مانند هر نوع بدافزار، برای شناسایی باج افزار میتوان از راه حلهای آنتی ویروس و ضد بدافزار مبتنی بر امضای سنتی استفاده کرد.
با اینحال، نویسندگان بدافزار بطور فزایندهای از حملات روز صفر و بدافزارهای چند شکلی برای فرار از این سیستمهای شناسایی استفاده میکنند.
در نتیجه، آنتی ویروس مبتنی بر امضا فقط حدود نیمی از بدافزارها را شناسایی میکند.
ماهیت باج افزار بدین معناست که میتوان آنرا با روشهای دیگر شناسایی کرد. برای انجام رمزگذاری انبوه فایلهای کاربر، بدافزار باید تعداد زیادی فایل را باز کند، آنها را رمزگذاری کند و نسخههای اصلی را از بین ببرد.
طبیعتاً، هرچه زودتر هر نوع حمله سایبری را شناسایی کنید، شانس بیشتری برای جلوگیری از آن یا حداقل جلوگیری از گسترش حمله دارید.
این امر بویژه در مورد باجافزار صادق است، زیرا آسیبی که میتواند در اثر حمله باجافزار ایجاد شود، غیرقابل برگشت است.
بهر حال، حتی اگر قربانی باج را بپردازد، هیچ تضمینی وجود ندارد که کلید رمزگشایی را به شما بدهد، و اگر قبل از شروع حمله، کپیهایی از دادههای شما استخراج کرده باشد، هرگز نمیدانید که با آن نسخهها چه میکنند.
هرچه سریعتر بتوانید به حمله باج افزار پاسخ دهید، مهاجم شانس کمتری برای سرقت دادههای حساس و اختلال در سیستم خواهد داشت.
از آنجاییکه این اقدامات معمولاً توسط یک کاربر قانونی انجام نمیشود، میتوان از آنها برای کمک به شناسایی و جلوگیری از حمله باج افزار استفاده کرد.
شناسایی باج افزار در شبکه
اکثر شرکتها در حال حاضر از راهحلهای نرمافزاری مانند نرمافزار آنتی ویروس، فیلترهای هرزنامه و جعبههای شنی استفاده میکنند.
با اینحال، این روزها، بسیاری از باج افزارها قادر به فرار از چنین راه حلهایی هستند.
در حالیکه ممکن است هنگام شناسایی و جلوگیری از حملات باجافزار «گلوله جادویی» وجود نداشته باشد، برخی از بهترین روشها وجود دارد که سازمانها باید به آنها پایبند باشند، که عبارتند از:
شناسایی باج افزار مبتنی بر امضا
تشخیص باجافزار مبتنی بر امضا، روشی برای شناسایی باجافزار از طریق مقایسه هشهای دودویی باجافزار با امضاهای شناخته شده است که امکان تجزیه و تحلیل سریع فایلها را فراهم میکند.
پلتفرمهای امنیتی و نرمافزارهای آنتیویروس دادهها را از فایلهای اجرایی جمعآوری میکنند تا مشخص کنند که باجافزار هستند یا اجرایی تایید شده.
اگرچه شناسایی باجافزار مبتنی بر امضا اولین لایه دفاعی ارزشمندی است، اما قادر به شناسایی گونههای باجافزار جدید نیست، زیرا مهاجمان اغلب فایلهای بدافزار را برای فرار از شناسایی تغییر میدهند.
به سادگی افزودن یک بایت به یک فایل، یک هش جدید ایجاد میکند و احتمال شناسایی بدافزار را کاهش میدهد.
بدین ترتیب، تشخیص مبتنی بر امضا به شناسایی باج افزار قدیمیتر کمک میکند، اما کمپینهای باجافزار هدفمند و پیشرفتهتر میتوانند از این نوع شناسایی عبور کنند.
مزایا و معایب تشخیص بدافزار مبتنی بر امضا
مزایا: تشخیص بدافزار مبتنی بر امضا، اقدامات منحصربفرد برای هر حمله خاص را ثبت میکند. این رویکرد بر حملات خاص متمرکز است و در کاهش نرخ مثبت کاذب بسیار دقیق است. پیاده سازی و مدیریت آن آسان است و دائما در حال بروز رسانی است.
معایب: تشخیص بدافزار مبتنی بر امضا دارای اشکالاتی است. نقطه ضعف اصلی اینست که فقط میتواند حملات شناخته شده را شناسایی کند.
کرمهای اینترنتی مانند Nimda و Code Red بر نیاز به سیستمهایی تأکید میکنند که میتوانند حملات ناشناخته را شناسایی و از آن جلوگیری کنند.
همچنین نمیتواند انواع حملات موجود را که با امضاهای موجود در دیتابیس مطابقت ندارند شناسایی کند.
هنگامیکه ترافیک قانونی با یک حمله اشتباه گرفته شود، نرخ بالایی از مثبت کاذب وجود دارد.
تشخیص بر اساس ترافیک داده
همچنین با تجزیه و تحلیل ترافیک شبکه، که شامل بررسی اطلاعاتی است که بین نقاط پایانی منتقل میشود، باج افزار را شناسایی کرد.
این روش مواردی مانند مهرهای زمانی و حجم دادهها و هرگونه بی نظمی که ممکن است نشانه حمله باج افزار باشد را بررسی میکند. درصورت شناسایی فعالیت مشکوک، سیستم قفل میشود.
یکی از مزایای این روش، توانایی آن در جلوگیری از حملات باج افزار بدون نیاز به دانش امضای بدافزار است.
با اینحال، این روش تمایل به تولید موارد مثبت کاذب دارد که منجر به مسدود شدن فایلهای قانونی میشود که تأثیر منفی بر بهرهوری دارد و منجر به خرابی پرهزینه میشود.
شناسایی باج افزار با رفتار داده
باج افزار معمولاً فایلها را قبل از درخواست پرداخت برای رمزگشایی رمزگذاری یا قفل میکند. بنابراین، نظارت بر تغییرات غیرمنتظره در مکانهای ذخیرهسازی فایل یا جهشهای ناگهانی در فعالیت رمزگذاری فایلها میتواند نشانههایی از حمله باجافزار را آشکار کند.
برخلاف روشهای امضا و ترافیک داده، برای این روش نیازی به امضا نیست، یعنی آلارمهای کاذب کمتری وجود دارد.
علاوه بر این، مستلزم قفل کردن کل سیستم فایل نیست. در عوض، فرآیندهای مشکوک میتوانند مانع شوند.
این رویکرد در واقع از عفونت باج افزار جلوگیری نمیکند، اما در عوض به جلوگیری از گسترش حمله پس از شناسایی باج افزار کمک میکند.
پلتفرمهای امنیتی داده متعددی وجود دارند که ویژگی «هشدار آستانه» را ارائه میدهند، که میتواند رویدادهایی را که با شرایط آستانه از پیش تعریف شده مطابقت دارند، شناسایی کرده و به آنها پاسخ دهد.
بعنوان مثال، اگر چندین فایل در یک بازه زمانی معین رمزگذاری یا تغییر نام داده شوند، یک اسکریپت سفارشی میتواند بطور خودکار در پاسخ به تهدید بالقوه اجرا شود.
تشخیص مبتنی بر فریب
از فناوری فریب سایبری میتوان برای هدایت باج افزار به فایلهای جعلی با ایجاد یک شبه شبکه با فریبهای جذاب که از شبکه قانونی قابل تشخیص نیستند استفاده کرد.
فناوری فریب به شناسایی روشهای نفوذ مهاجم کمک میکند، که ممکن است شامل استفاده از پسوردهای ضعیف یا نقاط پایانی/سرورهای در معرض خطر باشد، که سپس میتواند برای جلوگیری از حملات بیشتر ایمن شود.
اولین گام در پیادهسازی راه حلهای فریب شامل ایجاد یک درایو مشترک جعلی است که در تمام نقاط پایانی و سرورهای شبکه توزیع میشود. این شبکه جعلی از کاربران قانونی پنهان شده است تا از ایجاد تصادفی هشدارها جلوگیری شود.
یک ابزار موثر فریب سایبری باید بتواند با ابزارهای امنیتی شخص ثالث مانند راه حلهای IPS، فایروالها و آنتی ویروسهای نسل بعدی ادغام شود تا به سرعت فعالیتهای مخرب را شناسایی کند.
به محض اینکه باج افزار یک نقطه پایانی را آلوده میکند و فرآیند رمزگذاری را آغاز میکند، فریب فرآیند رمزگذاری را کند میکند و تهدید را جدا میکند. همچنین میتواند با راه حلهای امنیتی موجود برای مهار تهدید یکپارچه شود.
چگونه Symantec در تشخیص باج افزار کمک میکند
سیمانتک حفاظتهای متعددی را برای محافظت از مشتریان در برابر حملات هدفمند باج افزار در اختیار دارد.
استفاده از روشهای تشخیص زودهنگام و حصول اطمینان از داشتن یک برنامه میتواند مجرمان سایبری را از فایلهای حساس شما دور نگه دارد.
پلتفرم امنیت داده Symantec میتواند به ایمن سازی حسابها و دادههای شما – قبل، حین و بعد از حمله باج افزار کمک کند.
برای شروع، باید اطمینان حاصل کنید که کاربران عادی فقط به دادههایی که برای انجام نقش خود نیاز دارند دسترسی دارند.
اگر کنترلهای دسترسی مسئولانه تعیین شوند، اگر کارمندی قربانی حمله فیشینگ شود و برنامه باجافزاری را نصب کند، تنها میتواند تعداد نسبتا کمی از فایلها را رمزگذاری کند.