引用格式:靳京. 基于內(nèi)核指令檢測技術(shù)的勒索病毒防護(hù)研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2025,44(8):10-16.
引言
近年來,勒索病毒的廣泛傳播逐步成為網(wǎng)絡(luò)安全威脅的重要組成和發(fā)展趨勢,且其攻擊仍保持著強(qiáng)勁增長勢頭,同時(shí)已有從傳統(tǒng)的加密勒索向數(shù)據(jù)泄露轉(zhuǎn)變的跡象,對廣大企業(yè)正常經(jīng)營和社會(huì)穩(wěn)定造成嚴(yán)峻挑戰(zhàn)。
根據(jù)NCC Group的數(shù)據(jù),2024年共發(fā)生了不少于5 263起成功攻擊,成為勒索軟件攻擊數(shù)量最多的一年[1]。Chainalysis的報(bào)告顯示,數(shù)據(jù)泄露網(wǎng)站上的披露數(shù)量也不斷上升[1]。世界財(cái)富50強(qiáng)企業(yè)、美國藥品分銷巨頭Cencora甚至向“黑暗天使”(Dark Angels)勒索軟件組織支付了創(chuàng)紀(jì)錄的7 500萬美元(約合人民幣5.28億元)[1]。
相應(yīng)地,越來越多網(wǎng)絡(luò)安全企業(yè)投入到了反勒索病毒的技術(shù)和產(chǎn)品研發(fā)之中。然而,目前針對勒索病毒軟件的防護(hù)思路主要集中在依靠監(jiān)測勒索攻擊的準(zhǔn)備和投遞環(huán)節(jié),結(jié)合威脅情報(bào),在病毒攻擊的前期滲透階段進(jìn)行預(yù)警和阻斷[2-3],而對于攻擊進(jìn)行中的實(shí)時(shí)檢測和分析機(jī)制相對較少,特別是針對勒索病毒的本質(zhì)和核心技術(shù)[4]——加密行為的指令級(jí)監(jiān)測和預(yù)警方法尚未見提及和應(yīng)用。
根據(jù)對已知勒索病毒軟件技術(shù)原理和攻擊過程的研究,勒索攻擊前期的準(zhǔn)備和投遞環(huán)節(jié)主要體現(xiàn)為滲透擴(kuò)散、遍歷檢索、代碼偽裝等行為,病毒不斷進(jìn)行相應(yīng)調(diào)整和改變生成新的變種,以應(yīng)對主流的檢測方法,但其核心加密算法卻不會(huì)出現(xiàn)大的變化。因而對核心加密行為的識(shí)別和攔截才是對病毒攻擊中期的防護(hù)關(guān)鍵。
本文詳細(xì)內(nèi)容請下載:
http://m.xxav2194.com/resource/share/2000006645
作者信息:
靳京
(奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司,北京100085)
