تکنیک‌های شناسایی باج افزار در شبکه

مانند هر نوع بدافزار، برای شناسایی باج افزار میتوان از راه حلهای آنتی ویروس و ضد بدافزار مبتنی بر امضای سنتی استفاده کرد.

با اینحال، نویسندگان بدافزار بطور فزاینده‌ای از حملات روز صفر و بدافزارهای چند شکلی برای فرار از این سیستمهای شناسایی استفاده میکنند.

در نتیجه، آنتی ویروس مبتنی بر امضا فقط حدود نیمی از بدافزارها را شناسایی میکند.

ماهیت باج افزار بدین معناست که میتوان آنرا با روشهای دیگر شناسایی کرد. برای انجام رمزگذاری انبوه فایلهای کاربر، بدافزار باید تعداد زیادی فایل را باز کند، آنها را رمزگذاری کند و نسخه‌های اصلی را از بین ببرد.

طبیعتاً، هرچه زودتر هر نوع حمله سایبری را شناسایی کنید، شانس بیشتری برای جلوگیری از آن یا حداقل جلوگیری از گسترش حمله دارید.

این امر بویژه در مورد باج‌افزار صادق است، زیرا آسیبی که میتواند در اثر حمله باج‌افزار ایجاد شود، غیرقابل برگشت است.

بهر حال، حتی اگر قربانی باج را بپردازد، هیچ تضمینی وجود ندارد که کلید رمزگشایی را به شما بدهد، و اگر قبل از شروع حمله، کپی‌هایی از داده‌های شما استخراج کرده باشد، هرگز نمیدانید که با آن نسخه‌ها چه میکنند.

هرچه سریعتر بتوانید به حمله باج افزار پاسخ دهید، مهاجم شانس کمتری برای سرقت داده‌های حساس و اختلال در سیستم خواهد داشت.

از آنجاییکه این اقدامات معمولاً توسط یک کاربر قانونی انجام نمیشود، میتوان از آنها برای کمک به شناسایی و جلوگیری از حمله باج افزار استفاده کرد.

شناسایی باج افزار در شبکه

اکثر شرکتها در حال حاضر از راه‌حل‌های نرم‌افزاری مانند نرم‌افزار آنتی ویروس، فیلترهای هرزنامه و جعبه‌های شنی استفاده میکنند.

با اینحال، این روزها، بسیاری از باج افزارها قادر به فرار از چنین راه حلهایی هستند.

در حالیکه ممکن است هنگام شناسایی و جلوگیری از حملات باج‌افزار «گلوله جادویی» وجود نداشته باشد، برخی از بهترین روشها وجود دارد که سازمانها باید به آنها پایبند باشند، که عبارتند از:

• شناسایی باج افزار مبتنی بر امضا

تشخیص باج‌افزار مبتنی بر امضا، روشی برای شناسایی باج‌افزار از طریق مقایسه هش‌های دودویی باج‌افزار با امضاهای شناخته شده است که امکان تجزیه و تحلیل سریع فایلها را فراهم میکند.

پلتفرم‌های امنیتی و نرم‌افزارهای آنتی‌ویروس داده‌ها را از فایلهای اجرایی جمع‌آوری میکنند تا مشخص کنند که باج‌افزار هستند یا اجرایی تایید شده.

اگرچه شناسایی باج‌افزار مبتنی بر امضا اولین لایه دفاعی ارزشمندی است، اما قادر به شناسایی گونه‌های باج‌افزار جدید نیست، زیرا مهاجمان اغلب فایلهای بدافزار را برای فرار از شناسایی تغییر میدهند.

به سادگی افزودن یک بایت به یک فایل، یک هش جدید ایجاد میکند و احتمال شناسایی بدافزار را کاهش میدهد.

بدین ترتیب، تشخیص مبتنی بر امضا به شناسایی باج‌ افزار قدیمی‌تر کمک میکند، اما کمپین‌های باج‌افزار هدفمند و پیشرفته‌تر میتوانند از این نوع شناسایی عبور کنند.

مزایا و معایب تشخیص بدافزار مبتنی بر امضا

مزایا: تشخیص بدافزار مبتنی بر امضا، اقدامات منحصربفرد برای هر حمله خاص را ثبت میکند. این رویکرد بر حملات خاص متمرکز است و در کاهش نرخ مثبت کاذب بسیار دقیق است. پیاده سازی و مدیریت آن آسان است و دائما در حال بروز رسانی است.

معایب: تشخیص بدافزار مبتنی بر امضا دارای اشکالاتی است. نقطه ضعف اصلی اینست که فقط میتواند حملات شناخته شده را شناسایی کند.

کرم‌های اینترنتی مانند Nimda و Code Red بر نیاز به سیستم‌هایی تأکید میکنند که میتوانند حملات ناشناخته را شناسایی و از آن جلوگیری کنند.

همچنین نمیتواند انواع حملات موجود را که با امضاهای موجود در دیتابیس مطابقت ندارند شناسایی کند.

هنگامیکه ترافیک قانونی با یک حمله اشتباه گرفته شود، نرخ بالایی از مثبت کاذب وجود دارد.

• تشخیص بر اساس ترافیک داده

همچنین با تجزیه و تحلیل ترافیک شبکه، که شامل بررسی اطلاعاتی است که بین نقاط پایانی منتقل میشود، باج افزار را شناسایی کرد.

این روش مواردی مانند مهرهای زمانی و حجم داده‌ها و هرگونه بی نظمی که ممکن است نشانه حمله باج افزار باشد را بررسی میکند. درصورت شناسایی فعالیت مشکوک، سیستم قفل میشود.

یکی از مزایای این روش، توانایی آن در جلوگیری از حملات باج افزار بدون نیاز به دانش امضای بدافزار است.

با اینحال، این روش تمایل به تولید موارد مثبت کاذب دارد که منجر به مسدود شدن فایلهای قانونی میشود که تأثیر منفی بر بهره‌وری دارد و منجر به خرابی پرهزینه میشود.

• شناسایی باج افزار با رفتار داده

باج افزار معمولاً فایلها را قبل از درخواست پرداخت برای رمزگشایی رمزگذاری یا قفل میکند. بنابراین، نظارت بر تغییرات غیرمنتظره در مکانهای ذخیره‌سازی فایل یا جهش‌های ناگهانی در فعالیت رمزگذاری فایلها میتواند نشانه‌هایی از حمله باج‌افزار را آشکار کند.

برخلاف روشهای امضا و ترافیک داده، برای این روش نیازی به امضا نیست، یعنی آلارم‌های کاذب کمتری وجود دارد.

علاوه بر این، مستلزم قفل کردن کل سیستم فایل نیست. در عوض، فرآیندهای مشکوک میتوانند مانع شوند.

این رویکرد در واقع از عفونت باج افزار جلوگیری نمیکند، اما در عوض به جلوگیری از گسترش حمله پس از شناسایی باج افزار کمک میکند.

پلتفرم‌های امنیتی داده‌ متعددی وجود دارند که ویژگی «هشدار آستانه» را ارائه میدهند، که میتواند رویدادهایی را که با شرایط آستانه از پیش تعریف‌ شده مطابقت دارند، شناسایی کرده و به آنها پاسخ دهد.

بعنوان مثال، اگر چندین فایل در یک بازه زمانی معین رمزگذاری یا تغییر نام داده شوند، یک اسکریپت سفارشی میتواند بطور خودکار در پاسخ به تهدید بالقوه اجرا شود.

• تشخیص مبتنی بر فریب

از فناوری فریب سایبری میتوان برای هدایت باج افزار به فایلهای جعلی با ایجاد یک شبه شبکه با فریب‌های جذاب که از شبکه قانونی قابل تشخیص نیستند استفاده کرد.

فناوری فریب به شناسایی روشهای نفوذ مهاجم کمک میکند، که ممکن است شامل استفاده از پسوردهای ضعیف یا نقاط پایانی/سرورهای در معرض خطر باشد، که سپس میتواند برای جلوگیری از حملات بیشتر ایمن شود.

اولین گام در پیاده‌سازی راه حلهای فریب شامل ایجاد یک درایو مشترک جعلی است که در تمام نقاط پایانی و سرورهای شبکه توزیع میشود. این شبکه جعلی از کاربران قانونی پنهان شده است تا از ایجاد تصادفی هشدارها جلوگیری شود.

یک ابزار موثر فریب سایبری باید بتواند با ابزارهای امنیتی شخص ثالث مانند راه حلهای IPS، فایروالها و آنتی ویروسهای نسل بعدی ادغام شود تا به سرعت فعالیتهای مخرب را شناسایی کند.

به محض اینکه باج افزار یک نقطه پایانی را آلوده میکند و فرآیند رمزگذاری را آغاز میکند، فریب فرآیند رمزگذاری را کند میکند و تهدید را جدا میکند. همچنین میتواند با راه حلهای امنیتی موجود برای مهار تهدید یکپارچه شود.

چگونه Symantec در تشخیص باج افزار کمک میکند

سیمانتک حفاظت‌های متعددی را برای محافظت از مشتریان در برابر حملات هدفمند باج افزار در اختیار دارد.

استفاده از روشهای تشخیص زودهنگام و حصول اطمینان از داشتن یک برنامه میتواند مجرمان سایبری را از فایلهای حساس شما دور نگه دارد.

پلتفرم امنیت داده Symantec میتواند به ایمن سازی حسابها و داده‍‌های شما – قبل، حین و بعد از حمله باج افزار کمک کند.

برای شروع، باید اطمینان حاصل کنید که کاربران عادی فقط به داده‌هایی که برای انجام نقش خود نیاز دارند دسترسی دارند.

اگر کنترل‌های دسترسی مسئولانه تعیین شوند، اگر کارمندی قربانی حمله فیشینگ شود و برنامه باج‌افزاری را نصب کند، تنها میتواند تعداد نسبتا کمی از فایلها را رمزگذاری کند.