六方金石勒索软件监控阻断系统介绍

Beijing Mike

1. 简介

六方金石®™勒索软件监控阻断系统是一款针对加密类型勒索软件的防御系统。与常规的以特征码为基础的静态防御产品不同,它以丰富全面的系统级行为监测为工程基础,以对加密操作的准确判断为理论支撑,实现对加密类型勒索软件的实时监测与发现,并具备在出现加密勒索行为时及时阻断的联动化保护能力,能够为用户提供有效的防加密勒索能力,并且对未知加密勒索软件具有很强的防控能力。

2. 特点

系统能够实施针对勒索软件加密行为的事前、事中、事后三层防御,能够帮助用户形成全方位、多层次的加密勒索行为防卫体系,可以作为终端安全防护系统的有效补充,互相结合以形成全面的、整体的勒索软件入侵行为防范阻断系统。

多层次防护机制

系统具有如下技术特点:

  • 综合应用APT行为监测和密码学理论

  • 综合使用进程监控和存储监控技术

  • 专有勒索软件行为智能发现技术

  • 专有可疑加密行为发现与阻断技术

  • 具备对未知加密勒索软件的防范能力

3. 系统组成和层次架构

系统功能由7大核心模块组成:

系统组成

系统为分为4个层次设计,包括17个方面的核心关联操作,以实施全面联动的勒索软件加密行为监控、防范和阻断。

其中:

  1. 每一层横向的所有操作,都是相系关联、相互影响的;

  2. 上层的操作会得到下一层操作的具体化支持;

  3. 在内核过滤层分为文件、进程、密码3个具体的过滤控制程序(以颜色区分),也属于关联操作,为上层的对应操作(图示的上下对应关系)提供支持,并通过上层关联操作之间的通信进行联动。

系统层次架构

4. 系统功能点:

  • 实时监控所有关注的敏感文件操作,包括读、写、删除与重命名;

  • 动态分析文件是否被加密、被谁(哪个进程)加密;

  • 动态分析进程是否具有加密操作原语;

  • 使用可更新策略,动态分析并判断进程的加密操作是否合理;

  • 依据白名单机制进行用户设置级关键进程过滤;

  • 发现可疑行为及时报警与阻断;

  • 支持用户指定目录高级别优先防护;

  • 支持对勒索软件行为诱捕;

  • 支持无文件形式的勒索软件行为阻断;

  • 支持PowerShell脚本形式的勒索软件行为阻断;

  • 支持对未知加密型勒索软件的行为监控与阻断。

应用主界面 (SDK开发版本)

5. 优势技术

  • 快速文件索引及监控技术

能够深入文件系统底层,访问和操作各类文件,以较低的系统资源占用率实现高效快速的文件索引与监控。

  • 文件流及加密状态分析技术

能够对关心的敏感文件流操作进行扫描,通过深入分析文件操作关联性及文件内容变化特征,能够接近实时地发现针对文件的异常加密操作,捕捉加密进程状态以进行关联分析,并按照用户预定义配置进行报警和阻断。

  • 进程加密操作原语发现技术

基于特定图论算法,通过综合分析加密原语逻辑特点及加密参数特征,能够发现进程是否具备加密能力。该技术不受特定的密码算法逻辑及密码算法具体实现的限制,能够发现是否存在专用或特殊类型的加密逻辑,具备良好的未知密码算法加密行为预先发现能力。

  • 专有的勒索软件行为监控技术

针对勒索软件最新的技术发展状况,总结了面向无文件/脚本化勒索软件的行为特征,实施了有针对性的监控和防御阻断,能够对较新甚至未知的勒索软件家族进行抵御并实施有效阻断。

6. 如何工作

下面我们用一个实际的例子来演示一下,说明系统是如何工作的。

首先,让我们说明一下我们的基本演示环境。该环境运行的是Windows 10操作系统,磁盘空间大约80GB,已安装占用的空间大约45GB。其中,测试用的文档大小约500MB,测试用的图片大小约400MB,测试用的音频、视频文件大约是1.7GB。操作系统程序空间大小约11GB,自己安装使用的工具程序空间大约是3GB。

基本测试环境

我们演示用的勒索软件是WannaCry。之所以选择它,是因为它是一款经典的、有里程碑作用的、有代表性的勒索软件。

我们在测试环境中,在没有开启防护的条件下,“引爆”了WannaCry勒索软件。这个勒索软件样本的SHA256值是ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa。

该勒索软件样本在大约1分30秒的时间内,完成了针对测试环境的破坏,弹出了经典的勒索支付提示窗口,并修改了桌面。

Wannacry加密了未保护的系统

可以看出,在很短的时间内,该勒索软件样本加密了约25000个文件。而且值得一提的是,与现在流行的勒索软件相比较,WannaCry的加密速度还是比较慢的。

Wannacry 勒索警告窗

Wannacry 加密了大量的文件

我们来看看,六方金石®™勒索软件监控阻断系统是如何阻止 WannaCry 勒索软件的。

很简单,我们只是打开了主引擎的开关。六方金石®™勒索软件监控阻断系统只用了几毫秒的时间,就判断出这是一个加密型勒索软件,并阻止了它。在这次测试中,我们 “引爆 “了 Wannary 勒索软件 2 次。

阻断 Wannacry 勒索软件

我们检查一下,为了判断这是一个勒索软件,我们损失了多少文件。

我们损失了 4 个文件

是的,我们会损失一些文件,以判断一个或一组进程是否是恶意的勒索软件。请记住,六方金石®™勒索软件监控阻断系统不基于文件校验值或者是特征码,它是一个基于行为的勒索软件监控与阻断系统。也正是因为这一技术特点,它具备防范未知勒索软件的能力。

使用六方金石®™勒索软件监控阻断系统就是这么简单!

请记住我们的口号:用密码技术对抗勒索软件!