流行勒索病毒分析总结(上)

安全资讯 小布 434浏览 0评论

一、概述

信息安全(InformationSecurity),意为保护信息及信息系统不受侵害。主要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄漏。从层面的概念来看,计算机硬件可以看作是物理层面,软件可以看做是运行层面,然后就是数据层面。从属性的概念来看,破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。随着当代网络技术的高速发展和人们对所面临问题理解程度的日益加深,信息安全已是当今众多互联网领域的突出问题之一。

在众多信息安全风险中,居首位者当属网络攻击。无论是公司还是组织,都随时可能成为网络攻击的对象。而每年网络犯罪所带来的经济损失也与日俱增。综合以往,我们从攻击对象和利益最大化的角度来看,影响最大也最恶劣的当属勒索软件攻击。一旦公司、企业的资产如数据库、服务器等被加密甚至被破坏,所造成的损失不可估量。如果是公共设施和服务被勒索,如医院、交通部门被窃密、勒索,不仅会对我们的生活造成影响,甚至可能威胁到我们的生命。

近期,我们整合流行的勒索家族、梳理历史上著名的攻击事件,对勒索软件的发展历史进行回顾,对勒索软件的加密流程和传播途径进行深入探讨,对勒索软件今后的发展趋势进行畅想,并对被勒索攻击后应急处置流程进行分享,使读者对勒索攻击事件有新的整体把握,更好地应对此类网络攻击。

二、背景

勒索软件,又称勒索病毒,是一种特殊的恶意软件,又被人归类为“阻断访问式攻击”(denial-of-accessattack)。勒索软件与其他病毒最大的不同在于攻击手法和中毒方式,部分勒索软件仅是单纯地将受害者的电脑锁起来,而也有部分勒索软件会系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以解密文件。

勒索软件通常透过木马病毒的形式传播,将自身伪装为看似无害的文件,如利用邮件等社会工程学方法欺骗受害者点击链接下载,另外也可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播。

勒索攻击事件频繁发生,且在数量上逐年增多。勒索软件如此盛行的背后是巨大利益的驱动。2020年,全球因勒索软件造成的总损失高达25万亿美元,高额的收益让更多的犯罪者趋之若鹜,而以往诸如GandCrab勒索病毒,不仅高调宣布仅仅一年就获得超过20亿美元的赎金,并且已成功兑现。

另一方面,即使没有任何编程经验的人借助RaaS平台也可以制作分发勒索病毒,这也让更多犯罪者铤而走险。

另外,勒索软件一般采用加密货币进行交易,加密货币由于其本身的特殊性,很难被第三方监管,更难以追踪和溯源,导致执法人员很难抓到犯罪者。

从1989年历史上已知的第1款勒索软件PCCyborg出现到现在的广泛流行,勒索软件经历了漫长的发展历程。从非对称加密算法的应用,加密货币的兴起,到勒索软件即服务(Raas,Ransomwareasaservice)概念和双重破坏技术的出现,勒索软件在技术和理论层面不断革新,使其在当前仍具有强劲的发展势头和极大的破坏力。

三、勒索软件发展历程

3.1PCCyborg(第一款勒索软件)

时间追溯到1989年,当时大多数人并没有接触过电脑,而且信息传输也是经过软盘进行传递。这时一位哈佛大学博士学位的生物学家约瑟夫·波普(JosephPopp)开发了一款软件,而且他向世界卫生组织艾滋病会议的参加者分发了20,000张受到感染的磁盘,而且以”艾滋病信息-入门软盘”命名。当软盘被插入电脑,就会显现以下音讯:

该勒索信息要求用户必须在巴拿马的邮政邮箱向PCCyborgCorporation发送189美元,以解锁访问权限。这便是已知的历史上第一款勒索病毒,”AIDS”木马,也被称为PCCyborg。

从原理上来讲,该病毒通过替换受害者计算机上的Autoexec.bat文件,在核算机每次启动时运转,一旦运转次数达到90,该病毒将会躲藏目录并利用简略的对称加密技术加密C盘的文件。尽管现在看来该软件无论是杂乱程度还是加密算法都不值一提,可是它却标志着核算机违法的一个新分支——勒索软件的鼓起。

3.2非对称加密

Allknowledgeis,inthefinalanalysis,history.Allsciencesare,intheabstract,mathematics.Allmethodsofacquiringknowledgeare,essentially,throughstatistics.——C.R.Rao,数学家、统计学家(在终极的分析中,全部知识都是历史;在笼统的意义下,全部科学都是数学;在理性的基础上,

1996年,AdamL.Young和MotiM.Yung两个密码学家宣布正告,非对称加密算法将会用于勒索事件。十年之后,也就是2006年,做为第一个使用非对称加密(RSA)手法加密的歹意宗族Archiveus发布。该病毒会对文档目录进行加密,并要求受害者必须在特定的Web站点上购买商品才干获得用于解密文件的暗码。之后出现的Krotten、GPcode和Cryzip、等勒索软件也开始使用非对称加密算法进行文件加密。即便到了现在,假设受害者被一个使用2048位RSA加密算法的勒索软件加密文件,在不知道私钥的情况下,使用当时世界上最大、最好的超级计算机进行暴力破解,需求的时刻也长达80年。因此如果一旦文件被加密,在当时计算机计算能力有限的情况下,基本不可能无损解密数据。要么放弃数据,要么交钱解密,无法自行解密的二选一窘境下,勒索的成功率大大提高。

3.3加密货币兴起

2008年,以比特币为首的加密货币进入历史的舞台,因为其独特的特性引起攻击者的关注,例如比特币所具有的POW共识机制和双重的sha256区块哈希算法保证了绝对的去中心化、匿名和隐私等特性,另外根据CoinCenter研究部主任PeterVanValkenburgh的观点:作为一种电子货币,很容易开发出自动要求付款的软件。黑客能够轻松地查看公共区块链以验证受害者是否已经付款,并且可以在收到付款的同时自动执行将受害者所需要的文件或者密钥发送给受害者的操作,这些特性导致加密货币成为在勒索事件的首选货币。

2011年开始,使用加密货币进行交易的勒索软件开始疯狂增长,基本每个季度的勒索样本数量都在成倍的增加。截至到现在,根据区块链分析公司

最新的统计报告,2020年勒索软件支付的赎金占加密货币总交易金额的7%左右。同比相较于2019年,这一比例增长了311%。

基于加密货币的匿名性和隐私性,导致很难被第三方进行监管,相关执法部门也几乎不太可能溯源到发动勒索攻击者的真实身份。在很长一段时间之内,勒索软件和加密货币还会保持紧密联系,并且不会有很大改善。

3.4RaaS

2015年,为了寻求勒索软件收益的最大化,进犯者创建了一种全新的服务形式,勒索软件即服务(RaaS),该形式学习软件即服务(SaaS)的模型。

勒索软件即服务是一个恶意软件销售商-客户经过订阅形式进行盈利的模型。首要犯罪分子编写完结勒索软件之后,经过类似会员的方法将其出售或出租给目的建议进犯的客户或许想要加盟进行分红的分销商,并且提供有关如何运用该软件建议勒索进犯的技术知识和相关步骤的教程,乃至提供可视化软件进行实时监控检查当前进犯状态。这种模型犯罪分子经过不同的”客户”能够轻松进犯那些自己无法接触到的新的受害者,扩展收益。一旦进犯成功,其赎金会按照必定份额分红给销售商、编码者、进犯者等各方。相比之前的单一形式的进犯,这种多层署理的进犯模型让勒索软件更容易传播。即使是进犯者自身没有高明的技术或许昂贵的设备,也能够经过贱价购买和下载勒索软件,轻而易举的建议勒索进犯。

2015年中期,第一个RaaS服务在暗网中悄然诞生:

Tox勒索软件套件作为RaaS服务开始投入销售,该工具包提供各种反分析反检测功能。攻击者只需要提供几个自定义字段就可以开发出一个自定义的勒索软件,其易用性之高,让不同水平的攻击者瞬间涌入勒索事件的行列。

虽然Tox勒索软件套件不久就被封禁,但是不同的RaaS服务如雨后春笋般层出不穷,勒索攻击的事件进一步增多。

2020年新型Raas平台:

3.5双重破坏

窃密软件一般具有隐匿性,通过执行窃取受害者密码或者文件信息。而勒索软件具有暴力性,会直接加密用户文件。当这两种不同类型家族发生碰撞,会发生什么样的火花。

当前,勒索软件日益猖狂的同时,人们的防范意识也越来越强。即时备份成为越来越多的企业、公司的标准操作。即使被勒索,只要恢复备份即可。当用户认为备份数据之后就可以高枕无忧时,一种新的勒索形式让人们再次陷入被动泥潭。

2019年初,Megacortex勒索病毒借助Emotet僵尸网络进行传播。在留下的勒索信中,不仅加密用户文件,同时还窃取了用户信息,如果不缴纳赎金,则公开用户文件。

紧接2019下半年开始,针对政企的勒索病毒大量增加,勒索的同时窃取了受害者信息,这不仅对企业经济造成损失,而且对企业声誉和用户隐私的造成更大影响。基于双重的压力之下,受害企业

四、勒索软件TTPs

勒索软件不同于其他蠕虫或者木马等恶意软件,大部分勒索软件具有暴力性,不需要考虑隐藏自身等行为,但危害程度相对与其他恶意软件有过之而无不及。我们对恶意软件的讨论,主要集中在投递、横向传播以及攻击特点方面。对于那些我们目前还无法无损解密的情况,我们着重讲解其传播特性,为以后的预防打下基础。

4.1传播

勒索软件的传播其主要方式为垃圾邮件、漏洞利用、RDP弱口令,如下图:

4.1.1垃圾邮件

垃圾邮件(junkMail或Emailspam)是滥发电子音讯中最常见的一种,指的就是不速之客,未经用户许可就塞入信箱的电子邮件。

垃圾邮件也是歹意软件(无论是勒索病毒还是蠕虫木马)最主要的传达方式之一。攻击者为了进步歹意软件的传达率和进步自身隐秘性,通常会经过Necurs、Rustock等大型僵尸网络进行邮件的分发,全球计算机网络中每天都会有数以万计的垃圾邮件在用户之间传达。其间大部分都包括歹意软件附件或者有害的垂钓链接。这不仅糟蹋用户正常的工作时间,还大大增加了网络资源的糟蹋。

垃圾邮件结构多为一封带着附件的电子邮件,邮件内容多为交货收据、退税单或票证发票,然后提示受害者必须翻开附件才能收到货品或收取金钱,诱惑受害者运转附件内容,其附件多为Word文档、JavaScript脚本文件或许伪装后的可执行文件。假如受害者没有必定的计算机知识,很简单误认为这个文件是正常的,直接运转后导致计算机文件被勒索或许被进犯者远程操控。除了垃圾邮件之外,假如对指定政企单位进行勒索进犯,通常会采用发送垂钓邮件,其内容比较垃圾邮件多为实时音讯或许与其单位相关的论题,如使用2020新冠等论题进行定向进犯,如下就是一个典型的垃圾邮件。

4.1.2RDP/弱口令

长途桌面协议(RDP:RemoteDesktopProtocol)首要用于用户长途连接并操控计算机,通常运用3389端口进行通信。当用户输入正确的用户暗码,则能够直接对其长途电脑进行操作,这为攻击者供给了新的攻击面。只要具有正确的凭证,任何人都能够登录该电脑。故攻击者能够通过工具对攻击目标进行端口扫描,如果用户开启了3389端口,并且没有相关的防备意识,运用弱暗码如123456,攻击者能够进行长途连接并通过字典尝试多种方式组合,暴力破解用户名暗码。一旦具有登录权限,就能够直接投进勒索病毒并进一步横向浸透扩大影响面。

下图展示了2020年度最新排名前十的弱密码:

4.1.3缝隙使用

缝隙是在硬件、软件、协议的详细完成或体系安全策略上存在的缺点,从而可以使进犯者能够在未被授权的情况下访问或破坏体系。

缝隙使用与时间休戚相关,假如进犯者使用0day进行进犯,那么相关的体系或者组件是极端危险的。但是在以往的勒索事情中,大多数进犯者一般选用的成熟的缝隙使用工具进行进犯,如永久之蓝、RIG、GrandSoft等缝隙进犯包等。假如用户没有及时修复相关缝隙,很可能遭受进犯。

在曩昔的一年里,受疫情影响,很多人开始居家办公,因为工作方式的转化促进了远程办公工具的鼓起,从而导致了远程工具相关缝隙使用进犯事情的明显增加,除了传统的office缝隙(如CVE2012-0158、CVE2017-11882等),一些新的缝隙使用进犯也频频出现,如CVE-2019-19781、CVE-2019-11510等。

4.2横向移动

一旦勒索软件进入用户环境,为了尽可能扩大影响,很可能不会直接进行加密,而是经过感染机进行渗透其他机器、权限提高或者窃取更有价值的凭据。经过横向移动进犯如果能够拿到域控权限,从而获取操控域环境下的全部机器。无论是赎金额度仍是勒索成功率都会大大提高。

其首要方式首要包括:

1.使用如PsExec等工具

如WastedLocker勒索软件经过侵略系统后,会经过psexec等指令进行横向渗透,寻觅价值较高的系统并进行加密psexec-s\\|cmd

2.经过WMI指令完结

如 Conti 勒索软件在通过 wmic 远程执行命令,收集域密码哈希,进行横向渗透利用IPC$ 或者默认共享如makop 通过遍历共享资源进行加密 

3. 利用永恒之蓝等漏洞

如著名的 WanaCry 勒索病毒通过永恒之蓝漏洞和445端口进行内网传播。

4.3扩大影响

正如之前所说,当时的勒索软件不在是功用单一的勒索,而是联合其他歹意软件如僵尸网络、保密木马等一同发起进犯。通过对用户敏感数据进行盗取,然后进行勒索。而且对目标的进犯更加具有针对性,所利用的东西也大都为定制化东西。如Nozelesn勒索软件利用Emotet僵尸网络进行传达、Locky勒索软件通过Necurs僵尸网络传达垃圾邮件进行分发、Ruyk利用Trickbot木马进行传达并盗取用户信息。流行勒索病毒分析总结(下)

转载请注明:布尔云安的博客 » 流行勒索病毒分析总结(上)

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址