解码勒索软件:早期探测隐秘攻击信号的五个关键

尽管勒索软件已经威胁我们30年了，但今天它已经完全不同了，而且越来越危险。有越来越多的客户表达了对它的担忧，特别是考虑到最近的事件，支付了大量赎金或巨大的成本来补救现有的感染。

在这篇文章中，我们将讨论为什么它仍然是一个威胁，Aruba检测勒索软件的方法，以及这与你可能知道的其他解决方案有何不同。

勒索软件跨越几十年的一个原因是，作者们不断地改变他们的策略、技术和程序(TTPs)。例如,

• 一些勒索软件变体利用EternalBlue (CVE-2017-0144)，并利用这些SMB漏洞通过网络在未打补丁的Windows机器上传播。其他变体使用RDP中的漏洞来传播，列表还在继续。
• 最近，有人担心BlueKeep漏洞(CVE-2019-0708)也可能被类似地使用，尽管使用这种方法的攻击尚未得到证实。
• 使问题进一步复杂化的是，更新的勒索软件变体(如罗宾hood)将立即试图停止超过180个Windows服务，用于杀毒软件和其他可以用来检测恶意软件或防止驱动器加密的代理。

你相信什么能给你及时和可靠的感染信号?

虽然没有什么万能的子弹，保持在坏人和检测当前的勒索软件，Aruba IntroSpect有一个有效的方法来解决勒索软件分层防御和机器学习作为基础。

当IntroSpect最初被开发出来的时候，我们记住，尽管代理可以被禁用，日志可以被恶意软件或恶意内部人员更改，但网络不会撒谎。因此，我们的大部分分析利用L4-L7深度包检测来解决这个非常现实的挑战。

检测Ransomware
让我们通过几个例子来说明IntroSpect如何使用多种机制——包括针对勒索软件的分析——这些机制在整个杀死链中协同工作，以检测网络上恶意软件或勒索软件感染的表现。

1. STIX / TAXII威胁情报提要有时这只是需要基本的阻塞和处理。IntroSpect使用第三方STIX / TAXII兼容的威胁情报源，以扫描网络流量，找到已知的命令和控制以及恶意软件托管站点。
2. 欺骗电子邮件附件。由于电子邮件是最常见的感染载体之一，IntroSpect通过查看电子邮件的附件名称来寻找欺骗的证据。
3. 检测信号。IntroSpect监督机器学习算法寻找受感染主机和潜在C2域之间的常规、低和慢的通信。这可能表明恶意软件(包括勒索软件)通信给攻击者下载进一步的指令或文件。
4. 主机/端口扫描。IntroSpect无监督机器学习算法查找主机访问的异常数量的唯一内部ip或端口。这使用历史基线和对等基线进行比较。
5. 网络共享加密。IntroSpect的一项最新分析检测到网络共享加密的证据。这是一种有监督的机器学习算法，已经在阿鲁巴的威胁实验室中训练，用于研究大量勒索软件家族的文件系统活动。这种分析通过学习表明感染可能性的文件系统活动的隐藏模式，概括为新的和以前看不见的恶意软件变体，没有签名或规则。

修复
快速的检测和反应对于在勒索软件造成破坏之前阻止它是至关重要的。当IntroSpect与Aruba ClearPass策略管理器集成，并且上述任何分析被激活，或者风险评分增加，表明一个活跃的勒索软件攻击，ClearPass可以立即采取基于策略的行动来隔离用户或设备，并可能阻止任何横向移动、敏感数据访问、或数据漏出。仅凭这一点就可以防止一台受感染的机器变成一千台。

总结
IntroSpect是一个强大的平台，它可以从IT和网络数据的海洋中发现恶意软件和勒索软件的微妙迹象，并不断摄取和监控这些数据。IntroSpect为SOC团队提供了专门设计的威胁分析，涵盖整个杀伤链。此外，特定于勒索软件的分析可以推广到没有签名、脚本、规则或其他依赖于先验知识的硬编码方法的新变体。一旦检测到勒索软件，SOC团队可以立即通过ClearPass政策管理器采取行动阻止它，阻止它进一步蔓延。

获取更多关于h现在IntroSpect检测和补救勒索软件。

获取更多关于ClearPass。