我们的上一篇文章《勒索软件攻击：持续且不断演变的网络安全威胁》描述了勒索软件带来的日益危险且不断演变的网络安全威胁。这不再是你是否受到攻击的问题，而是你何时受到攻击的问题。

BleepingComputer.com 上的文章涵盖了过去几个月（从 2024 年 1 月到 3 月）最近发生的勒索软件攻击。本文将证明，如果受攻击的公司和政府组织安装了Thales CipherTrust 透明加密勒索软件防护(CTE-RWP)，数据将受到保护且安全。

首先，让我们回顾一下当今网络安全专业人员采用的一些常见勒索软件检测方法：行为、签名、二进制检查。

基于签名

许多勒索软件防护产品都是基于签名的。他们通过计算该进程的机器代码的哈希值并将其与已知勒索软件签名的数据库进行比较来识别给定的勒索软件。因此，该勒索软件一定是之前被发现并添加到该数据库中的。然而，对原始勒索软件源代码的任何调整和重建都将绕过此类基于签名的解决方案。一个典型的例子是名为 Sugar 的勒索软件，它有大约 200 个版本，即 200 个不同的签名。

基于二进制检查

其他勒索软件防护产品通过在二进制可执行文件中搜索勒索软件进程的商标（例如看似勒索信息的文本或加密库的链接）来检测勒索软件。一些勒索软件进程通过混淆勒索字条甚至可执行机器代码来规避此类检测，在执行之前解密其自己的二进制代码。因此，在进程加载时不会检测到它。

基于行为的

现在进入基于行为的解决方案。基于行为的勒索软件防护产品依赖于该勒索软件的行为，无论是在攻击时还是在准备攻击时的启动时。 CTE-RWP 是基于行为的。 CTE-RWP 不仅监视典型行为，而且除了其他基于行为的勒索软件防护产品外，CTE-RWP 还通过抽象原理强调此类技术。

一个关键点是 CTE-RWP 利用了所谓的不同步破坏。考虑一下烘焙和吃蛋糕的类比。烤蛋糕需要一个人，各个步骤必须按同步顺序完成，但很多人可以同时吃掉或毁掉那个蛋糕。

同样，勒索软件行为倾向于不同步类型的行为。您将看到进程中许多不同线程删除了许多文件，在它们之间随机来回切换，没有顺序。为什么？因为勒索软件并不关心您的数据。他们只是想快速加密您的数据并销毁任何原始副本，而不涉及同步。不同步破坏只是 CTE-RWP 监视的勒索软件行为的特征之一。

这些原则的基础是监视文件内或跨文件的清晰读取和加密写入的基本技术。 CTE-RWP 可以检测到此类异常的清除读取加密写入行为，并在分页 IO 将加密页面写入磁盘之前快速阻止该进程。数学方差、字节值频率、部分的可压缩性和其他测量可帮助 CTE-RWP 确定文件整体在读写过程中是否从明文数据到加密数据发生变化，无论是在该文件中还是在另一个文件中。

CTE-RWP 的错误命中率非常低，使用专利技术来区分好行为和坏行为。最后，如果某个进程仍然短暂地表现出类似勒索软件的行为，则 CTE-RWP 会提供豁免进程列表。防病毒软件就属于此类，因为它们会扫描清晰的文件，然后将加密的日志条目写入日志中。这可以在短时间内模拟勒索软件的行为。

结果

在Thales（泰雷兹）的实验室中，测试了新闻中最近出现的 10 起勒索软件攻击，CipherTrust 透明加密勒索软件防护发出警报并阻止了所有 10 起勒索软件攻击。

实验室选择了最近的 10 种攻击，我们可以在 vx-underground 研究站点上找到相应的勒索软件，并使用该勒索软件攻击自己，以了解 CTE-RWP 的行为。最近测试的 10 个勒索软件是：

1. Lockbit

2. BlackBasta

3. Rhysida

4. Hive

5. Akira

6. Trigona

7. Play

8. BianLian

9. MedusaLocker

10. Phobos

有效拦截情况

在任何攻击之前、期间或之后均未进行任何代码更改、阈值更改或任何其他更改。这是对已发布的 CTE-RWP 产品的开箱即用测试，使用的是新闻中的任何这些攻击之前创建的版本。

在其中 9 个案例中，在任何加密数据写入磁盘之前立即检测并阻止了这些勒索软件攻击。在第 10 个案例中，磁盘上多达 5 个小文件在被阻止之前已被加密。

在每种情况下，CTE-RWP 都能够通过观察清除读取加密写入 IO 模式，使用前面提到的数学方差、字节值频率和部分压缩率的测量来检测每个勒索软件的行为，以确定数据是否读取/写入是加密的还是明文的。清晰读取但加密写入是勒索软件活动的关键指标。

正在进行的实时勒索软件测试

Thales实验室现已测试了 vx-underground.org 恶意软件研究网站上用于研究的 55 种勒索软件，CTE-RWP 可以检测并阻止所有勒索软件。实验室将继续监控 vx-underground 网站是否有进一步提交的新勒索软件。

如前所述，如果在受到这些勒索软件攻击的公司、政府实体或其他机构中安装了 CTE-RWP，那么它们就不会受到影响，这证实了基于行为的勒索软件保护方法的威力。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 通过以数据为中心的安全性增强协作：安全数据共享策略

• 勒索软件攻击：持续且不断演变的网络安全威胁

• 数据安全合规： 2023年印度数字个人数据保护法（DPDP）

• Thales和Redhat如何保护电信公司免受API攻击

• 探索欧盟-美国数据隐私框架