100085)