前言
2018年以來,勒索軟件複雜性和變種的速度都有所增加,本文是天融信阿爾法實驗室就今年一年的活躍勒索軟件做的彙總,從多層次,多角度進行了分析,使得企業機構和普通網民能夠更深刻地瞭解勒索軟件的原理和危害,增加對其預防力度。
二
勒索軟件攻擊過程概述
黑客利用系統漏洞、網頁掛馬、RDP暴力破解或通過網絡釣魚等方式,向受害電腦或服務器植入病毒,加密硬盤上的文檔乃至整個硬盤,然後向受害者索要數額不等的贖金後才予以解密,如果用戶未在指定時間繳納黑客要求的金額,被鎖文件將無法恢復。
一些新變種的勒索軟件,儘管受害用戶付了贖金,也不能獲得解密工具,因為黑客不會輕易暴露解密私鑰。
三
2018年勒索軟件代表性活躍家族介紹
3.1 Lucky家族:跨平臺勒索
Lucky家族為多平臺勒索軟件,極具感染性,主要採用漏洞傳播,包括遠程代碼執行漏洞(CVE - 2018-1273),弱口令爆破漏洞,jboss反序列化漏洞,apache struts2遠程代碼執行漏洞(s2-045/057),windows smb 遠程代碼執行漏洞(ms17-010)等。
3.2 微信支付(cheat):供應鏈傳播,國內最好抓的作者
國內首次出現了要求微信支付贖金的勒索軟件,該病毒會利用帶有騰訊簽名的程序調用病毒代碼,來躲避安全軟件的查殺。
實際解密密鑰存放本地,經過逆向分析提出密鑰,不需贖金即可恢復加密的文件。
除了勒索外還會盜取QQ,阿里和京東等電商的相關支付賬號。
3.3 Aurora/Zorro:加密文件密鑰從服務器獲取
該家族起初叫“Aurora”後來變種為“Zorro”,攻擊目標具有針對性,黑客採用入侵沒有防護的用戶終端的方式來安裝該勒索軟件,並通過控制服務器來下發加密的秘鑰。
3.4 RushQL:針對Oracle數據庫
該家族為Oracle數據庫勒索病毒,中毒後數據庫應用界面會彈出異常信息,一般會捆綁在PL/SQL,首先對tab$中的文件進行備份,然後再刪除tab$表中的部分內容清理數據庫的備份文件後,向用戶彈窗實施勒索。
3.5 Zenis:採用rsa+rc4加密文件
zenis與其它加密常見文件的勒索病毒不同,該病毒運行後,除了會對系統中常用的文件進行加密,非系統盤符下的所有格式文件也將被鎖,就連可執行程序exe都不會放過。同時,病毒還會刪除系統中的備份文件,以避免中招用戶恢復重要數據。
3.6 CrySiS:RDP傳播,針對企業服務器
CrySiS主要針對於弱密碼服務器,採用RDP爆破,爆破成功後會植入勒索軟件,該勒索軟件採用RSA+AES加密方式,並刪除磁盤卷影副本,使得受害者採用恢復磁盤方式無法恢復文件。
3.7 Satan:具有挖礦功能的勒索蠕蟲
撒旦(Satan)勒索病毒2018年6月份傳播方式有很大的升級,本身除了使用永恆之藍漏洞攻擊外,還攜帶更多漏洞攻擊模塊:包括JBoss反序列化漏洞、Tomcat任意文件上傳漏洞、Tomcat web管理後臺弱口令爆破、Weblogic WLS 組件漏洞和Apache Struts2等,攻擊範圍和威力進一步提升,今年最新版主要功能放在挖礦木馬的傳播上。
3.8 Globelmposter:多變種,郵件/RDP傳播
GlobeImposter家族變種繁多(目前發現有11個),大版本是從1.0開始到現在3.0,傳播途徑主要是垃圾郵件、SMB共享傳播、JaveScript腳本和RDP暴力破解,往往都是通過企業對外發布的服務器入手。
3.9 Scarab:採用捆綁軟件傳播
Scarab 起初採用Necurs的殭屍網絡傳播,新版本採用RDP和捆綁軟件傳播。加密時首先刪除磁盤卷影文件,結束加密文件相關進程比如sqlserver.exe,加密後的文件名後綴變為scarab。
3.10 Blackout:勒索軟件創建服務
Blackout採用.NET編寫,並使用了代碼混淆防止分析人員進行靜態分析,加密開始之前,結束27種重要進程來解除文件佔用,採用RSA+AES加密文件,使得加密後的文件受害者無法恢復。
四
2018年勒索軟件活躍時間(每月)一覽
如下圖:
![2018年主流勒索軟件分析總結報告](http://p2.ttnews.xyz/loading.gif)
圖4.1勒索軟件每月活躍度
五
勒索軟件活躍家族的多角度分析
下面是根據天融信阿爾法實驗室2018年所捕獲的勒索軟件,進行的多角度、多層次分析。
5.1 勒索軟件的所在主流平臺活躍度
勒索軟件運行平臺主要集中在windows系統,佔到86%,linux系統佔11%,Android系統為3%。如下圖:
![2018年主流勒索軟件分析總結報告](http://p2.ttnews.xyz/loading.gif)
圖5.1勒索軟件運行平臺分佈
5.2 勒索軟件的加密方式
勒索軟件加密方式仍然是以RSA+AES為主,佔75%。
圖5.2勒索軟件常用加密方式
5.3 勒索軟件的傳播方式
(1)網頁掛馬
當用戶瀏覽具有誘惑性的網頁或某網站被入侵併植入木馬後,再點擊某個鏈接時就有可能下載勒索程序,此刻用戶沒有察覺,勒索程序就已經執行。
攻擊場景如下所示:
圖5.3.1勒索軟件掛馬攻擊
(2)郵件傳播
原本在安全的辦公網絡環境中,比如公司郵件,但若不注意發件人是否合法,或點擊郵件裡來歷不明的鏈接,或點擊具有目的性的文檔,比如假的發票截圖、假的辦公文檔(office,pdf),含有惡意代碼的文檔,都會引來不可逆轉的未知情況,比如勒索軟件等。
攻擊場景如下:
圖5.3.2勒索軟釣魚郵件傳播
附件帶有漏洞的word文檔或一個不明鏈接和具有引誘用戶點擊的文字。
(3)漏洞利用,植入
漏洞是軟件本身缺陷(Apache Struts2,sql數據庫等),具有執行外部代碼特性,有的是軟件系統設計疏漏,有的是正常繞過合法限制,在此環境中執行了外部可以編寫的惡意代碼,使得攻擊者控制電腦或服務器,可以植入勒索軟件。
攻擊場景如下圖:
圖5.3.3勒索軟件利用漏洞傳播
(4)弱密碼暴力破解(RDP)
對於在外網服務器或內網的個人終端,都可以採用暴力密碼比對的方式,猜測登錄密碼,若是弱密碼或採用撞庫攻擊,危險性就比較大。
弱密碼暴力破解主要針對於局域網或web服務器,採用密碼字典進行嘗試登錄,登錄成功就會植入勒索軟件,進行攻擊,如下圖:
圖5.3.4勒索軟暴力破解傳播
(5)供應鏈感染
感染開發人員的編譯器模塊或把惡意代碼插入可執行代碼中,這樣編譯後的新版就會感染,微信支付就是採用該方式傳播。
攻擊場景如下圖:
圖5.3.5勒索軟供應鏈傳播
(6)勒索軟件創建服務(RaaS)
ransomware-as-a-service為以服務模式啟動的勒索軟件,部署在暗網中,含有免殺技術策略,白加黑調用,含有合法簽名等,為製作勒索軟件創建便利條件。
勒索軟件製作速成如下圖所示:
圖5.3.2勒索軟速成
5.4 對於不同家族的傳播方式統計:
勒索病毒的傳播方式以三大類為主,分別為釣魚郵件、漏洞利用、RDP破解,佔77%。如下圖所示:
圖5.4勒索軟傳播方式統計
5.5 勒索軟件的攻擊目標統計
勒索軟件的攻擊目標仍然以個人終端為主,佔71%,服務器端佔25%,包括企業服務器(醫療,自來水廠等)。
圖5.5勒索軟攻擊目標統計
5.6 勒索軟件的加密文件種類分佈
選擇具有代表性的勒索軟件所加密的文件數量展示,其中crysis家族活躍度較強,加密的文件種類最多,如下圖:
圖5.6勒索軟件加密文件種類統計
注:微信支付(cheat)和GlobeImposter具有排除指定目錄,其它目錄文件全部加密。
5.7 勒索軟件的支付方式
勒索軟件支付贖金方式仍然以比特幣為主,佔86%,如下圖所示:
圖5.7勒索軟件支付方式統計
5.8 勒索軟件的聯網通訊情況
目前勒索軟件大部分都是用無c2服務器的方式通訊,佔到72%都是通過郵件與黑客聯繫,如下圖所示:
圖5.8勒索軟件與c2聯網情況統計
六
勒索軟件防禦措施
6.1 個人終端的防禦措施
(1)安裝天融信終端防禦系統EDR,保持監控開啟,及時升級病毒庫;
(2)不打開可疑郵件附件,不點擊可疑郵件中的鏈接;
(3)及時更新系統補丁,防止受到漏洞攻擊;
(4)重要文件實時備份。
6.2 企業服務器的防禦措施
(1)及時更新系統補丁,防止攻擊者通過漏洞入侵系統;
(2)關閉無用的端口,降低被漏洞攻擊的風險;
(3)遠程維護使用複雜密碼;
(4)更改遠程訪問的默認端口號為其它端口號;
(5)遠程維護儘量使用專用遠程維護軟件,防止被掃描;
(6)有必要安裝殺毒軟件;
(7)及時更新web服務組件,及時安裝補丁,禁止使用web服務弱密碼;
(8)及時備份數據庫,禁止遠程訪問,及時更改數據庫密碼,禁止使用弱密碼,更改數據庫默認端口,及時安裝最新補丁;
(9)及時做web服務器安全檢測,有問題及時整改。
閱讀更多 晉源網警 的文章