在 52 秒或 42 分鐘內完成:勒索軟體加密速度對比分析
發布日期:2022/04/29
您是否覺得 2021 年間勒索軟體出現在所有網路安全的新聞報導中?我們也有同感。作為網路安全廠商,我們認為自己也應該為對這個議題做一些貢獻。 :-)
但我們確實想做一些不同的嘗試。
除了 Splunk 威脅研究團隊發現的大量勒索軟體偵測結果之外,我們還想利用 Splunk 來看看是否可以為勒索軟體這個話題增加一些深度和知識。我們決定測量勒索軟體加密檔案的速度;不只是一兩個勒索軟體二進位檔,而是幾十個——全部使用 Splunk 來測量。
為什麼?好吧,一部分原因是我們擁有無限的 Splunk 授權,另一部分是我們找不到以下問題的答案:「在勒索軟體加密系統之前,您有多少反應時間?」這一點知識似乎對組織的防禦有用。如果企業在勒索軟體完成加密之前有超過 20 小時的時間,他們或許可以將重點放在如何偵測和緩解勒索軟體。如果勒索軟體只要不到 52 秒就能加密整個系統,那麼企業或許應該在勒索軟體生命週期的早期就做出回應。
在一開始的假設中,我們認為如果勒索軟體已經在系統上執行,無論組織怎麼回應都為時已晚。我們對勒索軟體的加密速度進行了文獻探討,找到了一個存在於勒索軟體組織內部的討論。
LockBit 群組在他們的 Tor 網站上發布了一張表格 (圖 1),列出 30 多個勒索軟體系列的加密速度,不意外地表明 LockBit 是最快的。我想這是有道理的。你通常不會發布自己有多糟糕的公關稿。我們檢視了勒索軟體入侵後的停留時間,發現 Mandiant 在一份《2021 M-Trends 報告》中指出的三天停留時間相當有代表性。這給了我們一個「人們多久才會意識到他們被感染勒索軟體」的時間表。
圖 1 LockBit 分析各勒索軟體集團之間的勒索軟體加密速度
準備工作
我們不能只讓 LockBit 的行銷團隊發布這樣的內容,所以我們捲起袖子打造一個環境,用以進行自己的勒索軟體速度測試。我們採用了由 Splunk 威脅研究團隊所建立的 Splunk Attack Range 專案,並對其進行修改以滿足我們的需求。
圖 2 使用修改版 Splunk Attack Range 建立的勒索軟體環境
我們建立了 4 個不同的「受害者」設定檔,分別由 Windows 10 和 Windows Server 2019 作業系統組成,每台電腦上都有兩個以客戶環境為基準的不同效能規格。然後,我們選擇 10 個不同的勒索軟體系列,每個系列取 10 個樣本進行測試。圖 3 列出我們測試的家族,以及來自 VirusTotal 的 Microsoft Defender 偵測識別碼。
圖 3 勒索軟體家族和來自 VirusTotal 的對應 Microsoft Defender 偵測識別碼
我們測試了所有 4 個主機設定檔中的每個樣本,總計執行了 400 次不同的勒索軟體 (10 個系列 x 每系列 10 個樣本 x 4 個設定檔)。為了評量加密速度,我們從一個公開的檔案語料庫中收集了 98,561 個測試檔案 (pdf、doc、xls 等),總計 53GB。為了收集所需資料,我們使用了一組結合原生 Windows 日誌、Windows Perfmon 統計資訊、Microsoft Sysmon 以及 Zeek 和 stoQ,以進一步分析 (結果待續,敬請期待)。
為了擷取所需的加密事件,我們在測試檔案所在的 100 個目錄上啟用了物件層稽核。藉此我們取得了 EventCode 4663 日誌,我們可以使用這些日誌來計算每個樣本的總加密時間 (TTE)。我們測試的樣本在加密每個檔案的末尾都有一個 DELETE 的 Accesses 值,這就是我們測量加密速度的方式。並非所有勒索軟體都是以這種方式運作,因此在 Splunk 中搜尋 EventCode=4663 Accesses=DELETE 或許不會總是回傳相同的結果。
搶劫
就像觀看《驚天動地 60 秒》(Gone in 60 Seconds) 一樣,您迫不急待想知道結果吧。公布答案。
圖 4 在 10 個勒索軟體系列中測量的平均勒索軟體速度
如您所見,LockBit 不負眾望,是受測的所有勒索軟體系列中加密速度最快的。我們列出了中位持續時間,因為部分勒索軟體系列有一兩個樣本會干擾平均持續時間。例如,LockBit 採樣速度最快的一個測試為 4 分 9 秒 (圖 5)。Babuk 緊隨其後,但有一個樣本是所有測試樣本中最慢的,耗時三個半小時以上 (圖 6)。
圖 4 在 10 個勒索軟體系列中測量的平均勒索軟體速度
如您所見,LockBit 不負眾望,是受測的所有勒索軟體系列中加密速度最快的。我們列出了中位持續時間,因為部分勒索軟體系列有一兩個樣本會干擾平均持續時間。例如,LockBit 採樣速度最快的一個測試為 4 分 9 秒 (圖 5)。Babuk 緊隨其後,但有一個樣本是所有測試樣本中最慢的,耗時三個半小時以上 (圖 6)。
圖 4 在 10 個勒索軟體系列中測量的平均勒索軟體速度
如您所見,LockBit 不負眾望,是受測的所有勒索軟體系列中加密速度最快的。我們列出了中位持續時間,因為部分勒索軟體系列有一兩個樣本會干擾平均持續時間。例如,LockBit 採樣速度最快的一個測試為 4 分 9 秒 (圖 5)。Babuk 緊隨其後,但有一個樣本是所有測試樣本中最慢的,耗時三個半小時以上 (圖 6)。
逃亡
這項研究記錄在這份綜合白皮書中,其中包含更多詳細資訊 (這裡我只簡要寫了 800 到 1,200 個字)。正如我之前提到的,我們對這個資料集還有更多的研究要做。我們計劃在 .conf22 (2022 年 6 月 14 日至 17 日) 之前將資料發佈到 Splunk BOTS 入口網站。如此一來,您可以自己調查這些資料,發現我們在測試期間可能沒有註意到的細節。
最後,您可能會想,這項研究對公司安全部門意味著什麼。好吧,回到我們最初的假設,亦即勒索軟體一旦在受害者執行,就已經難以防禦了。您可以從這項研究得到一些提示。開始設想「領先攻擊一步」,並評估您預防或偵測勒索軟體行為的能力。多因素驗證、網路分段、修補和集中式日誌都是非常好的策略,可以加強您對勒索軟體或任何其他惡意行為者的防禦。當然,在接下來的幾個月和夏天,你可以預期在 Splunk SURGe 還會看到更多這類的研究。我的意思是,還是要有人討論勒索軟體,對吧?
祝狩獵快樂!
________________________________________
作者群:一如往常,Splunk 的安全性來自所有人的貢獻。感謝作者群和相關人員:Shannon Davis、Ryan Kovar
作者
Shannon Davis
安全從業人員,墨爾本,澳洲,再到美國西雅圖。
