《Splunk：勒索软件二进制文件的实证比较分析白皮书（19页）.pdf》由会员分享，可在线阅读，更多相关《Splunk：勒索软件二进制文件的实证比较分析白皮书（19页）.pdf（19页珍藏版）》请在三个皮匠报告上搜索。

1、白皮书勒索软件二进制文件的实证比较分析作者：Shannon Davis白皮书1勒索软件二进制文件的实证比较分析执行摘要安全研究人员和网络防御者已经撰写了许多关于勒索软件的文章，但许多组织仍然对这种攻击做出战术性的反应，而不是有针对性的应对。这部分是由于缺乏关于勒索软件的基础知识。勒索软件的加密速度是一个值得进一步研究的领域。迄今为止，关于这一主题的最全面的信息来自 LockBit 勒索软件作者自己，他们在自己的网站上发布了勒索软件系列加密速度的比较结果，以宣传他们是“最快的”。本文旨在阐明一个以前留给罪犯的研究领域。我们在受控环境中利用科学方法，测量了 10 种流行勒索病毒恶意软件在不同 Wi

2、ndows 操作系统和硬件规格下加密近 10 万个文件（总计近 53GB）的速度。通过这项工作，我们希望给防御者更多的知识和信心，让他们在检测过程中“防患于未然”，而不是在 Lockheed Martin 网络杀伤链白皮书中讨论的“行动目标”阶段等待检测。为了确定勒索软件的加密速度，我们创建了 Splunk 攻击范围实验室环境的修改版本，并选择了 10 种勒索软件变种，然后在四台主机上执行每个变种的 10 个样本。两台主机运行操作系统 Windows 10，另外两台主机运行Windows Server 2019。在将勒索软件样本归因于每个变种时，我们采取的方法是在 VirusTotal 中仅选

3、择由 Microsoft Defender Antivirus 确认的样本。我们为每台主机分配了“高”或“中”级别的资源，以测试勒索软件在不同的处理器、内存和硬盘配置下的表现。我们在每台主机上启用了 Windows 日志功能，以收集、综合和分析 Splunk 中的数据。这使我们能够测量勒索软件变种加密近 10 万个文件的速度，以及勒索软件如何利用处理器、内存和磁盘等系统资源。在运行所有 100 个勒索软件样本后，我们确定总加密时间(TTE)从 4 分钟到 3 个半小时不等，平均速度为 42 分钟。由于加密时间短，在加密完成之前，留给组织做出有效响应的时间将非常有限。当在具有不同资源的系统之间比

4、较相同的勒索软件病毒株时，我们发现一些变量会影响 TTE，例如处理器速度或 CPU 内核。然而，影响也不一致，这意味着一些勒索软件是单线程的，或最低限度地能够利用额外的资源。LockBit 勒索软件是在任何系统上加密最快的变种。这与之前的报告一致，即 LockBit 只需加密每个文件的 4KB，便可使文件无法使用，从而加快了攻击速度。“最快勒索软件”的称号也与 LockBit 开发者自己在该组织 Tor 网站上的公开宣称相吻合。SURGe 计划在这项研究的基础上，为网络防御者提供全面而高层次的勒索软件概述。特别是，我们计划使用开源文件分析框架工具（例如 stoQ、模糊算法和 Splunk 的机

5、器学习工具包(MLTK)）来审查多个勒索软件样本的文件访问技术。此外，我们还计划调查现代勒索软件没有用打包程序掩盖的说法，并确定是否有可能在未知勒索软件二进制文件被“部署”时群集待确定的分类器，而不是在执行后检测它们。我们计划在 2022 年 6 月在.conf22 上发布这项研究的数据集。我们鼓励研究人员调查该语料库，并验证我们的研究结果或在此基础上进行构建，以帮助全球蓝队队员社区。白皮书2勒索软件二进制文件的实证比较分析简介在 2021 年的 M-Trends 报告中，Mandiant 发现他们在 2020 年的调查中有 25%涉及勒索软件，高于 2019 年的14%。12021 年 Ve

6、rizon 数据泄露调查报告(DBIR)指出，从 2019 年到 2021 年，勒索软件攻击的频率翻了一番。2尽管这种恶意软件在公众意识中相对较新，但自从 1989 年在一次 AIDS 会议上通过软盘首次出现以来，它就一直困扰着世界。3重要研究结果 在我们的测试中，在 10 个勒索软件变种中，LockBit 勒索软件的加密速度最快，这与该勒索软件集团在其 Tor 网站上的声明一致。勒索软件变种加密 98561 个文件(53.83 GB)的平均时间为 42 分 52 秒。个别勒索软件样本加密速度差异很大，从四分钟到三个半小时不等。改进的硬件功能为一些勒索软件样本提供了更快的加密速度。其他样本和变