一
2018年以來�����,勒索軟件復(fù)雜性和變種的速度都有所增加��,本文是天融信阿爾法實(shí)驗(yàn)室就今年一年的活躍勒索軟件做的匯總,從多層次����,多角度進(jìn)行了分析,使得企業(yè)機(jī)構(gòu)和普通網(wǎng)民能夠更深刻地了解勒索軟件的原理和危害�����,增加對(duì)其預(yù)防力度����。
二
黑客利用系統(tǒng)漏洞、網(wǎng)頁掛馬��、RDP暴力破解或通過網(wǎng)絡(luò)釣魚等方式���,向受害電腦或服務(wù)器植入病毒��,加密硬盤上的文檔乃至整個(gè)硬盤�,然后向受害者索要數(shù)額不等的贖金后才予以解密�����,如果用戶未在指定時(shí)間繳納黑客要求的金額�����,被鎖文件將無法恢復(fù)��。
一些新變種的勒索軟件�����,盡管受害用戶付了贖金���,也不能獲得解密工具�,因?yàn)楹诳筒粫?huì)輕易暴露解密私鑰����。
Lucky家族為多平臺(tái)勒索軟件����,極具感染性����,主要采用漏洞傳播�,包括遠(yuǎn)程代碼執(zhí)行漏洞(CVE - 2018-1273),弱口令爆破漏洞,jboss反序列化漏洞���,apache struts2遠(yuǎn)程代碼執(zhí)行漏洞(s2-045/057)����,windows smb 遠(yuǎn)程代碼執(zhí)行漏洞(ms17-010)等����。
3.2 微信支付(cheat):供應(yīng)鏈傳播,國內(nèi)最好抓的作者
國內(nèi)首次出現(xiàn)了要求微信支付贖金的勒索軟件�,該病毒會(huì)利用帶有騰訊簽名的程序調(diào)用病毒代碼,來躲避安全軟件的查殺��。
實(shí)際解密密鑰存放本地�,經(jīng)過逆向分析提出密鑰,不需贖金即可恢復(fù)加密的文件�。
除了勒索外還會(huì)盜取QQ,阿里和京東等電商的相關(guān)支付賬號(hào)�����。
3.3 Aurora/Zorro:加密文件密鑰從服務(wù)器獲取
該家族起初叫“Aurora”后來變種為“Zorro”�,攻擊目標(biāo)具有針對(duì)性,黑客采用入侵沒有防護(hù)的用戶終端的方式來安裝該勒索軟件����,并通過控制服務(wù)器來下發(fā)加密的秘鑰���。
3.4 RushQL:針對(duì)Oracle數(shù)據(jù)庫
該家族為Oracle數(shù)據(jù)庫勒索病毒����,中毒后數(shù)據(jù)庫應(yīng)用界面會(huì)彈出異常信息,一般會(huì)捆綁在PL/SQL���,首先對(duì)tab$中的文件進(jìn)行備份�,然后再刪除tab$表中的部分內(nèi)容清理數(shù)據(jù)庫的備份文件后����,向用戶彈窗實(shí)施勒索。
zenis與其它加密常見文件的勒索病毒不同����,該病毒運(yùn)行后,除了會(huì)對(duì)系統(tǒng)中常用的文件進(jìn)行加密�����,非系統(tǒng)盤符下的所有格式文件也將被鎖���,就連可執(zhí)行程序exe都不會(huì)放過��。同時(shí)��,病毒還會(huì)刪除系統(tǒng)中的備份文件��,以避免中招用戶恢復(fù)重要數(shù)據(jù)��。
3.6 CrySiS:RDP傳播�,針對(duì)企業(yè)服務(wù)器
CrySiS主要針對(duì)于弱密碼服務(wù)器,采用RDP爆破����,爆破成功后會(huì)植入勒索軟件,該勒索軟件采用RSA+AES加密方式���,并刪除磁盤卷影副本�,使得受害者采用恢復(fù)磁盤方式無法恢復(fù)文件�����。
撒旦(Satan)勒索病毒2018年6月份傳播方式有很大的升級(jí)���,本身除了使用永恒之藍(lán)漏洞攻擊外�,還攜帶更多漏洞攻擊模塊:包括JBoss反序列化漏洞、Tomcat任意文件上傳漏洞�、Tomcat web管理后臺(tái)弱口令爆破、Weblogic WLS 組件漏洞和Apache Struts2等����,攻擊范圍和威力進(jìn)一步提升,今年最新版主要功能放在挖礦木馬的傳播上�����。
3.8 Globelmposter:多變種����,郵件/RDP傳播
GlobeImposter家族變種繁多(目前發(fā)現(xiàn)有11個(gè))����,大版本是從1.0開始到現(xiàn)在3.0,傳播途徑主要是垃圾郵件�����、SMB共享傳播�����、JaveScript腳本和RDP暴力破解,往往都是通過企業(yè)對(duì)外發(fā)布的服務(wù)器入手����。
Scarab 起初采用Necurs的僵尸網(wǎng)絡(luò)傳播,新版本采用RDP和捆綁軟件傳播��。加密時(shí)首先刪除磁盤卷影文件�,結(jié)束加密文件相關(guān)進(jìn)程比如sqlserver.exe,加密后的文件名后綴變?yōu)閟carab����。
3.10 Blackout:勒索軟件創(chuàng)建服務(wù)
Blackout采用.NET編寫,并使用了代碼混淆防止分析人員進(jìn)行靜態(tài)分析�,加密開始之前,結(jié)束27種重要進(jìn)程來解除文件占用���,采用RSA+AES加密文件�����,使得加密后的文件受害者無法恢復(fù)�。
四
2018年勒索軟件活躍時(shí)間(每月)一覽
如下圖:
五
勒索軟件活躍家族的多角度分析
下面是根據(jù)天融信阿爾法實(shí)驗(yàn)室2018年所捕獲的勒索軟件�,進(jìn)行的多角度、多層次分析�����。
勒索軟件運(yùn)行平臺(tái)主要集中在windows系統(tǒng),占到86%�����,linux系統(tǒng)占11%��,Android系統(tǒng)為3%����。
勒索軟件加密方式仍然是以RSA+AES為主���,占75%�����。
(1)網(wǎng)頁掛馬
當(dāng)用戶瀏覽具有誘惑性的網(wǎng)頁或某網(wǎng)站被入侵并植入木馬后�,再點(diǎn)擊某個(gè)鏈接時(shí)就有可能下載勒索程序���,此刻用戶沒有察覺�,勒索程序就已經(jīng)執(zhí)行����。
(2)郵件傳播
原本在安全的辦公網(wǎng)絡(luò)環(huán)境中����,比如公司郵件��,但若不注意發(fā)件人是否合法���,或點(diǎn)擊郵件里來歷不明的鏈接��,或點(diǎn)擊具有目的性的文檔��,比如假的發(fā)票截圖����、假的辦公文檔(office��,pdf)���,含有惡意代碼的文檔����,都會(huì)引來不可逆轉(zhuǎn)的未知情況,比如勒索軟件等����。
附件帶有漏洞的word文檔或一個(gè)不明鏈接和具有引誘用戶點(diǎn)擊的文字。
(3)漏洞利用���,植入
漏洞是軟件本身缺陷(Apache Struts2�,sql數(shù)據(jù)庫等)���,具有執(zhí)行外部代碼特性�����,有的是軟件系統(tǒng)設(shè)計(jì)疏漏����,有的是正常繞過合法限制���,在此環(huán)境中執(zhí)行了外部可以編寫的惡意代碼,使得攻擊者控制電腦或服務(wù)器�����,可以植入勒索軟件。
(4)弱密碼暴力破解(RDP)
對(duì)于在外網(wǎng)服務(wù)器或內(nèi)網(wǎng)的個(gè)人終端����,都可以采用暴力密碼比對(duì)的方式,猜測(cè)登錄密碼��,若是弱密碼或采用撞庫攻擊���,危險(xiǎn)性就比較大��。
弱密碼暴力破解主要針對(duì)于局域網(wǎng)或web服務(wù)器��,采用密碼字典進(jìn)行嘗試登錄����,登錄成功就會(huì)植入勒索軟件��,進(jìn)行攻擊���,如下圖:
(5)供應(yīng)鏈感染
感染開發(fā)人員的編譯器模塊或把惡意代碼插入可執(zhí)行代碼中���,這樣編譯后的新版就會(huì)感染,微信支付就是采用該方式傳播���。
(6)勒索軟件創(chuàng)建服務(wù)(RaaS)
ransomware-as-a-service為以服務(wù)模式啟動(dòng)的勒索軟件�����,部署在暗網(wǎng)中���,含有免殺技術(shù)策略�����,白加黑調(diào)用��,含有合法簽名等�����,為制作勒索軟件創(chuàng)建便利條件���。
5.4 對(duì)于不同家族的傳播方式統(tǒng)計(jì):
勒索病毒的傳播方式以三大類為主,分別為釣魚郵件�����、漏洞利用�、RDP破解,占77%�����。
5.5 勒索軟件的攻擊目標(biāo)統(tǒng)計(jì)
勒索軟件的攻擊目標(biāo)仍然以個(gè)人終端為主����,占71%,服務(wù)器端占25%�����,包括企業(yè)服務(wù)器(醫(yī)療�����,自來水廠等)����。
選擇具有代表性的勒索軟件所加密的文件數(shù)量展示,其中crysis家族活躍度較強(qiáng)����,加密的文件種類最多。
注:微信支付(cheat)和GlobeImposter具有排除指定目錄���,其它目錄文件全部加密�����。
勒索軟件支付贖金方式仍然以比特幣為主�,占86%。
5.8 勒索軟件的聯(lián)網(wǎng)通訊情況
目前勒索軟件大部分都是用無c2服務(wù)器的方式通訊�����,占到72%都是通過郵件與黑客聯(lián)系����。
六
勒索軟件防御措施
(1)安裝天融信終端防御系統(tǒng)EDR,保持監(jiān)控開啟��,及時(shí)升級(jí)病毒庫�;
(2)不打開可疑郵件附件,不點(diǎn)擊可疑郵件中的鏈接�;
(3)及時(shí)更新系統(tǒng)補(bǔ)丁,防止受到漏洞攻擊�����;
(4)重要文件實(shí)時(shí)備份�。
(1)及時(shí)更新系統(tǒng)補(bǔ)丁���,防止攻擊者通過漏洞入侵系統(tǒng)���;
(2)關(guān)閉無用的端口���,降低被漏洞攻擊的風(fēng)險(xiǎn);
(3)遠(yuǎn)程維護(hù)使用復(fù)雜密碼��;
(4)更改遠(yuǎn)程訪問的默認(rèn)端口號(hào)為其它端口號(hào)��;
(5)遠(yuǎn)程維護(hù)盡量使用專用遠(yuǎn)程維護(hù)軟件��,防止被掃描�;
(6)有必要安裝殺毒軟件;
(7)及時(shí)更新web服務(wù)組件����,及時(shí)安裝補(bǔ)丁,禁止使用web服務(wù)弱密碼�����;
(8)及時(shí)備份數(shù)據(jù)庫���,禁止遠(yuǎn)程訪問�����,及時(shí)更改數(shù)據(jù)庫密碼��,禁止使用弱密碼��,更改數(shù)據(jù)庫默認(rèn)端口�����,及時(shí)安裝最新補(bǔ)?���。?/span>
(9)及時(shí)做web服務(wù)器安全檢測(cè)�,有問題及時(shí)整改。
在線咨詢
在線咨詢
0371-63319761
