啟明星辰ADLab勒索軟件專題報告(上篇)
責編:admin |2017-04-25 10:44:23作者:ADLab
由于啟明星辰ADLab勒索軟件專題報告篇幅較長,為了方便大家閱讀,我們將報告分為上、下兩篇發布在ADLab微信公眾號,請大家持續關注。以下內容為報告(上)篇,更多資訊和分析文章請關注啟明星辰ADLab官方網站(adlab.venustech.com.cn)。
1概述
1.1??2016,勒索之年
縱觀過去一年國內外網絡勒索事件,可以看到,勒索軟件在運行模式、加密技術等方面不斷創新和改進,攻擊目標從醫療、交通、政府、酒店等行業,開始出現向IOT、工控,以及公有云領域擴展的趨勢。
另外,據趨勢科技的2016年度安全報告顯示,新勒索軟件家族的數量僅2016年就增加了752%。
圖1 每月增加的勒索軟件家族數量【圖片來源:TrendMicro】
1.2??2017勒索攻擊活動威脅情報信息速遞
在剛剛過去的RSA 2017的一個專題演講中,勒索軟件被定義為七大致命攻擊之首,成為最受關注的安全威脅。從去年開始,我們的威脅情報研究團隊就一直與合作伙伴一起持續關注勒索軟件的發展動向,以便及時為我們用戶提供咨詢和支持。以下是我們威脅情報研究團隊在過去的一個月觀察到的勒索軟件威脅情報。
- ?Cerber勒索軟件瞄準國內某金融機構
我們的威脅情報研究團隊和合作伙伴于2017年2月20日左右觀察到某金融機構遭到Cerber勒索軟件的威脅,隨即開始對這個勒索軟件活動進行相應的分析。分析發現該惡意團伙疑似2016年圣誕節開始針對個人實施勒索活動, 2017年春節期間開始針對企業目標實施勒索活動,并且該團伙的威脅活動仍然在繼續。該團伙使用網絡釣魚郵件手段,利用惡意Office攜帶宏代碼投遞Cerber惡意程序。通過樣本分析,我們推測該勒索軟件團伙可能位于歐洲且使用俄語作為主要語言。該勒索活動針對13種語言操作系統發起勒索攻擊,涉及語言有:英文、阿拉伯文、中文、荷蘭語、法語、德語、意大利語、日語、韓語、波蘭語、葡萄牙語、西班牙語、土耳其語,上述語言的Windows操作系統可能會被攻擊,而這個語言列表中沒有俄羅斯語。我們觀察到此團伙的威脅活動針對行業有:金融銀行業、IT及網絡服務商、政府機構、醫療行業、能源電力等。以下是該攻擊活動的威脅情報指標。
威脅源:
圖2 Cerber威脅指標分布圖
攻擊目標:Windows 10、Windows 8、Windows 7、Windows XP
傳播方式:網絡釣魚郵件等。
應對措施:針對該攻擊活動共觀察到1319條指示器,網關設備可對指示器進行阻斷。
指示器:
- ?Nymaim勒索軟件瞄準國內某金融機構
我們的威脅情報研究團隊和合作伙伴于2017年3月10日左右觀察到某金融機構遭到Nymaim勒索軟件的威脅,隨即開始針對該勒索活動進行相應的分析。分析發現該惡意團伙從2016年11月開始發起Nymaim勒索攻擊,并且該團伙的威脅活動還在繼續。該團伙使用網絡釣魚郵件手段,利用惡意Office文檔攜帶宏代碼投遞Nymaim惡意程序。通過樣本分析我們推測出該勒索團伙位于歐洲地區且有可能是使用波蘭語的威脅組織,使用魚叉式釣魚郵件方式、Office文件攜帶惡意VBA宏代碼實施了Nymaim下載器并攜帶勒索軟件功能的惡意活動。此次威脅活動主要針對的目標是網絡購物及金融行業的個人用戶。以下是該攻擊活動的威脅情報指標。
威脅源:
圖3 Nymaim威脅指標分布圖
攻擊目標:Windows 10、Windows 8、Windows 7、Windows XP
傳播方式:網絡釣魚郵件等。
應對措施:針對該攻擊活動共觀察到68條指示器,網關設備可對指示器進行阻斷。
指示器:
2016年被稱為勒索之年,勒索軟件攻擊活動如火如荼,2017年這種攻擊活動將繼續猖獗,作為企業用戶也好,個人用戶也罷,都會成為勒索軟件的攻擊目標。所以不管作為企業用戶還是個人用戶,了解什么是勒索軟件,勒索軟件如何傳播和感染,勒索軟件如何進行防范和緩解,一旦受感染如何進行有效應對,對于我們來講都有非常重要的意義和作用。
2勒索軟件的基本概念與原理
2.1??什么是勒索軟件
勒索軟件(Ransomware)是一個復雜的惡意軟件,它利用垃圾郵件等各種方式感染受害者的電腦或者移動設備,通過鎖定系統、加密文件等方式阻止受害者訪問他/她的文件,并以此為條件勒索錢財。
對于加密型勒索軟件,加密的對象包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種形式。贖金包括真實貨幣、比特幣或其他虛擬貨幣。一般來說,勒索軟件編寫者還會設定支付時限,贖金隨時間推移上漲。有時即使用戶支付了贖金,仍然無法正常使用系統、還原被加密的文件。
2.2??勒索軟件的分類
目前為止有兩種類型的勒索軟件比較流行,具體情況如下:
加密勒索軟件,該類型結合了先進的加密算法,它利用加密技術加密系統文件,以阻止對系統文件的訪問,并要求支付贖金,然后為受害者提供可以解密被阻止的內容的密鑰。例如CryptoLocker、Locky、CrytpoWall等。
圖4 加密勒索軟件
Locker勒索軟件,它鎖定受害者的操作系統,使用戶無法訪問桌面和任何應用程序或文件。這種情況下文件不加密,但攻擊者仍然要求贖金解鎖受感染的計算機。例如Police-Themed Ransomware和WinLocker等。
圖5 ?Locker勒索軟件
與Locker勒索軟件類型相關的另一個版本是主引導記錄(MBR)勒索軟件。MBR是PC硬盤驅動器的一部分,使操作系統能夠啟動。當MBR勒索軟件觸發時,引導進程無法照常完成,并在屏幕上顯示贖金注釋。例如Satana和Petya Ransomware。
2.3??勒索軟件的特點
在已知的已發現勒索軟件中,勒索軟件具有一些關鍵的特點,使他們與其他惡意軟件區分開來。當然隨著新的勒索軟件家族和新的勒索軟件變種的不斷出現,勒索軟件的新功能也會不斷增加。具體情況如下:
(1)有難以破解的加密;
(2)有能力加密各種文件,從文檔到圖片、視頻、音頻文件和電腦上的其他東西;
(3)可以干擾您的文件名,所以很難知道哪些數據受到影響,這是用來混淆和強迫受害者支付贖金的社會工程技巧之一;
(4)感染文件后,會在文件添加不同的擴展名,有時表示特定類型的勒索軟件;
(5)感染后,會顯示一個圖像或一個消息,以通知計算機用戶其數據已被加密,必須支付一定金額才能進行解密;
(6)要求用比特幣支付,因為這種加密貨幣網絡安全研究人員或執法機構很難跟蹤;
(7)通常,支付贖金有時間限制,超過最后期限意味著贖金將增加,也可能會伴隨著數據被銷毀和永遠丟失;
(8)使用一組復雜的逃避技術,躲避傳統的殺毒軟件的檢測;
(9)經常將受感染的PC加入到僵尸網絡中,因此網絡犯罪分子可以擴展其基礎設施并為未來的攻擊提供燃料;
(10)可以傳播到本地網絡中連接的其他主機,造成進一步的損壞;
(11)經常會導致數據泄露,勒索軟件可以從受影響的計算機中提取數據,并將其發送到網絡罪犯控制的服務器;
(12)有時包括地理位置定位,意味著贖金注釋被翻譯成受害者的語言,以增加支付贖金的機會。
2.4??勒索軟件的原理
2.4.1 加密勒索軟件運行原理
利用公鑰密碼術進行攻擊的加密勒索軟件最初是由哥倫比亞大學的Adam L . Young和Moti Yung發明和實現的,他們在1996年IEEE安全與隱私會議上提出了這一概念。它被稱為加密病毒勒索,在攻擊者和受害者之間進行以下3輪協議:
【攻擊者→受害者】攻擊者生成密鑰并將相應的公鑰置入惡意軟件。惡意軟件被釋放。
【受害者→攻擊者】為了執行加密病毒勒索攻擊,惡意軟件生成隨機對稱密鑰,并用其加密受害者的數據。然后使用惡意軟件中的公鑰來加密對稱密鑰。這被稱為混合加密。然后勒索軟件將對稱密鑰和原始明文數據歸零,以防止被恢復。然后向用戶發出包含不對稱密文和如何支付贖金的消息。受害者向攻擊者發送不對稱的密文和電子貨幣。
【攻擊者→受害者】攻擊者接收付款,用其私鑰解密非對稱密文,并將對稱秘鑰發送給受害者。受害者用所需的對稱密鑰解密加密的數據,從而完成加密病毒勒索的攻擊。
對稱密鑰是隨機生成的,所以解密密鑰對其他受害者是沒有任何作用的。攻擊者的私鑰不會暴露給受害者,受害者只需要向攻擊者發送一個非常小的密文(非對稱密文)。
勒索軟件攻擊通常使用木馬來執行,通過例如下載的文件或者網絡服務中的漏洞進入系統。然后程序運行有效載荷,其以某種方式鎖定系統或聲稱鎖定系統,或不鎖定系統(例如Scareware程序)。有效載荷可能會顯示一個實體假警告,如執法機構,假稱該系統已用于非法活動,包含的內容如色情和“盜版”的媒體內容。
2.4.2??勒索軟件傳播方式
勒索軟件Ransomware可以通過任何可用的手段進行傳播。網絡犯罪分子通常只尋最簡單的傳播方法。以下是網絡犯罪分子用來傳播勒索軟件最常用的方法:
(1)包含惡意鏈接或附件的垃圾郵件;
(2)易受攻擊軟件中的安全漏洞;
(3)互聯網流量重定向到惡意網站;
(4)在其網頁中注入惡意代碼的合法網站;
(5)驅動下載;
(6)惡意廣告活動;
(7)短信(適用于針對移動設備的勒索軟件);
(8)僵尸網絡;
(9)自我傳播(從一臺感染的計算機傳播到另一臺);
(10)勒索軟件即服務的聯盟計劃(通過幫助進一步傳播勒索軟件獲得一部分利潤)。
當然,勒索軟件也會利用社會工程學的方法與以上的一些方法進行組合攻擊,這些攻擊日益精煉,網絡犯罪分子從之前的錯誤中不斷學習,升級他們的惡意代碼,以使其功能更強大,更具侵擾性,更適合逃避檢測。
例如,網絡犯罪分子在互聯網上找到易受攻擊的網站,比如在全球范圍內廣泛部署的未及時更新的WordPress架構的網站,通過在網站中注入惡意Javascript代碼,并以此為基礎將潛在的受害者重定向到受感染的網站,從而使受害者感染勒索軟件。
圖6 ?勒索軟件的傳播方式
2.4.3 勒索軟件感染方式
雖然每個勒索軟件版本的感染階段略有不同,但是關鍵階段基本如下圖所示。
圖7 ?勒索軟件的感染方式
(1)最初,受害者收到包含惡意鏈接或惡意軟件附件的電子郵件,或者源自惡意網站,其通過使用來自系統的易受攻擊的軟件漏洞來傳遞攻擊代碼,以使在受害者的PC上安裝后門;
(2)如果受害者單擊鏈接或下載并打開附件,下載器(有效載荷)將放置在受影響的PC上;
(3)下載器從由網絡罪犯控制域名或C&C服務器的列表里的系統上下載勒索軟件程序;
(4)被聯系的C&C服務器對請求進行響應;
(5)勒索軟件開始加密整個硬盤的內容,幾乎所有的個人文件和敏感信息,甚至包括PC上同步的存儲在云賬戶中的數據,還可以加密連接在本地網絡中的其他計算機上的數據;
(6)在屏幕上彈出警告信息以及如何支付指令的解密秘鑰。
?
圖8 ?CTB-Locker
3 勒索軟件的發展歷史
歷史上第一個已知的勒索軟件出現在1989年(28年前)。是由約瑟夫?波普開發的“AIDS Trojan”,該木馬在設計上存在一個缺陷,可以不需要支付贖金。該勒索軟件的有效載荷會隱藏硬盤驅動器上的文件,并僅加密文件名稱,然后顯示一條消息,聲稱用戶使用的某個軟件的許可證已過期。要求用戶向“PC Cyborg Corporation”支付189美元,以便獲得修復工具。但實際上解密密鑰可以從木馬的代碼中提取。木馬也被稱為“PC機器人”。最終波普被宣布為精神上存在問題而不適合為他的行為進行宣判,但是他承諾將勒索軟件的所有所得捐贈給艾滋病研究機構進行艾滋病的研究。
但是現在已經發生了巨大變化,隨著網路犯罪的發展,以及比特幣出現和加密算法的進步,使得勒索軟件的開發技術日趨成熟,勒索軟件攻擊逐漸發展成為流行的安全威脅。下圖顯示了惡意軟件研究人員在過去10年發現的勒索軟件家族信息。
圖9 ?勒索軟件家族信息[圖片來源:CERT-RO]
3.1??加密勒索軟件
如前文所述第一個已知的勒索軟件是“AIDS Trojan”,由約瑟夫?波普在1989年開發,眾所周知,該勒索軟件有一個致命的設計缺陷,利用對稱加密算法,并且密鑰就包含在勒索軟件樣本中,解密工具可以很快恢復文件名稱,但這開啟了近三十年的勒索軟件攻擊。
1996年Adam L.Young和Moti Yung介紹了使用公鑰密碼術進行攻擊的概念。他們批評了失敗的“AIDS Trojan”的缺陷,并通過實驗驗證了他們的概念。使用RSA和TEA混合加密受害者數據,從此進入了公鑰密碼術勒索軟件攻擊時代。
勒索軟件的實例在2005年5月變得比較突出,到2006年年中,勒索軟件Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive開始使用更復雜的RSA加密方案。2006年檢測到的Gpcode.AG使用660位RSA公鑰加密。2008年6月,被檢測的Gpcode.AK變種,使用1024位RSA密鑰。
隨著以CryptoLocker為代表的勒索軟件在2013年底的崛起–使用比特幣數字貨幣平臺收受贖金。2013年12月,ZDNet根據比特幣交易信息估計,10月15日至12月18日,CryptoLocker犯罪運營集團從受感染用戶處收受了約2700萬美元。隨后CryptoLocker技術被廣泛的復制,勒索軟件進入繁榮的階段。2015年1月,據報道,出現了瞄準Linux服務器的勒索軟件攻擊事件。
3.2??不加密勒索軟件
2010年8月,俄羅斯當局逮捕了9名與勒索軟件WinLock相關的人。與以前的Gpcode不同,WinLock通過顯示色情圖片來限制對系統的訪問,并要求用戶發送付費短信(花費大約10美元)來接收可用于解鎖其計算機的代碼。這個騙局襲擊了俄羅斯和鄰國的眾多用戶,勒索所得收入據說超過1600萬美元。
2011年,另外一個勒索軟件模仿Windows產品激活通知,并通知用戶系統必須重新激活,由于“作為一個欺詐的受害者”,提供了在線激活選項(如實際的Windows激活過程),但是實際上是虛假的,要求用戶撥打六個國際號碼中的一個以輸入6位數代碼。
2013年2月,基于Stamp.EK exploit套件的勒索軟件木馬出現;該惡意軟件是通過站點托管服務SourceForge和GitHub且聲稱提供名人的“假裸體圖片”的網站分發。2013年7月,一個OS X平臺勒索軟件浮出水面,該勒索軟件通過啟動一個網頁,并顯示出指責用戶下載色情文件的消息進行勒索。與基于Windows的同類產品不同,它不會阻止整個計算機,而只是利用Web瀏覽器本身的行為來阻止通過正常方式嘗試關閉網頁的行為。
3.3??移動勒索軟件
隨著勒索軟件在PC上日益流行,勒索軟件數量也大大增加。智能手機也受到勒索軟件的影響,特別是Android設備。(IOS設備由蘋果公司提供保護,他們限制哪些應用程序可以放到IOS App Store。)
與計算機上的勒索軟件不同,計算機平臺上加密勒索軟件比非加密勒索軟件更加普遍,移動設備上幾乎沒有加密勒索軟件,因為移動平臺上大多數關鍵數據存儲在云中。數據會在云存儲中備份,不需要支付贖金也一樣能夠恢復。為此,非加密勒索軟件在移動平臺上更受歡迎。
移動勒索軟件通常通過在第三方商店中假冒合法應用程序進行傳播,它們也可以通過其他方式傳播,例如受感染的電子郵件和不安全的網站。它們通過一些技術手段阻止用戶正常使用手機。這種類型的勒索軟件在移動設備上更加有效,因為硬盤驅動器通常被焊接在主板上,在PC上可以簡單地從受感染的PC拔出硬盤驅動器并使用另一個PC來檢索其數據。為了保護手機免受勒索軟件的攻擊,可以定期掃描手機上的惡意軟件,避免可疑的鏈接和應用程序。