安全厂商现在可以通过在英特尔第十一代移动处理器中新的遥测技术和机器学习处理能力,更好地检测并阻断那些试图逃过传统检测手段的复杂勒索病毒软件。该功能被植入英特尔的商业用核心CPU中,包括vPro技术。
除了IT管理能力之外,vPro平台还提供Hardware Shield中的多种硬件加强的安全能力。包括可信任执行、虚拟化、内存加密、运行时BIOS防御、以及威胁检测技术(Intel threat detection technology, Intel TDT)。Intel TDT通过遥测CPU中的性能检测单元(performance monitoring unit, PMU)与加速机器学习启发机制,检测潜在的威胁。部分恶意程序会由于执行的任务影响到CPU性能;而勒索软件显然因为其大量的文件加密行为属于这类程序中。同样类型的恶意程序还包括挖矿病毒。这些性能的影响会在PMU的遥测数据中反映出来,而机器学习模型会通过这些数据识别潜在能够标志恶意软件存在的可疑或者异常行为。OS中运行的安全产品可以基于Intel TDT的信号进行进一步的扫描和修复。从本质层面来看,这是从CPU等级进行基于行为的恶意软件检测。英特尔商业客户组战略规划与架构的高级主任Michael Nordquist表示:“传统的防御注重于通过反钓鱼、备份、或者其他主动行为加强防御——这些都是非常好的实践,但是攻击往往还是能成功。在这些情况下,Intel TDT可以从最早的文件加密行为开始检测勒索病毒,并且立刻提示AV/EDR软件修复攻击。这样不仅可以将让受感染的终端受到的损伤得到限制,还能防范攻击横向移动到其他终端,或者纵向移动到网络以及云应用。这样的防范措施,对于企业而言是无价的。”检测勒索病毒从来就不是个简单的事。攻击者总能找到方法逃过安全产品的检查啊 。一些强大的黑客组织会通过人工黑客攻击行为,并且持续数月之久的探查,在企业网络中平行移动,从而清楚地知道攻击目标使用的恶意软件检测工具,然后提前进行测试,确保他们的攻击负载不会被发现。勒索病毒得以成功的很大原因就在于此。除了基于特征的检测之外,安全产品也试图通过监测文件行为中的异常情况,来发现类似勒索病毒的行为。举例而言,在某些地址读写大量文件,或者连续读写大量特定类型的文件,都表示有可以行为。被覆盖文件和原内容的巨大区别也是一种勒索病毒攻击行为的标志,因为被加密的文件和原始文件内容完全不同。另外,试图删除VSS备份也是一种勒索病毒的攻击行为。尽管说这些行为都能用于检测勒索病毒,但是攻击者依然能够隐藏这些行为,比如减缓及文件加密速度,或者分批执行加密。一些勒索病毒攻击者会采取更多的手段。比如,Ragnar Locker和Maze已经开始通过滥用虚拟化技术来隐藏他们在内存中的恶意进程。他们在被攻击者计算机上部署Oracle VirtualBox,建立轻量的Windows虚拟机,让这些虚拟机接入整个主机OS的硬盘,然后在虚拟机里执行勒索病毒,这样反病毒系统就无法查看相关进程。安全厂商Cybereason的CTO,Yonatan Striem-Amit提到:“虚拟机的使用主要为了隐藏内存,这样安全软件就无法扫描勒索病毒内存,但是勒索程序却依然需要和文件系统进行交互来进行加密。无论是行为的信号,还是英特尔的性能指标,都能够发现藏匿的勒索病毒:无论是否能读取进程内存。在这种方式中,进程内存就显得不那么关键,因此通过虚拟机隐藏行为的方式也不那么有效了。”大部分现代CPU都会嵌入一个GPU,通过直接存储器访问(Direct Memory Access, DMA)读取计算机的物理RAM。这种技术能让GPU更高性能地处理它们的任务,并且和主机OS共享RAM。Intel TDT利用这个功能加速在集成的Intel Iris Xe显卡上的机器学习检测模型,从而释放CPU算力执行其他任务。在Striem-Amit看来:“如今,将操作系统存在的信号和应用行为、CPU级别的性能指标、能够线性运行更复杂的机器学习算力,三者结合,可以比之前更精确地发现勒索病毒攻击。这种技术的演进能让我们将操作系统的可视化能力和CPU级别的性能指标相辅相成,了解是否真实存在勒索病毒行为。”勒索病毒在过去四年多时间中一跃成为企业头疼的主流攻击之一,每年全球都有大量的企业、政府遭到勒索病毒攻击。如今的勒索病毒越来越组织化、流程化,病毒攻击往往伴随着真实的入侵,而不再只是病毒的随意传播;因此,对于勒索病毒的防范难度正在逐渐提升。英特尔作为全球一流的硬件厂商,通过CPU层面进行监控,无疑为防御多添加了一把锁,结合安全厂商的防御能力,能够更全面、更及时地发现勒索病毒攻击。