跳過主内容

改善人工智慧架構的防禦機制,藉此阻斷人為操作的勒索軟體

Microsoft 致力於深入了解人為操作的勒索軟體攻擊 (源自於蓬勃發展的網路犯罪零工經濟),並持續將我們汲取的心得運用在自身提供的解決方案中,以保護客戶。我們的專家會負責監控威脅製造者、調查現實環境中的各種勒索軟體攻擊,並透過 Microsoft 雲端每日處理的數兆筆訊號收集情報,藉此提供各項威脅的獨到深入解析。舉例來說,在人為操作的勒索軟體攻擊方面,我們不僅會追蹤明確的勒索軟體承載,更力圖掌握用以部署勒索軟體的一系列惡意活動。畢竟,及早偵測和阻斷惡意軟體攻擊,為限縮受害組織受影響層面 (包括業務中斷和敲詐勒索) 的重要關鍵。

為了及早阻斷人為操作的勒索軟體攻擊,我們採用多項專業的機器學習技術來強化Microsoft Defender for Endpoint 所提供的人工智慧架構防護機制,藉此尋找並迅速判定 (亦即透過高信賴度的方式判斷惡意意圖) 在主動式攻擊期間觀察到的惡意檔案、程序或行為。

這項及早定罪實體 (檔案、使用者帳戶和裝置) 的機制採用了縝密的風險減輕措施,不僅會要求檢查攻擊情境,還會檢視受害裝置或組織內的相關事件。Microsoft Defender for Endpoint 整合了三個層級的人工智慧資訊,每個層級都能評定風險分數,藉此判斷實體是否與主動式勒索軟體攻擊息息相關:

  • 具有時序的警示統計資料分析,旨在掌握組織層級的異常情況
  • 組織內所有裝置的可疑事件匯總圖表,旨在識別一組裝置內的惡意活動
  • 裝置層級的監控措施,旨在透過高信賴度的方式識別可疑活動

Microsoft Defender for Endpoint 可匯總來自上述多個來源情報,藉此釐清相同網路內不同裝置上的實體關係。此一關聯性有助於加速偵測容易遭到忽略的威脅。如果據信單一裝置上正在發生縝密的攻擊事件,相關程序和檔案就會立即遭到封鎖和修復,以阻斷攻擊。

及早阻斷攻擊不僅是防範所有縝密攻擊的重要關鍵,對人為操作的勒索軟體而言,更是別具重要性,畢竟,威脅製造者會試圖透過攻擊來取得組織網路的特殊存取權限、橫向移動,並盡可能將勒索軟體大量部署在網路中的裝置上。舉例來說,在某個勒索軟體攻擊的加密階段中,攻擊者的組織裝置檔案加密進度尚未超過 4%,Microsoft Defender for Endpoint 就已憑藉強化的人工智慧導向偵測功能,提前將其偵測出來並予以定罪,藉此展現優異的攻擊阻斷能力,並保護組織內的其他裝置。從上述案例不難看出:將可疑的執行個體迅速定罪,以及主動阻斷人為操作的勒索軟體攻擊,可望發揮重要的防禦作用。

圖 1:圖表中可看出在攻擊者的組織裝置檔案加密進度達 3.9% 之際,Microsoft Defender for Endpoint 就已成功揪出勒索軟體攻擊

如同這個案例所示,將可疑的執檔案和程序迅速定罪,有助於減輕勒索軟體攻擊在組織內部引發的衝擊。揪出可疑實體後,Microsoft Defender for Endpoint 就會藉助於回饋迴圈封鎖之力,使用 Microsoft Defender 防毒軟體封鎖組織端點上的威脅,從而遏止攻擊。隨後,Microsoft Defender for Endpoint 將使用勒索軟體攻擊期間收集到的威脅情報,為其他組織提供相關保護。

圖 2:使用 Microsoft Defender 防毒軟體的雲端架構機器學習分類器和封鎖機制進行定罪的概觀

在這篇部落格文章中,我們將詳細探討Microsoft Defender for Endpoint 如何憑藉多項創新的人工智慧架構保護機制,著手檢查組織層級的警示、裝置內的事件,以及特定裝置上的可疑活動,藉此透過獨特的方式匯總眾多訊號,繼而識別人為操作的勒索軟體攻擊。

偵測組織層級警示中的異常情況

人為操作的勒索軟體攻擊會於系統中產生許多雜訊。在這個階段中,Microsoft Defender for Endpoint 等解決方案只要偵測到許多裝置上出現多個惡意跡象和行為,就會發出許多警示,繼而導致警示數量暴增。圖 3 顯示了發生在單一組織內的攻擊事件。

圖 3:圖表中顯示發生在勒索軟體攻擊階段期間的警示數量暴增情況

Microsoft Defender for Endpoint 可運用時序分析來監控警示匯總內容,並透過統計資料分析偵測任何警示數量暴增情況,從而識別組織層級的攻擊。在發生警示暴增當下,Microsoft Defender for Endpoint 會分析相關警示,並使用專業的機器學習模型來區分真正的勒索軟體攻擊和假性警示數量暴增。

如果警示合乎勒索軟體攻擊的活動特點,Microsoft Defender for Endpoint就會搜尋可疑的實體,繼而根據攻擊關聯性和組織內的蔓延程度加以定罪。圖 4 顯示了組織層級的偵測作業。

圖 4:組織層級的異常偵測概觀

裝置關聯性的圖表監控機制

如果攻擊並未於組織層級產生足夠的雜訊,組織層級的監控機制就無法適時發揮作用。因此,除了監控異常警示的數量,Microsoft Defender for Endpoint也會採用圖表架構的方法來著重檢視多部連線裝置,以便進行具有高信賴度的偵測作業,包括產生整體風險分數。針對此一層級的監控作業,Microsoft Defender for Endpoint會檢查裝置上的遠端活動,以產生關聯性圖表。當組織內的另一部裝置連接了使用系統管理憑證的裝置,往往會透過 PsExec/wmi/WinRm 等熱門系統管理工具展開遠端活動。不過,此一遠端連線也有可能是攻擊者先前所進行的認證竊取活動。

通常,管理員會使用這類型的連線工具進行合法用途,正因如此,Microsoft Defender for Endpoint會搜尋在連線期間執行的特定可疑程序,藉此區分可疑的活動與雜訊。

圖 5:圖表中顯示了初始攻擊媒介如何透過典型的攻擊模式來進行掃描和橫向移動

圖 5 顯示了使用遭入侵的裝置 A 做為初始攻擊媒介的典型攻擊模式,攻擊者使用遠端桌面通訊協定 (RDP) 或遠端殼層來接管裝置,並著手掃描網路。只要一有機會,攻擊者就會橫向移動至裝置 B。此時,命令列上的遠端程序 wmic.exe 及目標上的 wmiprvse.exe 可產生新的程序,以執行遠端活動。

圖表架構的偵測作業會於記憶體內產生實體,以製作顯示所連接元件的虛擬圖表,藉此計算整體風險分數,而當中的每個元件都代表進行可疑活動的裝置。這些活動可能會產生低逼真度訊號,例如來自特定機器學習模型的分數,或是裝置上的其他可疑訊號。圖表邊緣會顯示可疑的裝置連線。隨後,Microsoft Defender for Endpoint 將分析這個圖表,以產生最終的風險分數。圖 6 的範例顯示了圖表架構匯總活動和風險分數產生作業。

圖 6:使用訊號匯總為多部裝置產生風險分數的示意圖

透過高信賴度的方式識別單一裝置上的可疑活動

最後一個偵測類別,就是識別單一裝置上的可疑活動。有時,來自單一裝置的可疑訊號,便足以用來識別勒索軟體攻擊,舉例來說,有些攻擊會長時間進行活動,或將活動分散至與攻擊鏈無關的處理序中,藉此達到迴避偵測的目的。因此,如果防禦機制無法識別這些處理序的關聯性,攻擊就會趁隙而入。畢竟,要是每個處理鏈的訊號沒有足夠的強度,勢必不會產生任何警示。

圖 7 簡單說明了使用 [啟動] 資料夾和自動啟動擴充點所進行的迴避偵測活動。攻擊者在接管裝置後開啟 cmd.exe,並將某個檔案寫入至 [啟動] 資料夾,藉此執行惡意活動。當裝置重新開機時,[啟動] 資料夾內的檔案就會使用與撰寫檔案之原始 cmd.exe 無關的父處理序 ID explorer.exe 執行額外的命令。這個行為會將活動劃分為在不同時間發生的兩大個別處理鏈,以防安全性解決方案識破兩個命令的關聯性。正因如此,如果兩個處理序都沒有產生足夠的雜訊,勢必不會產生任何警示。

圖 7:迴避偵測活動被劃分為在不同時間發生的兩大個別處理鏈

Microsoft Defender for Endpoint可運用強化的人工智慧架構偵測,著手評估類似 DLL 劫持、自動啟動登錄項目、在 [啟動] 資料夾建立檔案,以及類似可疑變更的處理序記錄,藉此連結看似無關的活動。隨後,定罪邏輯就會找出與檔案和後續工作相對應的初始處理序。

運用人工智慧技術防範人為操作的勒索軟體

人為操作活動背後的攻擊者需要仰賴於入侵環境中取得的資訊,藉此做出決策。這些攻擊所涉及的人為層面,往往會因攻擊模式而異,而攻擊模式的演變情況,則與攻擊者取得的權限提升及橫向移動機會息息相關。人工智慧和機器學習可提供創新的方法,讓採用先進工具及技術持續迴避偵測的已知縝密攻擊無所遁形。

在這篇部落格文章中,我們探討了Microsoft Defender for Endpoint的雲端式人工智慧導向保護機制可提供哪些精心設計的增強功能,以協助您阻斷人為操作的勒索軟體攻擊。這些強化的保護機制會運用人工智慧技術分析不同層級的威脅資料,以進一步監控惡意活動並掌握其關聯性,繼而將惡意實體定罪,並阻斷其攻擊路徑。現在,這些人工智慧保護機制可於勒索軟體的早期階段觸發,也就是在攻擊開始加密裝置檔案之際。我們正努力擴充這些保護機制,期望將它們在攻擊鏈中的觸發時機提前至勒索軟體部署前,在此同時,我們也將致力於擴大遭到入侵之使用者帳戶和裝置的定罪和隔離範圍,以進一步限縮攻擊造成的傷害。

有了這項創新的偵測方法,Microsoft 365 Defender 的現行勒索軟體防禦能力將大幅增進。這項與時俱進的攻擊阻斷功能,無疑展現了 Microsoft 企圖駕馭人工智慧,透過嶄新手法偵測威脅及抵禦複雜威脅環境的決心。

了解 Microsoft 如何協助您抵禦勒索軟體。

了解 Microsoft 安全性研究如何運用機器學習和人工智慧技術推動創新。

Arie Agranonik、Charles-Edouard Bettan、Sriram Iyer、Amir Rubin、Yair Tsarfaty
Microsoft 365 Defender 研究團隊