过去六个星期时间里,全球已经遭受两次有关勒索的恶意软件的大型攻击,这些恶意软件会锁住储存在电脑上的照片和其他文件,然后要求支付赎金。
显而易见,全球需要更好的防御系统。幸运的是已经开始出现这样的防御系统了,尽管还刚起步,发展过程仍较混杂。当这些防御系统得以完善的时候,我们可能还需要感谢人工智能。
比起其他攻击你电脑的恶意软件,勒索软件不见得更复杂或者更有要害,但它可能会更令人恼火,有时甚至是一大祸害。大多数木马病毒不会像勒索软件那样直接当面消除你的电子文件,也不会勒索个几百美元,让你瑟瑟发抖。
尽管电脑里存在要修复的系统漏洞,很多人还是不会更新升级安全软件。然而,近期两起勒索软件事件都攻击了那些没有安装几个月前就更新发布的Windows系统的电脑用户。
当然,安全监管软件自身也有问题。根据安全研究人员的说法,在本周的勒索软件攻击事件中,所测试的60个安全监管软件中,最初只有两个软件成功拦截勒索软件。
加州安全供应商专家RyanKalember说,“许多合法应用程序运行起来很像恶意软件,尤其在Windows系统上,所以而且很难将两者区分开来”。
在早期,可以识别出病毒等恶意程序,并将其代码与已知的恶意软件数据库相匹配。但该技术还是依赖于数据库,新变异的恶意软件一旦出现,就能轻松躲过监测。
因此,安全监管软件公司开始通过辨别软件运行模式来监测恶意软件。至于勒索软件,监管软件可以监测那些重复加密锁定文件的运行模式。但这也会标记像文件压缩这样正常的计算机运行方式为恶意行为。
更新的技术涉及寻找综合的运行方式。例如,新西兰安全公司Emsisoft的首席技术官FabianWosar说,一个程序开始加密文件,而不显示屏幕上的进度条,可能会被标记为暗中运行方式。但这也有可能出现因锁定一些文件,导致太晚识别恶意软件的风险。
更好的识别方法是监测通常跟恶意软件目的相关的一些显性特征。例如,有的程序会伪装成PDF图标,以隐藏其恶意软件的事实。这种恶意软件的性能分析不需要精确的代码匹配,因此恶意软件无法轻易躲过监测。而且这种监测可以先于具有潜在危险的程序运行之前进行。
机器VS机器
仅两三个特征可能无法正确区分恶意软件和合法软件。但几十个特征呢?几百个呢?甚至几千个呢?
为此,安全研究人员求助于机器学习,也是人工智能的一种形式。安全系统分析了恶意软件和合法软件的样本,并找出了恶意软件的综合因素。
遇到新软件时,系统会自动计算出它可能是恶意软件的概率,并阻止那些概率高于某一阈值的软件。如果有些软件想要通过监测,就需要改进运算或调整阈值。研究人员有时碰到新的恶意行为,便在机器上做出新调整。
一场军备竞赛
另一方面,恶意软件作者也可以获取这些安全监测工具,并对代码进行调整,以判断恶意软件是否能躲过检测。一些网站已经开始提供针对主要安全系统的软件测试。最终,恶意软件作者可能会开始他们自己的机器学习模式,以击败安全的人工智能系统。
加州供应商CrowdStrike的联合创始人和首席技术官Alperovitch说,“即使某个安全系统提供99%的保障系数,但如何在多次攻击中成为躲过的那1%,仅仅是一个数学问题。”
不过,运用机器学习的一些安全软件公司声称,已经成功阻止了大多数恶意软件,而且不仅仅是勒索软件。SentinelOne提供100万美元来拦截恶意软件。
一个根本性的挑战
为什么勒索软件还能在最近几周内传播呢?
随着许多软件将运行监测和机器学习技术结合,即使是一些免费的杀毒软件,也能拦截各种新形式的恶意软件。
但这类软件仍依赖于恶意软件数据库,用户通常无法及时更新数据库。诸如CrowdStrike、SentinelOne和Cylance之类新一代服务公司倾向于彻底抛弃数据库,转而使用机器学习。
但这些服务主要面向企业客户,每台电脑每年收取40至50美元的费用。规模较小的企业往往没有这类的预算。
忘了提消费者,这些安全服务公司还没有向他们销售产品。虽然Cylance计划在今年7月发布一个消费者版本,但该公司表示,在有人遭到恶意软件攻击,或认识的某位亲友有这种遭遇之前,这都将是一项艰难的销售。
正如Cylance首席执行官斯图尔特Stuart McClure所言:“没遭受龙卷风的袭击前,你怎么会去买龙卷风保险呢?”