CN109495443A - 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 - Google Patents

Abstract

本发明涉及一种基于主机蜜罐对抗勒索软件攻击的方法和系统。该方法包括：1)在主机群中搭建主机蜜罐环境；2)在主机蜜罐中生成并部署蜜饵文件，并记录其初始文件类型和熵值状态；3)监控主机蜜罐的远程登录状态，当检测到具有远程登录操作发生时，通知主机蜜罐开启实时监控行为；4)监控蜜饵文件的文件类型和熵值信息，当文件类型和熵值均发生异常变化时，判定为勒索软件攻击；5)当主机蜜罐检测到勒索软件攻击时，收集攻击者主机的可溯源信息；6)将收集到的攻击者主机的可溯源信息，作为可溯源线索发送到安全主机中。本发明能够在低消耗、零损失的条件下通过欺骗攻击者防御勒索软件的攻击，保护用户和企业的数据与财产安全。

Description

一种基于主机蜜罐对抗勒索软件攻击的方法和系统

技术领域

本发明属于计算机网络安全领域，涉及一种基于主机蜜罐对抗勒索软件攻击的方法和系统。

背景技术

勒索软件(Ransomware)被广泛认为是一类以加密数据锁定设备为攻击方式、勒索赎金为主要目的的恶意软件。传统恶意软件通常旨在实现隐身，在不引起怀疑的前提下收集私密信息，如银行凭证、用户按键、屏幕截图等。勒索软件与传统的恶意软件相比表现出明显行为上的差异，通常以索要赎金为目的，公开地通知用户被感染。

近年来，勒索软件攻击愈演愈烈，已成为当今互联网的严重安全威胁。勒索软件在给被感染用户带来严重的数据及财产损失的同时，也引起国内外安全业界的充分重视。

由于近几年匿名货币的兴起，勒索软件借助这种支付方式，在2013年左右达到一个爆发。以比特币为首的匿名货币以其去中心化、匿名、难以追踪溯源等特点，为犯罪分子提供了便利。赛门铁克(Symantec)公司公布的勒索软件发展报告指出，2013年勒索软件的数量与前几年相比增长了500％，仅2013至2014年出现的新型勒索软件家族比例达到250％。网络威胁联盟(Cyber Threat Alliance,CTA)针对CryptoWall 3.0的报告显示，截至2016年9月已发现其40余万感染案例，造成直接经济损失至少3.25亿。2017年5月，勒索软件WannaCry在全世界范围爆发，4天内席卷至少150个国家20多万台电脑，国内包括中石油在内的众多大型企业、高校、实验室均受到波及，多地加油终端、医疗系统瘫痪，严重影响公民日常生活。

勒索软件攻击手段主要有：影响用户使用，恐吓用户，绑架用户数据三类。勒索软件感染主机后，通过锁定系统屏幕、设置无尽弹窗、修改文件正常关联、拦截手机来电等，会影响用户使用的方式阻碍用户使用被感染设备；通过伪装成杀毒软件、执法机构等方式恐吓、威胁用户；通过加密用户数据文档、通讯录，删除、隐藏用户文件等方式控制用户资源。勒索软件通过以上三种方式攻击用户，并以此向用户索要赎金。如今，勒索软件趋于框架化、服务化，降低了犯罪分子的技术门槛，更加重了其威胁程度。

现有的勒索软件对抗技术主要分为两部分，其一，通过对静态样本分析和模式匹配的方式检测勒索软件，并分析出相应的解决方式。但是由于勒索软件变种多种多样，这类对抗技术在定向的勒索软件攻击中收效甚微。所以常需要通过实时的发现和阻止勒索软件攻击的方式来保护主机，通常是基于对勒索软件攻击的检测实现对抗和防御。例如对密钥传递的拦截和主机行为监控实时监测勒索软件的攻击行为，进而阻止勒索软件的进一步攻击。然而单一的检测防御技术不能对攻击者形成威慑或扼制勒索软件的传播。目前尚没有针对高级勒索软件攻击者形成完整有效的取证和溯源技术，一定程度上助长了勒索软件攻击者的嚣张气焰。

发明内容

针对上述问题，本发明提出了一种基于主机蜜罐对抗勒索软件攻击的方法和系统。该方法可以通过诱导未知的勒索软件攻击来保护真实主机，并且通过监控蜜罐中攻击者的攻击行为收集可溯源信息，使用追踪溯源技术从根本上遏制勒索软件的传播，对抗勒索软件。

为达到上述目的，本发明采取的具体技术方案是：

一种基于主机蜜罐对抗勒索软件攻击的方法，利用新型主机蜜罐实时发现勒索软件攻击，并通过收集攻击者可溯源信息，利用追踪溯源技术对抗勒索软件攻击，该方法包括以下步骤：

1)在主机群中搭建主机蜜罐环境，用于诱导攻击者攻击，并记录当前主机进程信息；

2)在主机蜜罐中生成并部署蜜饵文件，记录蜜饵文件生成后的初始文件类型和熵值状态；

3)监控主机蜜罐的远程登录状态，当检测到具有远程登录操作发生时，判定可能有攻击行为发生，并通知主机蜜罐开启实时监控行为；

4)监控蜜饵文件的文件类型和熵值信息，当文件类型和熵值均发生异常变化时，判定为勒索软件攻击；

5)当主机蜜罐检测到勒索软件攻击时，收集攻击者主机的可溯源信息；

6)将步骤5)收集到的攻击者主机的可溯源信息，作为可溯源线索发送到安全主机中。

进一步地，步骤5)所述收集攻击者主机的可溯源信息，包括：

a)监控主机进程，记录可疑进程信息及发起进程的执行程序；

b)实时循环检测主机剪贴板及共享文件夹的信息更新，当检测到剪贴板更新或/和新增共享文件夹分享时，记录更新的剪贴板中字符串信息和共享文件夹路径信息，获得攻击者主机的可溯源信息。

一种蜜罐主机，包括：

1)蜜罐环境生成模块。用于在主机群中部署主机蜜罐环境和用于存储可溯源限线索的安全主机，并在蜜罐环境中生成并部署有限段接近于真实用户文档的蜜饵文件。

2)攻击监测模块。用于实时监控主机蜜罐的登录状态，实时发现攻击行为。

3)勒索软件攻击判定模块。可分为文档类型监控子模块和文档熵值监控子模块，用于实时监控蜜饵文档的类型和熵值变化，检测判定是否为勒索软件攻击。

4)可溯源线索收集模块。用于收集攻击者主机的可溯源信息。

5)线索传递模块。作为可溯源信息的收集与转发接口，对内作为数据库收集监控器传回的可溯源线索，对外将可溯源线索传递到安全主机中。

进一步地，所述可溯源线索收集模块包括剪贴板信息收集子模块、共享文件夹信息收集子模块和进程信息收集子模块。其中，剪贴板信息收集子模块用于实时监控并收集攻击者在本地攻击主机的剪贴板中遗留的可溯源信息；共享文件夹信息收集子模块通过限制端口诱导攻击者利用挂载磁盘的方式上传攻击工具，收集攻击主机中的路径信息；进程信息收集子模块通过实时监控主机进程变化，发现勒索软件攻击者的攻击进程，收集攻击者发起进程的程序。

一种对抗勒索软件攻击的系统，包括主机群，所述主机群包括前文所述的蜜罐主机，以及从所述蜜罐主机接收勒索软件攻击者的可溯源线索的安全主机。

本发明能够在低消耗、零损失的条件下通过欺骗攻击者，防御勒索软件的攻击，并通过实时环境监控收集攻击者的可溯源信息，达到对抗勒索软件的目的，保护用户和企业的数据与财产安全。具体来说，本发明具有以下优势：

1)真实的部署在主机群环境中，只通过蜜饵诱导勒索软件攻击者，在防御真实主机的同时，不会对真实主机产生功能上的影响，并且部署方便，不需要防火墙、IPS等额外资源，可有效节约成本。

2)通过调用全局挂接API，能够实时对所有进程进行检测，用最短的时间发现攻击，并且收集攻击者遗留的信息。即使攻击者在进入蜜罐环境后并未发起勒索攻击，也可以及时收集部分可溯源信息。

3)不仅依靠静态分析样本收集可溯源线索，而是采用动态行为监测的方式，不针对特定勒索软件，具有普适性。

4)不仅是通过检测和保护真实主机对抗勒索软件，还实现了对攻击者可靠、零成本的追踪溯源。

附图说明

图1是本发明实施例中基于主机蜜罐对抗勒索软件攻击的示意图。

图2是本发明实施例中主机蜜罐模块构成示意图。

图3是本发明实施例中基于主机蜜罐对抗勒索软件攻击的方法的步骤流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的目的、特征和优点能够更加明显易懂，下面结合附图和事例对本发明作进一步详细的说明。

本实施例设计了一套可靠而有效的勒索软件防御方案。图1是本实施例中基于主机蜜罐对抗勒索软件攻击的示意图。该方案利用主机蜜罐实时发现勒索软件攻击，并通过收集攻击者可溯源信息，利用追踪溯源技术对抗勒索软件攻击。

如图2所示，为该方案的模块构成示意图，分为五个模块，分别是蜜罐环境生成模块、攻击监测模块、勒索软件攻击判定模块、可溯源线索收集模块、线索传递模块。对各模块具体说明如下：

1、蜜罐环境生成模块，用以在主机群中部署蜜罐环境并生成蜜饵文件，建立一个有效的、真实的、并且不完全确定的模拟真实用户的环境。蜜饵文件是用于欺骗勒索软件攻击者的非用户创建的数据。本系统部署的蜜饵文件既可以用于被动的判定行为，也能够用于攻击诱导，通过蜜饵文件诱导攻击者发现，并引诱勒索软件攻击者认可主机的价值。本发明设计将蜜饵文件存储在磁盘和内存中。

为了模拟现实环境，本发明设计在欺骗环境中部署了大量不同类型的文件作为蜜饵文件。勒索软件在加密过程中通常会试图查找主机中是否具有以下几种类型的文件，当遍历可得以下几种文件，勒索软件会自动将这些文件加密：文本文档(如*.txt，*.doc(x)，*.ppt(x)，*.xls(x)，*.pdf，*.py)，密钥和许可证(如*.KEY，*.PEM，*.CRT，*.CER)，压缩文件(如*.zip，*.rar)，和媒体文件(*.jp(e)g，*.mp3，和*AVI)。所以，本发明模拟的文件类型包括但不限于文档、图片、工程文件等，以求尽可能覆盖各种勒索软件的所有目标类型，文件的大小、内容及数量等属性均为任意。文件属性信息涵盖的内容包括但不限于文件名、文件类型、文件绝对路径、文件大小、占用空间、创建时间、修改时间、访问时间、文件内容等系统中实际文件具备的属性。当构建欺骗环境中的文件路径时，首先随机的为环境分配用户文件，并且随机的分配路径长度。为每个文件夹可以随机地设置子文件夹，并且将某些类型的文件与目录结构中的标准位置关联起来。此外，每个目录名是基于有意义的词生成的，赋予它们可变的文件深度和有意义的内容。

2、攻击监测模块，用于实时监控主机网络服务连接情况，检测是否有网络攻击情况，并收集连接信息。利用核心应用程序接口(Application Programming Interface,API)，可以用于操作系统服务和控制所有用户输入和输出。通过API可以实现监控系统网络连接变化，并且通过高级权限获取其内存块中的信息。所以攻击监测模块可以直接访问传输控制协议、路由表、网络接口和网络协议统计信息中涉及的数据缓冲区，发现攻击者登录，进而获得攻击者的IP地址，端口等信息。

3、勒索软件攻击判定模块，可分为文件类型监控模块和文件熵值监控模块。

文件类型监控模块，用于实时监控蜜饵文件类型的变化。存储在文件中的数据类型可以描述文件类型特定的字节值顺序和位置，并且在通常情况下保留它们的文件类型和格式。本发明在蜜罐中部署的蜜饵文件不会被触碰改变，因此对这些文件的批量修改应该被认为是可疑的。当检测到这种类型的变化，可以推断一个疑似勒索软件攻击已经发生。

文件熵值监控模块，用于实时监控蜜饵文件熵值的变化。熵可以表示字符串中每个字符的随机性。熵值越高，随机性越强。当熵值由0到8表示时，熵值8表示其完全均匀分布的字节数组组成。由于在加密密文中出现的每个字节的概率基本相同，所以熵值将接近上限。由于勒索软件常需要加密大量文件以达到勒索的目的，当检测到文件在短时间内变成高熵值文件，并且也改变文件类型时，可以认为文件受到勒索软件的攻击。

4、可溯源线索收集模块，该模块进一步可以分为剪贴板信息收集子模块、共享文件夹信息收集子模块、进程信息收集子模块。

进程信息收集子模块，用于监控蜜罐中的进程变化情况，当攻击者触碰蜜罐并产生进程时，可以通过监控可疑进程发现攻击行为和攻击程序。进程信息收集子模块首先记录在基于RDP(Remote Desktop Protocol，远程桌面协议)的勒索软件攻击之前欺骗环境中常用的进程的状态。当攻击监测模块检测到发生攻击后，通过API监视系统中新创建的进程，并实时获取所有进程包括进程标识符(PID)在内的状态快照。当可疑进程启动时，进程信息收集子模块通过PID识别它，并查找进程的运行路径，达到发现攻击工具运行地址的目的。

剪贴板信息收集子模块，能够在不影响其内容的情况下，使用剪贴板监视器监视剪贴板的变化并实时获取攻击主机遗留的线索。由于Windows应用程序是消息驱动的，所以剪贴板监视器可以响应和处理剪贴板的变化消息。当剪贴板内容发生变化时，监视器触发消息，并将更改后的消息发送到剪贴板查看链的第一个窗口。在每个剪贴板API查看器窗口(这里的窗口特指API调用接口中的窗口)响应并处理消息之后，它必须根据保存的链表中的下一个窗口的句柄将消息发送到下一个窗口，所以剪贴板监视器可以通过窗口使用API获取剪贴板的新内容。当攻击主机执行复制或剪切操作时，剪贴板中的数据被重写。因此，剪贴板监视器保证实时监听并将实时信息写入日志文件。每当剪贴板监视器接收剪贴板更改通知时，更新日志文件。当更新日志文件时，为了防止它被攻击者检测或被勒索软件加密，剪贴板监视器将其发送到安全主机，并将其从主机蜜罐中完全擦除。

共享文件夹信息收集子模块，用以监控实时挂载的文件夹的信息，并获取挂载文件夹中的可溯源信息。通过实时遍历磁盘存储，共享文件夹监视器实时发现共享文件夹的更新。本发明利用远程桌面的共享文件夹在远程主机中具有的前缀“\tsclient”路径。当共享文件夹监视器遍历存储到这个前缀时，使用API查找到第一个文件，然后查找具有返回句柄的下一个文件。当结果句柄为文件夹格式时，它继续遍历该文件夹下的所有文件。最初，共享文件夹监视器试图通过遍历新的共享文件夹来获取完整的文件名和文件内容。由于随着存储中文件数量的增长，当监视器试图获取文件内容时消耗的资源过大，很可能会使蜜罐中的攻击者警惕。因此，本发明设计的共享文件夹监视器需要获得攻击者在其主机上共享的文件路径。此外，为了防止由勒索软件加密，共享文件夹监视器将直接将获取的共享文件路径列表传送到另一个安全主机。

5、线索传递模块。线索传递模块作为可溯源信息的收集与转发接口。

当上文任何一个监视器检测到更新信息时，利用API向可溯源线索收集模块发送相应信号，生成临时文件，文件生成后，可溯源线索收集模块将收到的信息中还未发出的线索存储在临时文件中。线索传递模块将待发送文件传递给安全主机以保存可溯源线索。进一步可以将可溯源线索直接交给安全研究人员或执法部门，利用追踪溯源技术进行进一步分析，追踪攻击者的物理身份。

图3是基于主机蜜罐对抗勒索软件攻击的方法的步骤流程图，主要步骤包括：蜜罐主机与安全主机搭建，蜜饵文件生成与部署，攻击发现监测，勒索软件攻击判定，线索收集监控，以及线索传递。各步骤的具体实现过程参见前文对各模块的描述。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种基于主机蜜罐对抗勒索软件攻击的方法，其特征在于，包括以下步骤：

1)在主机群中搭建主机蜜罐环境；

2)在主机蜜罐中生成并部署蜜饵文件，记录蜜饵文件生成后的初始文件类型和熵值状态；

3)监控主机蜜罐的远程登录状态，当检测到具有远程登录操作发生时，通知主机蜜罐开启实时监控行为；

4)监控蜜饵文件的文件类型和熵值信息，当文件类型和熵值均发生异常变化时，判定为勒索软件攻击；

5)当主机蜜罐检测到勒索软件攻击时，收集攻击者主机的可溯源信息；

6)将收集到的攻击者主机的可溯源信息，作为可溯源线索发送到安全主机中。

2.根据权利要求1所述的方法，其特征在于，所述蜜饵文件的文件类型包括文档、图片、工程文件，尽可能覆盖各种勒索软件攻击的所有目标类型；所述蜜饵文件的文件属性信息涵盖实际文件具备的属性。

3.根据权利要求1所述的方法，其特征在于，步骤2)通过直接访问传输控制协议、路由表、网络接口和网络协议统计信息中涉及的数据缓冲区，发现攻击者登录，进而获得攻击者的IP地址、端口信息。

4.根据权利要求1所述的方法，其特征在于，步骤4)中，当检测到蜜饵文件的文件类型的变化时，推断一个疑似勒索软件攻击已经发生；当检测到蜜饵文件在短时间内变成高熵值文件，并且也改变文件类型时，认为受到勒索软件攻击。

5.根据权利要求1所述的方法，其特征在于，步骤5)所述收集攻击者主机的可溯源信息，包括：

a)监控主机进程，记录可疑进程信息及发起进程的执行程序；

b)实时循环检测主机剪贴板及共享文件夹的信息更新，当检测到剪贴板更新或/和新增共享文件夹分享时，记录更新的剪贴板中字符串信息和共享文件夹路径信息，获得攻击者主机的可溯源信息。

6.一种蜜罐主机，其特征在于，包括：

蜜罐环境生成模块，用于部署主机的蜜罐环境，并在蜜罐环境中生成并部署有限段接近于真实用户文档的蜜饵文件；

攻击监测模块，用于实时监控主机蜜罐的登录状态，实时发现攻击行为；

勒索软件攻击判定模块，用于实时监控蜜饵文档的类型和熵值变化，检测判定是否为勒索软件攻击；

可溯源线索收集模块，用于收集攻击者主机的可溯源信息；

线索传递模块，作为可溯源信息的收集与转发接口，并将可溯源信息传递到安全主机中。

7.根据权利要求6所述的蜜罐主机，其特征在于，所述攻击监测模块直接访问传输控制协议、路由表、网络接口和网络协议统计信息中涉及的数据缓冲区，发现攻击者登录，进而获得攻击者的IP地址、端口信息。

8.根据权利要求6所述的蜜罐主机，其特征在于，所述勒索软件攻击判定模块包括：

文件类型监控子模块，用于实时监控蜜饵文件类型的变化，当检测到文件类型的变化时，推断一个疑似勒索软件攻击已经发生；

文件熵值监控子模块，用于实时监控蜜饵文件熵值的变化，当检测到文件在短时间内变成高熵值文件，并且也改变文件类型时，认为受到勒索软件攻击。

9.根据权利要求6所述的蜜罐主机，其特征在于，所述可溯源线索收集模块包括剪贴板信息收集子模块、共享文件夹信息收集子模块和进程信息收集子模块；其中，剪贴板信息收集子模块用于实时监控并收集攻击者在本地攻击主机的剪贴板中遗留的可溯源信息；共享文件夹信息收集子模块通过限制端口诱导攻击者利用挂载磁盘的方式上传攻击工具，收集攻击主机中的路径信息；进程信息收集子模块通过实时监控主机进程变化，发现勒索软件攻击者的攻击进程，收集攻击者发起进程的程序。

10.一种对抗勒索软件攻击的系统，其特征在于，包括主机群，所述主机群包括权利要求6至9中任一权利要求所述的蜜罐主机，以及从所述蜜罐主机接收勒索软件攻击者的可溯源线索的安全主机。