这本由供应商撰写的技术入门书是由Network World编辑的,目的是消除产品推广,但读者应该注意,足球竞猜app软件它可能更倾向于提交者的方式。
勒索软件和其他网络威胁通常不会被传统的检测方法所发现,比如反病毒、深度包检测(DPI)或沙箱。事实上,Lastline Labs的一份报告指出,有51%的零日恶意软件(即在开发者有时间发布补丁之前发起攻击的威胁)没有被杀毒解决方案检测到。那么,安全专业人员如何阻止攻击呢?答案部分在于DNS。
目前针对个人和组织的最强大的勒索软件威胁之一是Locky,它每天感染多达10万台设备提交支付3%。网络安全专家估计,Locky拥有这种能力全球市场占有率17%所有勒索病毒感染
首先,让我们看一些统计数据来展示Locky的力量和成本:
- 的数量恶意电子邮件附件由Locky在2016年第二季度交付= 7 / 10
- 的平均赎金的需求= $ 459
- 的数量可以加密的文件类型by Locky(例如。docx, .jpeg, .xlsx) = 160
- 的最大的成束的支付迄今= 1.7万美元
- 每天感染的设备数量全世界= 90000
- 洛克每天的平均支出以当前比特币汇率= 160万美元
Locky通常是通过攻击性的垃圾邮件活动发送的,通常声称是一张发票。尽管点击未知邮件中的链接会有已知的危险,但Locky非常狡猾,它甚至会吸引训练有素的it人员点击晦涩的信息并激活下载。
下载完成后,Locky与它的命令与控制(C&C)服务器连接,获取用于加密的加密密钥。有三种已知的机制,Locky到达它的C&C主机:
- 直接的IP通信
- 一些固定的域
- 基于时间的域生成算法(DGA),它创建一组仅在几天内有效的随机域
这里DNS可以发挥作用。DNS数据可以通过分析来识别C&C连接机制。当这些通信被封锁时,Locky获取加密密钥的能力就会受到限制,这给了感染病毒的用户更好的机会受到保护。
不幸的是,Locky用来生成域和获取加密密钥的DGA标记了当前的时间段和一个秘密种子,这使得快速阻止新域变得更加困难。Locky经常改变种子,并且逆向工程恶意软件的当前版本来发现每一个新的种子需要时间。每一个新的种子都表示该漏洞生命周期中的另一个波,因此,在找到一种准确的方法来识别与Locky相关的流量之前,它不能被永久阻塞。
但是,通过对全球范围内匿名DNS查询feed的检查,以及异常检测和相关技术,可以识别出Locky用于实时下载加密密钥的可疑域名。ForcePoint是一家对Locky使用的DGA进行反向工程的公司。通过使用现有的DGA并对可疑域进行一些额外的处理,可以确定Locky使用的新种子,从而枚举Locky将来将使用的所有新域。
以下是我们的DNS算法检测到的由Locky创建的最近域名的抽样:
mrjuvawlwa。xyz
uydvrqwgg。苏
uwiyklntlxpxj[]的工作
owvtbqledaraqq。苏
udfaexci。俄罗斯
eabfhwl。俄罗斯
olyedawaki pl (。)
uxwfukfqxhydqawmf。苏
ikdcjjcyjtpsc[]的工作
wrbwtvcv。苏
osxbymbjwuotd。点击
qtuanjdpx。信息
随着Locky和其他类型的勒索软件越来越善于避免被发现和补救,我们需要使用新的策略来打击它们。许多新的网络威胁策略使得传统的恶意软件阻止列表变得不那么有效。面对种子变化迅速的DGAs,安全研究人员必须不断识别每一波钓鱼使用的新种子,以预先生成域名。一旦新的种子被释放,旧的种子马上就会过时。
通过利用一组广泛的DNS查询数据,可以通过各种算法方法(如聚类、信誉评分、逆向工程和其他不断演化的方法)检测和跟踪生成域的演变。最近的创新包括异常检测算法、新的域聚类和域信誉系统,该系统导致每天提供近100,000个域和C&Cs用于阻塞。
通过使用这些先进的方法,可疑的域名可以非常迅速地以高水平的准确性被检测出来,假阳性也可以被清除,这样良好的流量仍然可以到达合法的网站。目前,这是对付洛奇的最好办法。服务提供商和公司可以使用这种技术来保护他们的在线用户的文件不被加密,并识别已经被感染的机器。
Locky提供了大量证据,证明攻击者在不断创新。要想领先一步,就需要网络安全专家和对全球范围内的海量数据集进行实时处理,以发现恶意活动。阻止这些域名的流量是避免Locky威胁的好方法,而采取正确步骤了解其行为并采取适当措施保护潜在受害者的安全专家团队将大大降低网络威胁的效果。
欲知更多详情,请浏览Nominum。