引用格式:靳京. 基于內(nèi)核指令檢測技術的勒索病毒防護研究[J].網(wǎng)絡安全與數(shù)據(jù)治理,2025,44(8):10-16.
引言
近年來,勒索病毒的廣泛傳播逐步成為網(wǎng)絡安全威脅的重要組成和發(fā)展趨勢,且其攻擊仍保持著強勁增長勢頭,同時已有從傳統(tǒng)的加密勒索向數(shù)據(jù)泄露轉(zhuǎn)變的跡象,對廣大企業(yè)正常經(jīng)營和社會穩(wěn)定造成嚴峻挑戰(zhàn)。
根據(jù)NCC Group的數(shù)據(jù),2024年共發(fā)生了不少于5 263起成功攻擊,成為勒索軟件攻擊數(shù)量最多的一年[1]。Chainalysis的報告顯示,數(shù)據(jù)泄露網(wǎng)站上的披露數(shù)量也不斷上升[1]。世界財富50強企業(yè)、美國藥品分銷巨頭Cencora甚至向“黑暗天使”(Dark Angels)勒索軟件組織支付了創(chuàng)紀錄的7 500萬美元(約合人民幣5.28億元)[1]。
相應地,越來越多網(wǎng)絡安全企業(yè)投入到了反勒索病毒的技術和產(chǎn)品研發(fā)之中。然而,目前針對勒索病毒軟件的防護思路主要集中在依靠監(jiān)測勒索攻擊的準備和投遞環(huán)節(jié),結合威脅情報,在病毒攻擊的前期滲透階段進行預警和阻斷[2-3],而對于攻擊進行中的實時檢測和分析機制相對較少,特別是針對勒索病毒的本質(zhì)和核心技術[4]——加密行為的指令級監(jiān)測和預警方法尚未見提及和應用。
根據(jù)對已知勒索病毒軟件技術原理和攻擊過程的研究,勒索攻擊前期的準備和投遞環(huán)節(jié)主要體現(xiàn)為滲透擴散、遍歷檢索、代碼偽裝等行為,病毒不斷進行相應調(diào)整和改變生成新的變種,以應對主流的檢測方法,但其核心加密算法卻不會出現(xiàn)大的變化。因而對核心加密行為的識別和攔截才是對病毒攻擊中期的防護關鍵。
本文詳細內(nèi)容請下載:
http://ihrv.cn/resource/share/2000006645
作者信息:
靳京
(奇安信網(wǎng)神信息技術(北京)股份有限公司,北京100085)