与防病毒系统进行技术对比

Beijing Mike

1. 技术对比

六方金石®™勒索软件监控阻断系统 的设计理念是“以良性密码技术对抗恶意密码勒索”,其核心实现原理是通过对文件系统的监测,判断是否存在恶意的文件加密行为,该类行为是勒索软件的本质特征,无法隐藏或改变。

防病毒系统使用的勒索软件判别方法主要是特征识别,在文件指纹(哈希值)、指令指纹等特征确定的情况下触发,可针对已知的、特征未变化的勒索软件进行查杀,需要较大且实时更新的病毒库支持。

此外,由于现代恶意软件普遍使用逻辑混淆、文件加壳等技术,即使是同一家族的恶意软件也是千变万化,现在每天新生成的恶意软件在30万种以上。

而对防病毒系统来说,对抗这些勒索软件,防病毒系统总是处于被动的“发现并追赶”的地位,无法有效应对0day攻击。

特别是在防病毒系统无法联网,或者未及时更新病毒库的情况下,会使受保护系统暴露出较大的安全风险。

每天都会生成大量的新的勒索软件

常规的白名单控制机制,是通过可执行程序的文件名称、位置、校验值、签名值等信息,判断白名单合规性并决定是否允许程序执行。

在现代恶意软件中,广泛采用了进程注入、进程隐藏、系统级HOOK等技术,特别是脚本攻击、无文件攻击等新型攻击手段的出现,使基于白名单的控制机制面临新的威胁。

因为白名单控制机制无法在进程运行后执行持续性的监控,也无法解决合法进程被污染或关键功能被劫持替换的问题。

六方金石®™勒索软件监控阻断系统, 与之对比,采用的是一种基于密码学原理的判别技术,即文件如果被加密,其复杂度(也称为”熵”值)一定会出现变化,而且这种变化具有很多时间和空间特性,可以通过数学方法进行统计并依靠特定算法进行判别。

这类相关特性是勒索软件的本质特性,无论勒索软件如何变换其编码指纹、程序逻辑,这些特性都必然存在。这些特性也是勒索软件实现“使被勒索者丢失重要数据以完成勒索”这一目标的必要条件。

因此,六方金石®™勒索软件监控阻断系统具备对未知的、指纹特征不断变化的勒索软件,特别是使用某种0day攻击技术的新型勒索软件的防范能力。

同时,因为勒索软件监控阻断系统通过特定算法来完成勒索软件识别,且算法不需要依赖特征库、可独立运行无须中心支持、在没有出现新的突破性勒索技术前逻辑实现不变,所以本系统无需连网更新,无需中心控制,可独立部署,能够长期保持正常工作状态。

正是因为本勒索软件监控阻断系统具备对已知未知勒索软件的防范能力,具备“无需中心易部署、无需联网少升级”的应用特点,所以它可以与防病毒系统特别是白名单控制机制很好结合,优势互补,为用户应对更复杂的安全威胁提供支持。

2. 使用我们的SDK开发包协同工作

六方金石®™勒索软件监控阻断系统是北京密客科技有限公司开发的面向加密型勒索软件进行针对性防范的信息安全产品,具有不依赖指纹特征进行加密型勒索软件识别的技术特点,具有恶意加密行为实时发现阻断的智能处理能力,具有强大的未知加密型勒索软件的防范能力,具有不需要联网频繁升级的应用及部署优势,是应对勒索软件威胁的利器。

为更好与各类信息安全产品进行优势互补,形成全方位全链条的恶意软件防控能力,我司将勒索软件监控阻断系统核心功能抽取出来,形成二次开发和应用集成所需的SDK,供合作伙伴使用。

集成用SDK以独立的系统服务和设备驱动形式提供,具备基础的勒索软件识别和阻断能力,可使用简单的API进行调用和设置,例如勒索软件查杀、白名单管理等,也可以根据用户需求进行定制性功能开发。

集成SDK演示程序是勒索软件监控阻断系统核心功能的体验版本,主要以本系统SDK的主要功能函数支持为依托,以示例应用程序的形式,完成基础的针对勒索软件的监控、发现、报警和阻断功能,为将勒索软件监控阻断系统的核心能力与合作伙伴自身已经具备的其它多方面安全能力相结合运用提供支持。

例如,合作伙伴可以将勒索软件监控阻断系统的勒索软件发现与阻断功能,与自身的白名单机制进行深度整合,形成具备勒索软件威胁防范能力的更加卓有成效的信息安全产品。

下面是集成SDK演示程序的主要功能界面。

集成SDK演示程序主界面

发现勒索软件时,系统会按进程或进程组对勒索软件相关进程进行查杀。

杀死勒索软件并查看日志

用户可以自行定义诱饵目录的位置,并指定在发生什么操作时触发陷阱。

定义诱饵目录位置

针对可疑的勒索软件进程,系统可以识别它们对文件的更改,并按用户要求实施自动备份。SDK的使用者可以将这种能力与云服务提供的备份机制相结合,使备份能力更加全面。

将自动备份与云备份机制相结合

发现勒索软件并进行查杀后,系统可以对其磁盘文件进行加密,之后安全地存储在隔离区。

安全隔离勒索软件

六方金石®™勒索软件监控阻断系统是基于行为特征判别勒索软件的,因此,即使经过很细致的优化,也可能存在很小的概率,将一些正常的软件识别为勒索软件。出现这种情况,只需要将它们手动添加到白名单列表即可。放心,这样的情况很少见。

很少的软件需要加入白名单

六方金石®™勒索软件监控阻断系统,以及配套发布的面向合作伙伴使用的集成SDK,是应对日益猖獗且危害极大的勒索软件威胁的一种新型、有效、可行可靠的解决方案,具备深厚的技术积累和领先的技术优势。

它可以以最小的代价,从实战化角度出发,解决勒索软件加密快、破坏性强、影响恶劣、恢复成本高等实际问题,具备针对未知威胁有效、能够在勒索行为发生时及时止损、可非联网部署并保持长期正常工作的特点。

通过和广大信息安全厂商合作,取长补短,一定能为勒索软件的有效防范提供强有力的支撑,为最终用户的数据安全和应用安全防护添砖加瓦、贡献力量。

请记住我们的口号:用密码技术对抗勒索软件!