勒索软件是近两年来影响最大,也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。
从 2016 年到 2017 年,勒索软件呈现出全球性蔓延态势,攻击手法和病毒变种也进一步多样化。特别是2017 年 5 月全球爆发的永恒之蓝勒索蠕虫(WannaCry,也有译作“想哭”病毒)和随后在乌克兰等地流行的 Petya 病毒,使人们对于勒索软件的关注达到了空前的高度。在全球范围内,政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。
与 WannaCry 无差别的显性攻击相比,针对中小企业网络服务器的精准攻击则是隐性的,不为多数公众所知,但却也已成为 2017 年勒索软件攻击的另一个重要特点。统计显示,在 2017 年的国内勒索软件的攻击目标中,至少有 15% 是明确针对政企机构的,其中由以中小企业为主要目标。相比于一般的个人电脑终端或办公终端,服务器数据的珍贵程度和不可恢复性更强(针对服务器的渗透式勒索攻击一般不会留下死角或备份),因此被勒索者支付赎金的意愿也相对更强。
2017 年 1-11 月,360 互联网安全中心共截获电脑端新增勒索软件变种 183 种,新增控制域名 238 个。全国至少有 472.5 多万台用户电脑遭到了勒索软件攻击,平均每天约有 1.4 万台国内电脑遭到勒索软件攻击。
值得注意的是 2017 年截获的某些勒索病毒,如 Cerber 病毒,会向某个IP地址段进行群呼,以寻找可能响应的控制服务器。病毒这样做的目的可能是为了避免其服务器被拦截。如果没有服务器响应群呼消息,病毒则会按照其他既定流程执行代码。数据显示,共截获新增此类 IP 地址段 51 个。
下图给出了勒索软件 1 月至 11 月期间每月攻击用户数的情况。从图中可见,4 月攻击高峰期时的攻击量为 81.1 万,一天之内被攻击的电脑平均可达 2.7 万台。11 月是第二个攻击小高峰,一天之内被攻击的电脑平均可达 3.1 万台。
2017 年四月份发生的大规模勒索软件攻击,主要是因为 Shadow Brokers(影子经纪人)组织公开了披露美国国家安全局发现的漏洞“永恒之蓝”,虽然“WannaCry”是在五月份爆发的,但此漏洞一直都有被别的勒索软件利用进行攻击。
10 月至 11 月发生的大规模勒索软件攻击,主要是因为在 10 月份时出现了一种以 .arena 为后缀的勒索软件,11 月份时出现了一种以 .java 为后缀的勒索软件。这两款勒索软件主要是由攻击者通过娴熟的手法入侵服务器后释放勒索病毒的。以 .arena 和 .java 为后缀的勒索软件在 10 月至 11 月流行的主要原因有三:
1)攻击者入侵手段升级导致成功率大幅提高;
2)这两款勒索软件成功入侵了大量企业的服务器;
3)以.arena和.java为后缀的这两款勒索软件都属于Crysis家族,这个家族每次更换新的私钥都会换一个后缀(10月份是.arena后缀,11月份是.Java后缀)。新出现的.arena和.java替代了.wallet开始流行。
统计显示,Cerber、Crysis、WannaCry 这三大勒索软件家族的受害者最多,共占到总量的 58.4%。其中,Cerber 占比为 21.0%,Crysis 占比为 19.9%,WannaCry 占比为 17.5%,具体分布如下图所示。
结合大数据监测分析,下图给出了 2017 年不同勒索软件家族在国内的活跃时间分析。特别需要说明的是:“类Petya”勒索病毒(该病毒说明请参考第四章的第二节介绍),虽然在国外发动了大规模的攻击行为,产生了及其重要影响,但是在国内基本就没有传播,所以在下图中没有体现这两个家族。
事实上,黑客为了提高勒索软件的传播效率,也在不断更新攻击方式,钓鱼邮件传播依然是黑客常用的传播手段,服务器入侵的手法更加娴熟运用,同时也开始利用系统自身的漏洞进行传播。今年勒索软件主要采用以下五种传播方式:
以Crysis家族为代表的勒索软件主要采用此类攻击方式。黑客首先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如:卸载服务器上的安全软件并手动运行勒索软件。所以,在这种攻击方式中 ,一旦 服务器被入侵,安全软件一般是不起作用的。
服务器能够被成功入侵的主要原因还是管理员的帐号密码被破解。而造成服务器帐号密码被破解的主要原因有以下几种:为数众多的系统管理员使用弱密码,被黑客暴力破解;还有一部分是黑客利用病毒或木马潜伏在用户电脑中,窃取密码;除此之外还有就是黑客从其他渠道直接购买账号和密码。黑客得到系统管理员的用户名和密码后,再通过远程登录服务器,对其进行相应操作。
今年,通过系统自身漏洞进行传播扩散成为勒索软件的一个新的特点。上半年震动世界的WannaCry勒索病毒就是利用微软的永恒之蓝(EternalBlue)漏洞进行传播。黑客往往抓住很多人认为打补丁没用还会拖慢系统的错误认识,从而利用刚修复不久或大家重视程度不高的漏洞进行传播。如果用户未及时更新系统或安装补丁,那么即便用户未进行任何不当操作,也有可能在完全没有预兆的情况下中毒。此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金。但因为传播方式不同,导致更加难以防范,需要用户自身提高安全意识,尽快更新有漏洞的软件或安装对应的安全补丁。
软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。
2017 年爆发的 Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner 等后门事件均属于软件供应链攻击。而在乌克兰爆发的类 Petya 勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。
通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。这类传播方式的针对性较强,主要瞄准公司企业、各类单位和院校,他们最大的特点是电脑中的文档往往不是个人文档,而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。
通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,并没有特定的针对性,一般中招的受害者多数为裸奔用户,未安装任何杀毒软件。
监测显示,遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中,广东占比最高,为14.9%,其次是浙江8.2%,江苏7.7%。排名前十省份占国内所有被攻击总量的64.1%。
2017年勒索软件攻击地域分布如下图所示。
针对最为活跃的部分勒索软件的 C2 服务器域名后缀的归属地进行分析,结果显示:.com 域名被使用的最多,约为总量的一半,为 48.7%,.net 和 .org占比分别为 3.8% 和 1.7%。此外,属于欧洲国家的域名最多,占 31.9%,其次是亚洲国家 4.6%,南美洲国家 1.7%,大洋洲国家 1.7%,北美洲国家 1.3%。
特别值得注意的是,主流的大勒索家族都不再使用 C2 服务器加密技术了,但还是有很多小众勒索家族在使用 C2 服务器的加密技术。
通过不同行业政企机构遭受勒索软件攻击的情况分析显示,能源行业是遭受攻击最多的行业,占比为42.1%,其次为医疗行业为22.8%,金融行业为17.8%,具体分布如下图所示。需要说明的是,遭到攻击多不代表被感染的设备多。攻击量是通过企业级终端安全软件的监测获得的。
上图显示能源、医疗卫生、金融是遭受勒索软件攻击最多的三个行业,那么究竟是哪些家族对这三个行业发动的攻击呢?下表分别给出了每个行业遭受勒索软件攻击最多的前五个家族,具体如下表所示。可以看出,针对不同行业,攻击者者所使用的勒索软件类型是有很大区别的。
▲能源、医疗卫生、金融行业遭受勒索攻击的家族TOP5
如果说,挂马攻击是2016年勒索软件攻击的一大特点,那么2017年,勒索软件的攻击则呈现出以下六个明显的特点:无C2服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、影响大的家族赎金相对少、境外攻击者多于境内攻击者。
2017年,我们发现黑客在对文件加密的过程中,一般不再使用C2服务器了,也就是说现在的勒索软件加密过程中不需要回传私钥了。
这种技术的加密过程大致如下:
1)在加密前随机生成新的加密密钥对(非对称公、私钥)
2)使用该新生成新的公钥对文件进行加密
3)把新生成的私钥采用黑客预埋的公钥进行加密保存在一个ID文件或嵌入在加密文件里
解密过程大致如下:
1)通过邮件或在线提交的方式,提交ID串或加密文件里的加密私钥(该私钥一般黑客会提供工具提取);
2)黑客使用保留的预埋公钥对应的私钥解密受害者提交过来的私钥;
3)把解密私钥或解密工具交付给受害者进行解密。
通过以上过程可以实现每个受害者的解密私钥都不相同,同时可以避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。显然 ,这种技术是针对采用了各种隔离措施的政企机构所设计的。
2017年,勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。
客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。
以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。
顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。
这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。
2017年,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。
RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。
2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。
感染勒索软件后,对于用户来说,最重要的是能否恢复被加密的文件。目前来看,成功支付赎金的受害者都成功的恢复了被加密的文件。可见,目前勒索软件攻击者的“信用”还是不错的。此外,由于目前仍有相当一部分的勒索软件并未规范使用加密算法,对文件进行加密,所以,对于感染了此类勒索软件的用户来说,即便不支付赎金,也可以通过专业安全机构提供的一些解密工具对文件进行解密。还有一些用户提前对重要文件进行了备份,所以也最终成功恢复了文件。
总体来看,在接受调研的受害者中,有11.5%的受害者最终成功恢复了文件,另外88.5%的受害者没有恢复文件。在受害者恢复文件的方式中,30.8%的受害者是通过支付赎金恢复的文件,25.0%的受害者是通过历史备份(如云盘、移动硬盘等)恢复的文件,23.1%的受害者是通过解密工具恢复文件的,21.2%的受害者是通过专业人士破解恢复文件的。
用户电脑感染勒索软件后,需要进行及时的清除。但不同的人也会选择不同的方法进行清除。抽样调查结果显示:38.9%的受害者通过重装系统清除了病毒,18.1% 的受害者通过安装安全软件查杀掉病毒,6.0% 的受害者直接删除中毒文件。
特别值得注意的是,有 36.9% 的受害者在知道自己电脑已经感染勒索软件后,没有采取任何措施清除病毒。这是十分危险的,因为尽管目前已知的绝大多数勒索软件的攻击都是“一次性”的,但也有一部分病毒会带有诸如“下载者”这样的病毒成分,不及时处理,电脑就有可能会持续不断的遭到更多的木马病毒的侵害。
另外,研究发现,受害者选择采用何种方式清除病毒,与用户是否支付了赎金没有关系。
还有一点特别值得注意。在我们协助受害者进行电脑检测时发现,有相当数量的受害者在感染勒索软件时,并未安装任何安全软件。
调查中还发现,对于没有安装安全软件的受害者,在感染勒索软件后会首先下载并安装安全软件进行病毒查杀。但是,这种操作是存在一定的风险性的。如果受害者自行清除病毒,可能会同时删除掉被加密的文件和本地保留的密钥文件,造成文档无法解密。
养成良好的安全习惯
1) 电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2) 使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和IE、Flash等常用软件打好补丁,以免病毒利用漏洞自动入侵电脑。
3) 尽量使用安全浏览器,减少遭遇挂马攻击的风险。
4) 重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5) 不要浏览来路不明的色情、赌博等不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。
7) 不要轻易打开后缀名为js 、vbs、wsf、bat等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,应先扫毒后打开。
8) 电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
9) 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
1)提升新兴威胁对抗能力
传统基于合规的防御体系对于勒索软件等新兴威胁的发现、检测和处理已经呈现出力不从心的状态。而通过对抗式演习,从安全的技术、管理和运营等多个维度出发,对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验,可以持续提升企业对抗新兴威胁的能力。
2)及时给办公终端和服务器打补丁修复漏洞,包括操作系统以及第三方应用的补丁。
3)如果没有使用的必要,应尽量关闭不必要的常见网络端口,比如:445、3389等。
4)企业用户应采用足够复杂的登录密码登陆办公系统或服务器,并定期更换密码。
5)对重要数据和文件及时进行备份。
6)提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,如有远程家中办公电脑也需要定期进行病毒木马查杀。
文章由 360 互联网安全中心投稿,雷锋网宅客频道(微信公众号:letshome)编辑。雷锋网关注宅客频道,回复关键词:勒索软件分析报告,下载报告原文。
雷锋网编辑。