从“哈勃”中看出的勒索病毒的解决之道

  网络攻击随着万物上云序幕的拉开也在不断的升级，传统的暴力破解，漏洞攻击或分布式拒绝服务攻击等形式还没有落幕，新的攻击方式或者说更高级的攻击方式已经开始了上演。2017年5月，一款名为Wannacry 的勒索软件袭击全球网络，被认为是迄今为止最大的勒索交费活动，影响近百国家以及上千家企业及公共组织。再看前不久，富士康的大型勒索病毒攻击造成了上亿元的损失。面对勒索病毒，很多企业束手无策。

  提起勒索病毒，业内多人都会想到“哈勃”，但大多数人还不知道什么是哈勃。“哈勃”其实是从传统安全中走出的创新路线，既可以代表一种思想，同时也是一个系统。

  通过对比传统的勒索病毒解决方式，就可以对“哈勃”有更深入的了解。传统的业内做法使用静态特征引擎，人工提取特征，这样的做法很容易受到混淆加壳影响。而且传统的沙箱仅仅能做有限的动态分析。再结合上静态特征的依赖，所构建的模型更容易在短时间内失效。

  “哈勃”的做法在传统的基础上进行大量升级，首先是动静结合的分析方式，收集海量样本分析集群，精确定位恶意行为。在传统沙箱基础上升级为深度沙箱，采用动态行为激发和监控，再结合环境防御和模拟的方式，实现全面升级。利用沙箱分析的行为参与到最后的建模中，使识别能力大幅度提升。

  而且，勒索病毒和漏洞文档变种广泛，甚至使用0day漏洞，所以识别特征难以覆盖？其实不然，哈勃分析系统可根据加密文件和漏洞执行等关键行为挖掘恶意样本，识别更全面。传统沙箱都会有的静态特征易受加密、混淆、运行时库干扰，动态沙箱易被绕过，产生误报和漏报问题，哈勃分析系统充分激发样本行为，对反虚拟机、反调试器行为进行防御，恶意行为定位更加精准，动静态结合准确率更高。最后是威胁情报采集能力，样本网络行为难以采集，威胁情报关联分析能力不够。哈勃分析系统可以在断网情况下，主动诱发和采集样本产生的网络行为，同时避免恶意流量带来的危害。

  哈勃动态行为沙箱是一套高仿真环境下的文件行为检测系统，依托于虚拟机技术，在充分模拟文件运行环境的情况下，通过行为序列和机器学习算法对样本进行全面分析，可以有效鉴定经过加壳，代码混淆等高级变形技巧的病毒木马及其新变种，不仅可以识别传统恶意文件，对于APT攻击样本这种变化繁复，隐蔽性强，威胁大的新一代攻击也具有极高的识别鉴定能力。

  结合哈勃动态行为沙箱的技术特点可以更清楚的了解到其强大的优势，支持丰富的分析环境包括WindowsXP/Windows7/Windows10/Android/Linux。支持全面的文件类型，包括可执行文件EXE，Office文档（Word，Excel，PPT等），PDF文件，HTML网页文件，脚本文件（bat，js，vbs，swf等），APK包，以及RAR、ZIP、7z等各种压缩包文件。对于加壳加花反调试的样本，具有脱壳解密能力，以及对抗反虚拟机技术的能力。具有网络模拟能力，能够监控样本文件的网络通信，可以模拟断网环境下的网络交互，充分暴露样本的网络行为。具有模拟用户模拟点击和输入的能力，对于存在交互页面的样本，例如安装包，钓鱼页面等，可以自动模拟点击按钮和用户输入，从而触发样本更多的动态行为。通过用户层和驱动层的Hook技术，对样本的动态行为序列进行监控，通过陷阱文件的模拟可以有效识别近几年呈爆发趋势的勒索类病毒。

  综合以上特点，哈勃系统可以为对抗新型高级病毒出一份力。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！