Splunk勒索软件二进制文件的实证比较分析白皮书19页.pdf

白皮书

勒索软件二进制文件的实证

比较分析

作者：ShannonDavis

白皮书

执行摘要

安全研究人员和网络防御者已经撰写了许多关于勒索软件的文章，但许多组织仍然对这种攻击做出战

术性的反应，而不是有针对性的应对。这部分是由于缺乏关于勒索软件的基础知识。勒索软件的加密速

度是一个值得进一步研究的领域。迄今为止，关于这一主题的最全面的信息来自LockBit勒索软件作

者自己，他们在自己的网站上发布了勒索软件系列加密速度的比较结果，以宣传他们是“最快的”。本文

旨在阐明一个以前留给罪犯的研究领域。我们在受控环境中利用科学方法，测量了10种流行勒索病毒

恶意软件在不同Windows操作系统和硬件规格下加密近10万个文件（总计近53GB）的速度。通过这

项工作，我们希望给防御者更多的知识和信心，让他们在检测过程中“防患于未然”，而不是在Lockheed

Martin网络杀伤链白皮书中讨论的“行动目标”阶段等待检测。

为了确定勒索软件的加密速度，我们创建了Splunk攻击范围实验室环境的修改版本，并选择了10种

勒索软件变种，然后在四台主机上执行每个变种的10个样本。两台主机运行操作系统Windows10，另

外两台主机运行WindowsServer2019。在将勒索软件样本归因于每个变种时，我们采取的方法是在

VirusTotal中仅选择由MicrosoftDefenderAntivirus确认的样本。我们为每台主机分配了“高”或“中”

级别的资源，以测试勒索软件在不同的处理器、内存和硬盘配置下的表现。我们在每台主机上启用了

Windows日志功能，以收集、综合和分析Splunk中的数据。这使我们能够测量勒索软件变种加密近10

万个文件的速度，以及勒索软件如何利用处理器、内存和磁盘等系统资源。

在运行所有100个勒索软件样本后，我们确定总加密时间(TTE)从4分钟到3个半小时不等，平均速度

为42分钟。由于加密时间短，在加密完成之前，留给组织做出有效响应的时间将非常有限。当在具有不

同资源的系统之间比较相同的勒索软件病毒株时，我们发现一些变量会影响TTE，例如处理器速度或

CPU内核。然而，影响也不一致，这意味着一些勒索软件是单线程的，或最低限度地能够利用额外的资

源。LockBit勒索软件是在任何系统上加密最快的变种。这与之前的报告一致，即LockBit只需加密每

个文件的4KB，便可使文件无法使用，从而加快了攻击速度。“最快勒索软件”的称号也与LockBit开发者

自己在该组织Tor网站上的公开宣称相吻合。

SURGe计划在这项研究的基础上，为网络防御者提供全面而高层次的勒索软件概述。特别是，我们计

划使用开源文件分析框架工具（例如stoQ、模糊算法和Splunk的机器学习工具包(MLTK)）来审查多个

勒索软件样本的文件访问技术。此外，我们还计划调查现代勒索软件没有用打包程序掩盖的说法，并确

定是否有可能在未知勒索软件二进制文件被“部署”时群集待确定的分类器，而不是在执行后检测它们。

我们计划在2022年6月在.conf22上发布这项研究的数据集。我们鼓励研究人员调查该语料库，并验

证我们的研究结果或在此基础上进行构建，以帮助全球蓝队队员社区。

勒索软件二进制文件的实证比较分析1

白皮书

重要研究结果

•在我们的测试中，在10个勒索软件变种中，LockBit勒索软件的加密速度最快，这与该勒索软件

集团在其Tor网站上的声明一致。

•勒索软件变种加密98561个文件(53.83GB)的平均时间为42分52秒。

•个别勒索软件样本加密速度差异很大，从四分钟到三个半小时不等。

•改进的硬件功能为一些勒索软件样本提供了更快的加密速度。其