勒索軟件的發展演進與攻擊特征分析
責編:gltian |2024-10-28 10:57:59當前,在政府和企業大力推動數字化快速增長的背景下,對 IT 和運營系統的依賴日益增加。與此同時,網絡犯罪的收益不斷上漲,攻擊者不斷采取先進的網絡犯罪技術與策略。其中,勒索軟件已經成為全球組織面臨的主要網絡威脅,攻擊者的數量不斷增加,勒索手段也愈發多樣化和復雜化。
一、勒索軟件的定義與分類
勒索軟件通過加密用戶數據或鎖定用戶設備的方式,迫使受害者支付贖金以恢復訪問權限,這種犯罪行為不僅給個人用戶帶來損失,也讓企業面臨巨大的運營和財務風險。為了更有效地防范和應對勒索軟件攻擊,我們有必要理解其定義及多樣化的分類。
(一)勒索軟件的定義
勒索軟件(Ransomware),也被稱為勒索病毒,是指以加密數據、鎖定設備、損壞文件為主要攻擊方式,使計算機無法正常使用或者數據無法正常訪問,并以此向受害者勒索錢財的惡意軟件,也被歸類為“阻斷訪問式攻擊”(denial-of-accessattack)。
勒索軟件的攻擊手段多種多樣。它會遍歷本地磁盤文件,加密除系統文件外的各種重要格式文件,例如數據庫文件、Office 文檔、圖片和源代碼,并在加密后留下勒索提示信息。攻擊者通常會先竊取內網中重要數據,攻陷一臺機器后作為跳板嘗試攻擊內網的其他機器,以加密更多設備并勒索更高贖金。為防止受害者通過備份數據恢復,勒索軟件還會刪除備份數據。
(二)勒索軟件的分類
根據勒索軟件對受害用戶的系統和重要數據的處置方法,勒索軟件可分為“系統鎖定類”“數據破壞類”“文件加密類”和“數據竊取類”四個大類。
一是系統鎖定類。通過修改磁盤 MBR、VBR、分區表、原始數據等方式實現對整個磁盤的加密操作,阻止用戶訪問整個磁盤;或者加密 UEFI 或設置鎖屏程序,使計算機基本功能無法進行,導致用戶無法正常使用計算機。
二是數據破壞類。該類型勒索軟件不是加密文件,而是用隨機字符覆寫文件,永久性地破壞用戶數據,但在破壞數據之后仍會索要贖金。
三是文件加密類。文件加密類勒索軟件是最早出現,也是最為典型的一類勒索病毒。此類勒索軟件通過特定的加密算法(如 AES、RSA、DES 和 RC4 等)對設備中存儲的文件進行加密處理,導致用戶無法正常打開和編輯文件,并以此要挾索要贖金。大多數勒索軟件在未得到對應密鑰的解密工具時暫時無法解密,而部分則因算法邏輯錯誤導致文件可以解密。
四是數據竊取類。數據竊取類勒索軟件是 2020 年以后出現的一類新型勒索軟件。此類勒索軟件在發動勒索攻擊前,會在受害系統內駐留一段時間,在此期間竊取數據文件。在竊取工作完成后,它會發動勒索攻擊,加密系統中的文件,并通知受害者文件被竊取,如不按期支付勒索贖金,則會公開竊取到的數據文件,給予受害者壓力,從而迫使受害者盡早支付贖金。該類型的勒索軟件強調的是獲取受害者的數據,并以泄露這些數據為要挾,迫使受害者交付贖金。
勒索攻擊類型的網絡犯罪將會影響企業和組織的正常運營。自 2020 年以來,越來越多的勒索團伙使用雙重勒索策略攻擊目標企業,即加密文件并竊取公司數據。這種以泄露數據為主要威脅的策略對大型企業非常有效,文件被加密,企業可以通過重建系統恢復,但如果被竊數據泄露,將面臨法律風險,并可能需要為違規泄密支付高額的罰金,從而引發一系列連鎖反應,對公司的聲譽造成重大打擊。
二、勒索軟件發展演進
勒索軟件最早出現于 1989 年,由哈佛大學畢業的 Joseph Popp 創建了“AIDS”勒索軟件,當時 2 萬張感染了“AIDS”病毒的軟盤被分發給國際衛生組織國際艾滋病大會的與會者,導致大量文件被加密。勒索軟件要求用戶向“PC Cyborg Corporation”支付 189 美元以便獲得修復工具。這是歷史上第一個勒索軟件,采取了對稱加密方式進行加密,盡管解密工具很快就被發布,但該惡意代碼開啟了勒索軟件攻擊的時代。國內首個勒索軟件 Redplus 出現在 2006 年,通過隱藏用戶的文檔、數據庫、壓縮包等文件,形成用戶文檔丟失的假象,向用戶敲詐 70 元至 200 元不等的贖金,后來攻擊者被公安機關查獲。
由于勒索軟件犯罪經濟獲利高,隨著網絡犯罪的發展,以及加密算法、匿名支持服務和加密貨幣等技術的興起,勒索軟件的開發技術日趨成熟,勒索軟件快速進化蔓延,勒索手段與策略不斷增加。
(一)加密算法的進步
2006 年,首款利用非對稱加密(RSA)算法加密的勒索軟件 Archiveus Trojan 發布,它會對系統中“我的文檔”目錄中所有內容進行加密,并要求用戶從特定網站購買商品以獲取密碼解密文件。自此之后,大量勒索軟件開始采用非對稱加密算法進行文件加密。對于使用 RSA 算法加密的勒索軟件來說,一旦文件被加密,在目前計算機算力有限的情況下,基本無法暴力破解密鑰和數據,勒索的成功率大大提高。
(二)匿名支付服務的興起
2011 年,主流匿名支付服務開始興起。隨著加密貨幣的誕生,其去中心化、匿名和隱私等特性深得黑客的青睞,大量黑客開始采用加密貨幣進行勒索交易。從2011年開始,勒索軟件的發展進入增長期,使用加密貨幣進行交易的勒索軟件開始瘋狂增長。
(三)勒索軟件即服務(RaaS)的廣泛利用
近年來,勒索軟件即服務(RaaS)模式(如圖1所示)的興起,使得勒索攻擊變得更加普遍和高效。2015 年,第一款 RaaS 工具包/勒索軟件 Tox 出現,雖然其很快遭到了封禁,但隨后 RaaS 的模式如雨后春筍般涌現。RaaS 模式為缺乏高級技術能力的攻擊者提供了便利,攻擊者可以通過訂閱服務的方式,使用專業團隊開發的攻擊工具來執行攻擊,大大降低了網絡犯罪的技術門檻。
RaaS 模式的運作機制使勒索軟件攻擊事件大量增加。它不僅為攻擊者提供了一種快速獲得非法收益的途徑,而且通過分工合作,使攻擊行為更加專業化和隱蔽化。在這種模式下,攻擊者專注于制定攻擊策略和進行勒索談判,而技術提供者則負責開發和維護勒索軟件。
攻擊裝備的開發人員負責編寫勒索軟件、竊取信息和其他惡意程序。RaaS 的運營人員將這些攻擊工具進行整合,并在賦予品牌屬性后進行市場推廣,他們通過特定的交互平臺招募附屬成員,并達成分成協議。一旦協議達成,附屬成員便可以使用這些攻擊工具進行勒索攻擊,利用多種手段侵入受害者的網絡環境,實施竊取信息和勒索等惡意行為。
當受害者與攻擊者通過特定渠道進行談判并同意支付贖金后,受害者將贖金支付到指定的加密貨幣錢包地址。RaaS 運營人員會從收到的贖金中抽取一定比例作為分成,剩余的部分則作為附屬成員的非法收入。這一趨勢使得黑產人員獲取勒索軟件的渠道更為簡單,大大降低了勒索軟件攻擊的門檻,同時黑產人員利用已有的僵尸網絡等途徑廣泛散播勒索軟件,也極大增強了勒索軟件的傳播范圍。
圖1 勒索軟件即服務模式示意圖
(四)廣撒網向定向攻擊的轉變
近年來,隨著高級持續性威脅(APT)攻擊的愈演愈烈,勒索軟件也在不斷調整攻擊策略,開始瞄準高價值目標進行勒索活動,從而更高效地獲取經濟收益。例如,2021 年 5 月,DarkSide 勒索團伙針對美國大型燃油運輸管道運營商科洛尼爾管道運輸公司實施的定向攻擊,成功勒索到 440 萬美元贖金,并一度造成美國東部燃油短缺,引起了全球的震動和廣泛關注。不僅是 DarkSide 勒索團伙,從近年的勒索攻擊事件來看,勒索團伙的攻擊形式已經從過去蠕蟲式傳播和廣撒網式的攻擊逐漸轉向定向化、高效化的攻擊發展,黑客們偏向于利用滲透攻擊的手段進入重要部門的內部網絡植入勒索軟件。這種以勒索目標價值為導向的高度定向攻擊已經和 APT 攻擊無異,APT 的攻擊手段皆有可能被勒索軟件攻擊者使用。
(五)雙重勒索和多重勒索
勒索軟件的攻擊方式從單一的加密文件和鎖定設備,發展到了更為復雜的多重勒索模式。比較常見的模式為“雙重勒索”和“三重勒索”。雙重勒索的策略是在加密受害者數據庫之前提取敏感商業數據,然后威脅要公布這些私人數據,以加大壓力。而三重勒索則是在此基礎上增加了對組織和客戶或供應商的攻擊目標,威脅要暴露從受害組織收集的數據。這種模式使得組織更難拒絕支付贖金的要求,因為拒絕支付可能導致數據被公開,而支付贖金也可能無法確保數據安全。
根據 Venafi 的調查,83% 成功的勒索軟件攻擊具有雙重或三重勒索特征,而且即使受害者支付了贖金,數據泄露的風險仍然存在。
(六)重要基礎設施成為勒索軟件攻擊重點目標
在經濟利益的驅動下,勒索軟件不斷調整攻擊策略,開始瞄準高價值目標進行勒索活動。制造業、餐飲、零售、教育、金融貿易、醫療、互聯網、政府、能源、建筑和服務業成為勒索攻擊最多的行業。這些行業大部分屬于關鍵信息基礎設施行業,關系到社會經濟穩定運行和國計民生。這些行業的企業或部門通常擁有大量敏感數據,對服務器的穩定運行要求極高。勒索軟件選擇這些企業作為目標,一旦成功,便能獲得更大的利益,迫使受害者進行談判。根據《2023 勒索軟件趨勢分析報告》顯示,2023 年遭受勒索軟件攻擊的行業仍然主要集中在制造業、互聯網和醫療衛生行業。
三、勒索軟件主要攻擊手法與攻擊流程
勒索軟件的攻擊手法多變,攻擊流程也相當復雜,通常經過精心設計,以確保攻擊者能夠最大化地控制受害者的資源。了解勒索軟件的攻擊手法和典型攻擊流程對于構建有效的防御措施至關重要。本節將深入剖析勒索軟件的攻擊策略,揭示其攻擊流程的各個階段。
(一)主要攻擊手法
勒索軟件入侵途徑多樣化,可經由弱口令、釣魚郵件、軟件或系統漏洞、僵尸網絡、供應鏈、網頁掛馬、移動介質等方式進入到受害者的信息系統中。
1. 弱口令攻擊
口令爆破攻擊,是黑客投放勒索軟件的常見手段。用戶使用過于簡單的口令、已經泄露的口令或一些內置的固定口令是造成設備被攻陷的最常見原因。主要包括遠程桌面弱口令、SSH 弱口令、SMB 弱口令、RPC 遠程過程調用、數據庫管理系統弱口令(例如 MySQL、SQL Server、Oracle 等)、Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。根據《2023 年勒索軟件流行態勢報告》顯示,2023 年,弱口令依然是排在第一位的入侵方式,遠程桌面弱口令和數據庫弱口令等入侵方式占比超過 60%。
2. 釣魚郵件
惡意代碼偽裝在郵件附件中,格式多為 Word 文檔、Excel 表格和 JavaScript 腳本文件等,利用時事熱點或與受害者相關話題的內容誘使受害者打開附件(惡意宏文檔、惡意軟件)。例如,近幾年就出現使用新型冠狀病毒感染(COVID-19)相關內容作為釣魚誘餌的攻擊,使用的主題有“疫苗、口罩供應不足”“健康調查報告”和“冠狀病毒最新信息”等。
3. 利用系統與軟件漏洞攻擊
利用各類漏洞組合和通過黑色產業鏈中的 Exploit Kit 漏洞套件來傳播勒索軟件。黑客用來傳播勒索軟件的系統漏洞、軟件漏洞,大部分都是已被公開且廠商已經修補了的安全問題,但并非所有用戶都會及時安裝補丁或者升級軟件,所以即使是被修復的漏洞(Nday 漏洞)仍深受黑客們的青睞。根據《2023 年勒索軟件流行態勢報告》顯示,2023 年,漏洞利用是排名第二的入侵方式,占比接近 25%。其中,主要是針對 Web 服務器的漏洞攻擊,例如 TellYouThePass 家族,多次針對 OA、財務類 Web 系統發動攻擊,單次攻擊的規模從數千臺到上萬臺不等。對外提供服務的各類應用系統,是防范勒索攻擊的重中之重。
4. 網站掛馬
掛馬網站常見的攻擊方式,包括通過攻擊正常站點、插入惡意代碼實施掛馬,也有攻擊者搭建惡意站點誘騙用戶訪問的情況。攻擊者常常使用惡意廣告鏈接傳播勒索軟件,向網頁代理投放廣告,從中附有跳轉,從而避開廣告系統的安全機制。
5. 僵尸網絡
網絡犯罪分子通常會尋求感染和控制成千上萬,甚至數百萬臺計算機,使自己成為一個大型“僵尸網絡”(或者說機器人網絡)的主人。在某些情況下,網絡犯罪分子將僵尸網絡的訪問權限以出租或直接出售的形式賣給其他犯罪分子。垃圾郵件發送者可能租用或購買一個僵尸網絡,以發起大規模的垃圾郵件活動。從 2019 年起,僵尸網絡開始作為勒索軟件的一個分發渠道,向特定的僵尸網絡受害者節點下發勒索軟件。利用已被僵尸網絡控制的系統主機進行傳播,因而傳播范圍廣、效率高。
6. 軟件供應鏈攻擊
軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系,在合法軟件正常傳播和升級過程中,利用軟件供應商的各種疏忽或漏洞,對合法軟件進行劫持或篡改,從而繞過傳統安全產品的檢查達到非法目。供應鏈攻擊一般通過產品軟件官網或軟件包存儲庫進行傳播,攻擊者會瞄準某些軟件或者服務商的官網服務器,入侵后篡改產品源代碼,將經過惡意修改的軟件分發給用戶。
7. 移動介質
許多內網隔離環境是通過搭載移動介質的惡意軟件感染的,這些移動介質包括U盤和移動硬盤等。
(二)典型攻擊流程
近年來,勒索軟件攻擊普遍采用雙重勒索,不僅加密受害者的數據,還威脅如果不支付贖金,就會公開敏感數據。這種攻擊方式增加了受害者的損失,因為即使支付了贖金,他們的數據仍有可能被公開。
雙重勒索攻擊(如圖2所示)通常包括兩個核心行為:數據竊取和數據加密。攻擊者通過一系列精心策劃的手段,對目標系統進行滲透,例如利用釣魚郵件、遠程桌面協議(RDP)暴力破解,或通過社交工程手段建立初始訪問。一旦獲得訪問權限,攻擊者會進一步進行內網滲透,擴大攻擊范圍。攻擊者會利用系統漏洞和其他黑客技術進行橫向移動,以在內部網絡環境中部署竊取和加密數據的惡意載荷。
完成數據竊取和加密后,攻擊者會通過發送勒索信件和贖金郵件的方式,向受害者索要贖金。攻擊者威脅受害者,如果不支付贖金,不僅加密的文件無法恢復,而且竊取的數據可能會被公開曝光或出售給第三方,從而給受害者帶來進一步的損失和聲譽風險。這種雙重勒索策略不僅對受害者的財務狀況構成威脅,同時也對數據隱私和企業聲譽造成嚴重影響。
圖2 雙重勒索攻擊示意圖
四、結 語
當前,勒索軟件攻擊形勢嚴峻,其攻擊手段日益復雜,不僅針對個人用戶,更頻繁地瞄準企業與關鍵信息基礎設施,造成數據丟失、業務中斷和巨額經濟損失。攻擊者利用社會工程學技巧和漏洞利用,快速傳播勒索軟件,其加密技術使得數據恢復變得異常困難。因此,增強網絡安全意識,加強防御措施,建立應急響應機制,對于保護個人和組織免受勒索軟件侵害至關重要。
(本文刊登于《中國信息安全》雜志2024年第8期)