《開竅泰勒軟件的暴風雨》

《開竅泰勒軟件的暴風雨》

自1989年頒布欺詐軟件以來，已經(jīng)運行了30年。很長一段時間，它并沒有消失，而是變得越來越激烈。從最初的偽裝反病毒軟件到勒索比特幣,再到開始感染不同平臺,不斷進行開發(fā)與更新,如今勒索軟件已然呈爆發(fā)性增長,成為不可小覷的威脅。因此,我們必須要重視這一威脅,并提早部署有效的防御措施,安天等很多網(wǎng)絡安全廠商也都在其安全防護產(chǎn)品中添加了針對勒索軟件的防護模塊。本文我們將回顧以往關于勒索軟件的內(nèi)容,并結(jié)合2016年至今勒索軟件發(fā)生的新變化,更加系統(tǒng)和深入地帶領讀者認識勒索軟件。一、暗網(wǎng)和深網(wǎng)的結(jié)合勒索軟件(Ransomware)是一種流行的木馬,通過騷擾、恐嚇甚至采用綁架用戶文件等方式,使用戶數(shù)據(jù)資產(chǎn)或計算資源無法正常使用,并以此為條件向用戶勒索錢財。這類用戶數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。一般來說,勒索軟件作者還會設定一個支付時限,有時贖金數(shù)目也會隨著時間的推移而上漲;有時,即使用戶支付了贖金,最終也還是無法正常使用系統(tǒng),無法還原被加密的文件。暗網(wǎng)又稱深網(wǎng)、不可見網(wǎng)、隱藏網(wǎng),即指那些存儲在網(wǎng)絡數(shù)據(jù)庫里,但不能通過網(wǎng)頁跳轉(zhuǎn)的訪問方式,而需要通過動態(tài)網(wǎng)頁技術訪問的資源集合,不屬于那些可以被標準搜索引擎索引的表面網(wǎng)絡。隨著互聯(lián)網(wǎng)的迅速發(fā)展,一些非法分子利用網(wǎng)絡匿名的特性,通過比特幣的交易形式開始了一些不為人知的非法交易。匿名支付的網(wǎng)絡特性在一定程度上為不法分子通過比特幣進行的交易給予了很大的支撐。比特幣是一種通過密碼編碼,在復雜算法的大量計算下產(chǎn)生的電子貨幣。暗網(wǎng)具有一定的隱秘性,在保護隱私的同時,也為犯罪分子提供了安全的窩巢。那么,比特幣和暗網(wǎng)一旦結(jié)合,則使整個勒索過程變得密不透風。在有些攻擊者給出的勒索信上,甚至還“貼心”地介紹了進入暗網(wǎng)的方法,比特幣的購買方法和支付方法。二、計算機病毒傳播過程勒索軟件的傳播手段主要以成本較低的郵件傳播為主。同時也有針對醫(yī)院類特定組織的攻擊,通過入侵組織內(nèi)部的服務器,使用批量腳本及其勒索軟件負載的簡單組合,通過半自動化的方式向網(wǎng)絡中散播勒索軟件。隨著人們對勒索軟件的警惕性提高,勒索者也增加了其他的傳播渠道,具體的傳播方式如下:●郵件傳播:攻擊者以廣撒網(wǎng)的方式大量傳播垃圾郵件、釣魚郵件,一旦收件人打開郵件附件或者點擊郵件中的鏈接地址,勒索軟件會以用戶看不見的形式在后臺靜默安裝,實施勒索;●漏洞傳播:當用戶正常訪問網(wǎng)站時,攻擊者利用頁面上的惡意廣告驗證用戶的瀏覽器是否有可利用的漏洞。如果存在,則利用漏洞將勒索軟件下載到用戶的主機;●捆綁傳播:與其他惡意軟件捆綁傳播;●僵尸網(wǎng)絡傳播:一方面僵尸網(wǎng)絡可以發(fā)送大量的垃圾郵件,另一方面僵尸網(wǎng)絡為勒索軟件即服務(RaaS)的發(fā)展起到了支撐作用;●可移動存儲介質(zhì)、本地和遠程的驅(qū)動器(如C盤和掛載的磁盤)傳播:惡意軟件會自我復制到所有本地驅(qū)動器的根目錄中,并成為具有隱藏屬性和系統(tǒng)屬性的可執(zhí)行文件;●文件共享網(wǎng)站傳播:勒索軟件存儲在一些小眾的文件共享網(wǎng)站,等待用戶點擊鏈接下載文件;●網(wǎng)頁掛馬傳播:當用戶不小心訪問惡意網(wǎng)站時,勒索軟件會被瀏覽器自動下載并在后臺運行;●社交網(wǎng)絡傳播:勒索軟件以社交網(wǎng)絡中的.JPG圖片或者其他惡意文件載體傳播(見圖1)。三、強制軟件開發(fā)（見圖2）1.給用戶隱私以解鎖已知最早的勒索軟件出現(xiàn)于1989年,是由哈佛大學畢業(yè)的JosephPopp創(chuàng)建。該勒索軟件發(fā)作后,C盤的全部文件名也會被加密(從而導致系統(tǒng)無法啟動)。此時,屏幕將顯示信息,聲稱用戶的軟件許可已經(jīng)過期,要求用戶向“PCCyborg”公司位于巴拿馬的郵箱寄去189美元,以解鎖系統(tǒng)。作者在被起訴時曾為自己辯解,稱其非法所得費用用于艾滋病研究。該木馬采取的方式為對稱加密,解密工具很快可恢復文件名稱,但該惡意代碼開啟了近30年的勒索軟件攻擊。2.加密文件的生成2005年出現(xiàn)了一種加密用戶文件的木馬(Trojan/Win32.GPcode)。該木馬在被加密文件的目錄下生成,具有警告性質(zhì)的txt文件,要求用戶購買解密程序。所加密的文件類型包括:.doc、.html、.jpg、.xls、.zip及.rar。3.系統(tǒng)加密和被加密Archievus是在2006年出現(xiàn)的勒索軟件,勒索軟件發(fā)作后,會對系統(tǒng)中“我的文檔”目錄中所有內(nèi)容進行加密,并要求用戶從特定網(wǎng)站購買來獲取密碼解密文件。它在勒索軟件的歷史舞臺上首次使用RSA加密算法。RSA是一種非對稱加密算法,讓加密的文檔更加難以恢復。4.)隱藏時彈出窗口2006年出現(xiàn)的Redplus勒索木馬(Trojan/Win32.Pluder),是國內(nèi)首個勒索軟件。該木馬會隱藏用戶文檔和包裹文件,然后彈出窗口要求用戶將贖金匯入指定銀行賬號。2007年,出現(xiàn)了另一個國產(chǎn)勒索軟件QiaoZhaz,該木馬運行后會彈出“發(fā)現(xiàn)您硬盤內(nèi)曾使用過盜版了的我公司軟件,所以將您部分文件移動到鎖定了的扇區(qū),若要解鎖將文件釋放,請電郵liugongs19670519@購買相應軟件”的對話框。5.koel家族2014年4月下旬,勒索軟件陸續(xù)出現(xiàn)在以Android系統(tǒng)為代表的移動終端,而較早出現(xiàn)的為Koler家族(Trojan[rog,sys,fra]/Android.Koler)。該家族主要行為是:在用戶解鎖屏及運行其它應用時,會以手機用戶非法瀏覽色情信息為由,反復彈出警告信息,提示用戶需繳罰款,從而向用戶勒索高額贖金。6.x.encoder.1勒索軟件俄羅斯殺毒軟件公司DoctorWeb的研究人員發(fā)現(xiàn)了一種新的勒索軟件,命名為Linux.Encoder.1,該勒索軟件是針對Linux系統(tǒng)的惡意軟件。這個Linux惡意軟件使用C語言編寫,它啟動后作為一個守護進程來加密數(shù)據(jù),以及從系統(tǒng)中刪除原始文件,使用AES-CBC-128對文件加密之后,會在文件尾部加上“.encrypted”擴展名。7.中文提示勒索軟件安天在2016年2月發(fā)現(xiàn)一款新的勒索軟件家族,名為“Locky”,它通過RSA-2048和AES-128算法對100多種文件類型進行加密,同時在每個存在加密文件的目錄下提示勒索文件。經(jīng)過安天CERT研究人員分析發(fā)現(xiàn),這是一類利用垃圾郵件進行傳播的勒索軟件,是首例具有中文提示的比特幣勒索軟件。“Locky”和其他勒索軟件的目的一致,都是加密用戶數(shù)據(jù)并向用戶勒索金錢。與其他勒索軟件不同的是,它是首例具有中文提示的比特幣勒索軟件,這預示著勒索軟件作者針對的目標范圍逐漸擴大,勒索軟件將發(fā)展出更多的本地化版本。四、典型的強迫軟件家族分析勒索軟件的本質(zhì)是木馬,下面以幾個典型勒索軟件家族為例,詳細地介紹其勒索過程,力求揭開勒索軟件的真面目。1.rsa&aesCryptoLocker在2013年9月被首次發(fā)現(xiàn),它可以感染大部分的Windows操作系統(tǒng),包括:WindowsXP、WindowsVista、Windows7、Windows8。CryptoLocker通常以郵件附件的方式進行傳播,附件執(zhí)行之后會使用RSA&AES對特定類型的文件進行加密。并彈出勒索窗體,如圖3所示:完成加密操作彈出付款窗口,需要用戶使用moneypak或比特幣,在72小時或4天內(nèi)付款300美元或歐元,方可對加密的文件進行解密。2.加密和誤支付CTB-Locker是Curve-Tor-BitcoinLocker的縮寫,是當前全球影響較大的勒索軟件家族,主要通過郵件附件傳播,使用高強度的加密算法,加密用戶系統(tǒng)中的文檔、圖片、數(shù)據(jù)庫等重要資料。加密完成后,CTB-Locker會采用彈出窗體和修改桌面背景等方式,提示用戶支付贖金,并要求用戶在96小時內(nèi)支付8比特幣(約合人民幣1萬元)贖金,否則將銷毀用戶文件。該家族在國外一直很活躍,國內(nèi)也陸續(xù)出現(xiàn)受害者。該家族的另一個特點是使用洋蔥路由(Tor),通過完全匿名的比特幣交易方式獲取贖金,這使得該勒索軟件的作者難以追蹤。3.勒索軟件的使用自2016年開始,采用勒索軟件即服務(Ransomware-as-a-Service)模式,名為Cerber的勒索軟件開始爆發(fā)。攻擊者在2016年下半年開始了頻率極高的版本升級,僅在8月份就發(fā)現(xiàn)了Cerber2和Cerber3兩個版本,而在10月及11月,Cerber4和Cerber5相繼推出。勒索軟件即服務(RaaS)是一整套體系,指從勒索到解鎖的服務。勒索軟件作者開發(fā)出惡意代碼,通過在暗網(wǎng)中出售、出租或以其他方式提供給有需求的攻擊者作為下線,下線實施攻擊并獲取部分分成,原始開發(fā)者獲得大部分利益,在只承擔最小風險的前提下擴大了犯罪規(guī)模。而采用這種服務模式的勒索軟件越來越多地將目標放在了企業(yè)上,對于很多企業(yè)來說,他們不希望失去重要的數(shù)據(jù)資料,因此更愿意去支付贖金。Cerber通過垃圾郵件和漏洞利用工具Rig-VExploitEK傳播,自Cerber4開始,它不再使用Cerber作為加密文件的后綴,而是使用4個隨機字符。Cerber采用RSA2048加密文件,擁有文件夾及語言地區(qū)的黑名單,而在黑名單中的文件夾及語言地區(qū)均不能加密。4.中文提示勒索軟件東南角安天CERT在2016年2月份發(fā)現(xiàn)了一款新的勒索軟件家族,名為“Locky”。它通過RSA-2048和AES-128算法對100多種文件類型進行加密,同時在每個存在加密文件的目錄下釋放一個名為_Locky_recover_instructions.txt的勒索提示文件。經(jīng)過安天CERT研究人員分析發(fā)現(xiàn),這是一類利用垃圾郵件進行傳播的勒索軟件,是首例具有中文提示的比特幣勒索軟件。Locky惡意代碼樣本運行后,顯示中文的提示信息,如圖所示。Locky樣本的本地行為:復制自身到系統(tǒng)臨時目錄%Temp%下,并重新命名為svchost;對系統(tǒng)中的文件進行遍歷,判斷文件后綴名是否在樣本內(nèi)置的列表中,若存在,則對樣本進行加密操作;在多個文件夾中創(chuàng)建提示文件_Locky_recover_instructions.txt;在桌面上創(chuàng)建文件_Locky_recover_instructions.bmp;將該文件設置為桌面背景,提示用戶如何操作可以成功恢復被加密的文件;添加相關注冊表鍵值;刪除系統(tǒng)還原快照。5.加密特定目錄、特定后綴名自2016年末開始,一種名為PopcornTime的新型勒索軟件逐漸活躍。該勒索軟件正在不斷地被進行新版本的開發(fā),研究人員還在暗網(wǎng)中發(fā)現(xiàn)了該勒索軟件的源代碼。該勒索軟件有一個與眾不同的特點:除了支付1個比特幣解密文件之外,還可以將惡意代碼鏈接發(fā)送給其他人,如果兩名以上的受害者支付了贖金,最初的受害者就可以獲得免費的解密密鑰。受害者很有可能為了解密文件而將勒索軟件傳播出去,這種方式也許會成為勒索軟件發(fā)展的新趨勢。PopcornTime在后臺加密特定目錄、特定后綴名的用戶文件。特定目錄包括:我的文檔、圖片、音樂和桌面共四個文件夾,特定后綴名共500余種。解密方式除了正常的支付比特幣,增加了“傳銷”解密的方式,即只要發(fā)展兩個下線(讓其他兩個人中招且支付贖金),就可以獲取解密密鑰。6.典型的欺詐軟件組合安天CERT對以上五個典型勒索軟件家族特點進行了總結(jié),如表1所示。7.針對工業(yè)控制系統(tǒng)的勒索軟件在2017年舊金山RSA大會上,喬治亞理工學院(GIT)的研究員向人們展示了一種可以感染工控設施,向中水投毒的勒索軟件,名為LogicLocker。它可以改變可編程邏輯控制器(PLCs),也就是控制關鍵工業(yè)控制系統(tǒng)(ICS)和監(jiān)控及數(shù)據(jù)采集(SCADA)的基礎設施,例如發(fā)電廠或水處理設施。通過LogicLocker,他們可以關閉閥門,控制水中氯的含量并在機器面板上顯示錯誤的讀數(shù)。LogicLocker針對三種已經(jīng)暴露在互聯(lián)網(wǎng)上的PLC,感染后修改密碼,鎖定合法用戶并要求贖金。如果用戶付錢,他們可以找回他們的PLC。但是如果沒有,攻擊者可以使水廠設備發(fā)生故障,或者向水中投入大量威脅生命的氯元素。該勒索軟件攻擊生命周期包括對PLC的攻擊、偵察并感染更多的PLC、獲取設備密碼和控制列表等資源、竊取并加密PLC程序及通過郵件進行勒索這幾個節(jié)點。如圖所示:針對工業(yè)控制系統(tǒng)的攻擊并不新鮮,Stuxnet、Flame和Duqu已經(jīng)給我們以震驚。但是對于勒索軟件的攻擊卻是頭一次,以金錢為目標的攻擊者可能很快就會瞄準關鍵的基礎設施,而在這些攻擊的背后,很可能是擁有國家背景的攻擊者們。8.勒索軟件解鎖2014年4月,隨著國外開始出現(xiàn)移動平臺勒索軟件,國內(nèi)也很快出現(xiàn)了類似軟件,并且有愈演愈烈的趨勢。目前國內(nèi)外出現(xiàn)移動平臺的贖金方式有人民幣、Q幣、美元、盧布等,勒索方式有鎖屏、加密文件、加密通訊錄等方式。據(jù)了解該類軟件爆發(fā)后,國內(nèi)已經(jīng)有上千人的手機受到感染,這類勒索軟件的發(fā)展將對用戶手機及資料形成嚴重威脅。國內(nèi)出現(xiàn)的勒索軟件通常偽裝游戲外掛或付費破解軟件,用戶點擊即會鎖定屏幕,需加手機界面留下的QQ號為好友,去支付贖金才能解鎖。下圖所示是該類勒索軟件的一個真實案例。受害用戶手機被鎖定,勒索軟件作者在手機界面給出QQ號碼,要求受害用戶加QQ好友并支付一定贖金才能解鎖。用戶加該QQ后會提示回答驗證問題。在該案例中,可以看到勒索者的相關資料,在用戶個人信息中可以看到勒索者的相關身份信息,但無法確保其真實性。在受害用戶加好友以后,勒索軟件作者與其聊天,勒索人民幣20元,并要求用戶轉(zhuǎn)賬到指定支付寶賬戶才給出解鎖密碼。據(jù)了解,該勒索軟件作者同時也對其他Android手機用戶進行勒索行為,并且在受害用戶支付贖金后,未能提供解鎖密碼。甚至還在勒索軟件中加入短信攔截木馬功能,盜取用戶支付寶和財富通賬戶。有時,受害用戶在多次進行充值、轉(zhuǎn)賬等方式后,仍不能獲得解鎖密碼,甚至會被勒索軟件作者將受害用戶加入黑名單。五、國防：我必須做什么1.加密密鑰的加工就目前而言,勒索軟件多采用非對稱加密方式,除使用攻擊者提供的密鑰外,破解密碼的可能性幾乎為零?，F(xiàn)有的勒索軟件解密工具主要是通過以下幾個方式獲得密鑰,恢復被加密的文件:●研究人員通過逆向分析,發(fā)現(xiàn)勒索軟件執(zhí)行上的邏輯漏洞,根據(jù)漏洞獲得加密密鑰或者跳過密鑰直接解密文檔?！裼行├账鬈浖４娼饷苊荑€的服務器被當?shù)鼐桨l(fā)現(xiàn),警方在服務器中找到了大量密鑰。這些密鑰是由感染勒索軟件的計算機生成,后上傳到此服務器中保存的。它們在感染者交付贖金后被用作加密文檔的解密密鑰。警方與一些技術公司合作,根據(jù)從服務器中取出的解密密鑰制作了相應的解密工具?！窭账鬈浖４婷荑€的服務器被安全廠商反制,在取得服務器權限后,將服務器內(nèi)的密鑰導出制作成相應勒索軟件的解密工具?！窠饷苊荑€被其他競爭對手泄露或是勒索軟件作者主動將密鑰交出?！褚恍├账鬈浖用芩惴◤碗s程度較低,加密過程照搬其他現(xiàn)有的加密算法或者只做小部分修改,使得研究人員可以編寫程序暴力破解,計算出對應的解密密鑰?！衩荑€在上傳的過程中沒有使用加密的通訊協(xié)議,被技術人員截獲解密密鑰。2.安裝計算機病毒軟件為了避免受到勒索軟件的威脅,安天針對不同用戶給出如下建議:●PC用戶及時備份重要文件,且文件備份應與主機隔離;及時安裝更新補丁,避免一些勒索軟件利用漏洞感染計算機;盡量避免打開社交媒體分享的來源不明的鏈接,給信任網(wǎng)站添加書簽并通過書簽訪問;對非可信來源的郵件保持警惕,避免打開附件或點擊郵件中的鏈接;定期用反病毒軟件掃描系統(tǒng),如殺毒軟件有啟發(fā)式掃描功能,可使用該功能掃描計算機。●Android平臺的移動終端用戶安裝手機殺毒軟件(比如LBE安全大師、安天AVLPro等);由可靠的安卓市場下載手機應用程序;盡量少或者不訪問博彩、色情等潛在危險程度較大的網(wǎng)站。3.使用勒索軟件進行攻擊并刪除惡意行為高強度加密方式綁架用戶數(shù)據(jù)的勒索軟件一旦感染主機,將對用戶的數(shù)據(jù)安全構(gòu)成嚴重威脅,所以,良好的安全意識和預防工作就顯得非常重要。如果個人用戶不慎感染勒索軟件,且沒有做好數(shù)據(jù)備份,則可根據(jù)勒索軟件特性,如勒索界面、加密文件名等特征在網(wǎng)絡中查找是否有相應解密工具。如安天持續(xù)關注勒索軟件動態(tài),對新發(fā)布的勒索軟件解密工具做了收集,可方便用戶快速查找解密工具。●已經(jīng)受到勒索軟件感染的移動終端用戶對于感染勒索軟件的移動終端用戶來說,可采取以下方法刪除惡意程序:如果手機已root并開啟USB調(diào)度模式,可進入adbshell后直接刪除惡意應用;如果是利用系統(tǒng)密碼進行鎖屏,部分手機可嘗試利用找回密碼功能;可進入手機安全模式刪除惡意應用程序。4.受攻擊的保護系統(tǒng)對于企業(yè)用戶來說,針對勒索軟件類的安全威脅防護可從預警、防御、保護、處置和審計幾個步驟來進行有效防御和處理,保護系統(tǒng)免受攻擊。以安天企業(yè)安全產(chǎn)品“智甲”為例,即是從這幾方面入手進行防御和處理的,在病毒查殺的基礎上,結(jié)合勒索軟件的行為特性,采用了“邊界防御+主動防御+文檔安全工具”的三重防御模式,可以有效阻止已知勒索軟件和未知的勒索軟件的進入、啟動和破壞等行為,并且具有不依賴病毒特征的檢測防護能力,從而保護用戶數(shù)據(jù)和文件的安全。六、勒索軟件將更加復合化從2016年勒索軟件爆發(fā)式的增長趨勢來看,勒索軟件目前已泛濫成災,呈現(xiàn)爆發(fā)趨勢,僅在下半年內(nèi)就出現(xiàn)了數(shù)以千計的勒索軟件變種,攻擊對象已由傳統(tǒng)辦公終端擴展到了服務器終端,一旦感染將成為個人與企業(yè)用戶的噩夢。而且,新型勒索軟件的出現(xiàn)表現(xiàn)出了攻擊者正在不斷地更新傳播方式、開發(fā)大量變種以及將勒索軟件作為一種商