MBA智库文档综合研究报告 2017年度安全报告——勒索软件威胁.pdf

2017年度安全报告——勒索软件威胁.pdf

下载

Starmage

34页 | 2.95MB | 0次下载 |

0.0

(0人评价)

我要评价：

投诉举报

用手机看文档

扫一扫,手机看文档

下载

开通VIP

360 Computer Emergency Rediness Team, January 2018 文中部分信息直接参考外部文章（见参考），如有侵权或异议请联系 cert@ 2017 年度安全报告 ——勒索软件威胁勒索软件典型历史案例全年勒索软件数据统计 2017 年重大勒索事件 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 20182 勒索软件（Ransomware）是一种特殊的恶意软件，它主要利用各类技术对用户的设备、数据等进行锁定，从而直接向用户进行勒索。勒索软件通常会要求受害者缴纳赎金以取回对设备的控制权，或是取回受害者无法自行获取的解密密钥以便解密数据。但是一些勒索软件加密后的数据无法解密，将导致用户数据被永久破坏。这类用户数据资产包括但不限于文档、邮件、数据库、源代码、图片、压缩文件等。近年来勒索软件的赎金形式都以比特币或其它虚拟货币为主，主要利用虚拟货币交易的高匿名性、流动性特点，从而隐藏背后制作者的身份，同时也更方便向全球受害者索要赎金。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 20183 目前较为流行勒索软件主要分有以下三种类型：锁定用户设备此类勒索软件不加密用户的数据，只是锁住用户的设备，阻止对设备的访问，需提供赎金才能给用户进行解锁。绑架用户数据此类勒索软件采用了一些加密算法（如一些非对称加密算法），对用户文件进行加密，在无法获取秘钥的情况下几乎无法对文件进行解密，以此达到勒索用户的目的。锁定用户设备和绑架数据此类勒索软件既会使用高强度算法加密用户数据，也会锁住用户设备，其破坏性与前两类相比更强。勒索软件类型常见传播途径勒索软件的传播通常和其它恶意软件的传播方式相同，有以下几种方式：垃圾邮件传播勒索者通常会通过假冒成普通电子邮件等社会工程学方法，将自身为掩盖为看似无害的文件，欺骗受害者下载、运行。水坑攻击传播勒索者通常会攻破有价值或访问量较大的目标网站，寻找这个网站的弱点，先将此网站攻破并植入恶意代码 , 当受害者访问该网站或下载误以为可信文件时就会中招。捆绑传播勒索者通常会将勒索软件与正常合法的软件一起捆绑发布到各大下载站，当用户在下载站下载安装其被捆绑的软件时就会被感染。移动存储介质传播随着 U 盘、移动硬盘、存储卡等移动存储设备的普及，可移动存储介质也成为勒索软件的一个有效传播途径。利用漏洞传播勒索软件也会与许多其它蠕虫病毒一样，利用系统或第三方软件存在的 0/Nday 漏洞在互联网之间传播，一般这种方式传播有效性强且影响范围较广。定向攻击勒索者针对服务器、个人用户或特定目标，通过使用弱口令、渗透、漏洞等方式获取相应权限，勒索破坏数据并留下提示信息进而索要赎金。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 20184 勒索软件典型历史案例 AIDS 1989 年，AIDS 勒索软件出现，据称是最早的勒索病毒，其作者为 Joseph Popp。该勒索软件将文件加密，导致系统无法启动，屏幕将显示信息，声称用户的软件许可已经过期，要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去 189 美元，以解锁系统。该勒索软件是对称加密，解密工具没花多少时间就修复了文件名，但这一举动激发了随后近乎 30 年的勒索软件攻击。 FakeAV 2001 年，专门仿冒反病毒软件的恶意代码家族（Trojan[Ransom]/ ）出现，该勒索软件会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。 Archievus 2006 年，名为 Archievus 勒索软件出现，很不幸，它比前者难清除得多，它是勒索软件历史上第一款使用了 RSA 加密的。它会将系统中“我的文档”里面的所有文件都加密，需要用户从指定网站购买密钥才可以解密文件。Archievus 也是首款已知的使用非对称加密的勒索软件。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 20185 Cryptolocker 2013 年，Cryptolocker 勒索软件出现，它是勒索软件历史上的一个转捩点。它是第一款通过被控网站下载或伪装客户投诉电邮附件进行传播的加密型恶意软件。由于威胁行为人利用了现有的 GameOver Zeus 僵尸网络基础设施，扩散非常迅速。 2014 年的 Tovar 行动暂时遏制了 GameOver Zeus 木马， CryptoLocker 便开始盯上分发和支持所用的点对点基础设施进行传播。它利用 AES-256 算法加密带特定后缀名的文件，然后用 C2 服务器上产生的 2048 比特 RSA 密钥来加密该 AES-256 密钥。 C2 服务器建在 Tor 网络中，这让解密万分困难。 Petya 2016 年，Petya 勒索软件出现，它通过 Drop-Box 投放，能重写受感染机器的主引导记录 (MBR)，然后加密物理硬盘驱动器自身。在加密硬盘的时候还会显示假冒的 CHKDISK 屏显，使设备无法正常启动。如果其索要的 431 美元赎金未在 7 天之内收到，赎金金额还会翻倍。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 20186 2017 年全年数据统计勒索软件攻击的次数频繁 2017 年 1-11 月，360 互联网安全中心共截获电脑端新增勒索软件变种 183 种，新增控制域名 238 个。全国至少有多万台用户电脑遭到了勒索软件攻击，平均每天约有万台国内电脑遭到勒索软件攻击。注意，为避免数据干扰，此部分攻击态势分析数据不包含 WannaCry 勒索蠕虫的相关数据。勒索软件的诞生时间久远，但是在近年来不断活跃，其中一个原因是受到近年来不断产生的高匿名性的网络货币影响。从 2017 年的勒索软件呈现的态势可以看出越来越多的软件、系统、平台受到勒索软件的威胁。通过以下角度回顾 2017 年勒索软件趋势：注：以下统计数据来自于 360 互联网安全中心 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 20187 勒索软件的家族分布统计显示，在向 360 互联网安全中心求助的勒索软件受害者中， Cerber、Crysis、WannaCry 这三大勒索软件家族的受害者最多，共占到总量的 %。其中，Cerber 占比为 %，Crysis 占比为 %，WannaCry 占比为 %，具体分布如下图所示。结合 360 互联网安全中心的大数据监测分析，下图给出了 2017 年不同勒索软件家族在国内的活跃时间分析。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 20188 勒索软件攻击的地域 360 互联网安全中心监测显示，遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中，广东占比最高，为 %，其次是浙江 %，江苏 %。排名前十省份占国内所有被攻击总量的 %。 2017 年勒索软件攻击地域分布 TOP10 如下图所示： 2017 年勒索软件攻击地域分布如下图所示： 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 20189 勒索软件服务器分布 360 互联网安全中心针对最为活跃的部分勒索软件的 C2 服务器域名后缀的归属地进行了分析，结果显示：.com域名被使用的最多，约为总量的一半，为%，.net和 .org占比分别为%和%。此外，属于欧洲国家的域名最多，占%，其次是亚洲国家%，南美洲国家 %，大洋洲国家 %，北美洲国家 %。特别值得注意的是，主流的大勒索家族都不再使用 C2 服务器加密技术了，但还是有很多小众勒索家族在使用 C2 服务器的加密技术。勒索软件攻击的行业不同行业政企机构遭受勒索软件攻击的情况分析显示，能源行业是遭受攻击最多的行业，占比为 %，其次为医疗行业为 %，金融行业为 %，具体分布如下图所示。需要说明的是，遭到攻击多不代表被感染的设备多。攻击量是通过企业级终端安全软件的监测获得的。下表分别给出了每个行业遭受勒索软件攻击最多的前五个家族，具体如下表所示。能源医疗卫生金融家族 TOP5 占比家族 TOP5 占比家族 TOP5 占比 locky % cerber % cerber % cerber % spora % 类 petya % cryptomix % crysis % locky % globeimposter % sage % shade % btcware % locky % spora % 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201810 2017 年重大勒索事件 2016 年 8 月有一个名叫 “Shadow Brokers” 的黑客组织，号称入侵了“方程式”组织并窃取了大量机密文件，并将部分文件公开到了互联网上，“方程式（Equation Group）”据称是 NSA（美国国家安全局）下属的黑客组织，有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下黑客工具。另外“Shadow Brokers”还保留了部分文件，打算以公开拍卖的形式出售给出价最高的竞价者，“Shadow Brokers”预期的价格是 100 万比特币（价值接近 5 亿美金）。这一切听起来难以置信，以至于当时有不少安全专家对此事件保持怀疑态度，“Shadow Brokers”的拍卖也因此一直没有成功。 2017 年 4 月 14 日晚，“Shadow Brokers”在推特上放出了他们当时保留的部分文件。随后几个月里勒索事件频发，通过分析发现其中几起勒索事件的传播手段正是利用“Shadow Brokers” 公开的黑客工具。别名 WanaCrypt0r NotPetya/ExPetr Bad Rabbit 影响严重的地区、国家全球至少 150 个国家乌克兰 ; 俄罗斯 ; 美国 ; 其他一些欧洲国家乌克兰 ; 俄罗斯 ; 保加利亚 ; 土耳其等病毒相关文件名 ;; ; @WannaDecryptor@.exe ; 是否创建服务是否是 C2 是否使用 Tor 是是是加密算法 AES-128(CBC) RSA-2048 AES-128(CBC) RSA-2048 AES-128(CBC) RSA-2048 是否加密文件是是是加密文件类型数量 166 62 113 是否加密 MBR 否是是是否加密 MFT 否是是是否显示假的磁盘检测消息否是否利用漏洞 EternalBlue EternalBlue EternalRomance EternalRomance 赎金类型比特币比特币比特币所需赎金≈ 300/600 美元 300 美元 300 美元爆发日期 2017/5/12 2017/6/27 2017/10/24 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201811 WannaCry 0x01 简介 2017 年 5 月，360 互联网安全中心发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，并于国内率先发布紧急预警，外媒和多家安全公司将该病毒命名为“WanaCrypt0r” （直译：“想哭勒索蠕虫”）常规的勒索病毒是一种趋利明显的恶意程序，它会使用加密算法加密受害者电脑内的重要文件，向受害者勒索赎金，除非受害者交出勒索赎金，否则加密文件无法被恢复，而新的“想哭勒索蠕虫”尤其致命，它利用了窃取自美国国家安全局的黑客工具 EternalBlue （直译：“永恒之蓝”）实现了全球范围内的快速传播，在短时间内造成了巨大损失。360 追日团队对“想哭勒索蠕虫”国内首家进行了完全的技术分析。 0x02 蠕虫的攻击流程通过对其中的发送的 SMB 包进行分析，发现其使用漏洞攻击代码和近乎一致（为 Eternalblue 工具使用的攻击包），该蠕虫病毒使用了 ms17-010 漏洞进行了传播，一旦某台电脑中招，相邻的存在漏洞的网络主机都会被其主动攻击，整个网络都可能被感染该蠕虫病毒，受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下： 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201812 0x03 关键勒索加密过程蠕虫会释放一个加密模块到内存，动态获取了文件系统和加密相关的 API 函数，以此来躲避静态查杀，整个加密过程采用 RSA+AES 的方式完成，其中 RSA 加密过程使用了微软的 CryptAPI，AES 代码静态编译到 dll。加密流程如下图所示：加密的文件后缀名列表： 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201813 0x04 事件影响针对国内感染状况，5 月 13 日下午 360 威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势，截至到当天下午 19:00，国内有 28388 个机构被“永恒之蓝”勒索蠕虫感染，覆盖了国内几乎所有地区。在受影响的地区中，江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201814 5 月 16 日，360 威胁情报中心发现，在原始版本的蠕虫泛滥以后，观察到大量基于修改的变种，相关样本数量达到数百个。不过值得庆幸的是，随着系统漏洞的修补，这类变种对整体感染影响不大。此外，360 威胁情报中心发现，开关域名对蠕虫的传播影响非常大，在域名被安全研究者注册形成有效解析和访问以后，初始的指数级感染趋势很快被抑制。之后基本再也没有超过最早快速上升阶段形成的高峰。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201815 0x05 后续发展 360 互联网安全中心监测显示，WannaCry 被发现以来，相关网络攻击一直存在，而且攻击范围越来越广。WannaCry 病毒入侵到用户的电脑后，首先会先访问一个特定的，原本并不存在的网站： . com 如果连接成功则退出程序，连接失败则继续攻击（相当于是个开关）。但在 WannaCry 大爆发第二天（2017 年 5 月 13 日晚），英国的一个分析人员对这个域名进行了注册，病毒再访问这个网站就发现能访问了，即不再加密用户数据。所以 5 月份之后，遭到 WannaCry 攻击的联网电脑中的文件不会被实质性加密。也就是说虽然该病毒还在传播，但已经没有实际危害了。2017 年 5 月 -11 月，永恒之蓝勒索蠕虫 WannaCry 攻击态势分析如下图所示。 360 威胁情报中心及 360 天擎的监测信息显示，不同行业遭受永恒之蓝勒索蠕虫攻击的情况也有所不同，工程建设行业是遭受攻击最多的行业，占比为 %，其次制造业为 %，能源行业为 %，具体分布如下图所示。需要说明的是，该数据是根据 2017 年 5-11 月的总体情况进行分析和统计的，与 5 月份永恒之蓝勒索蠕虫刚刚爆发时相关数据统计有一定的区别。 WannaCry 的幕后真凶到底是谁？这似乎一直是个迷。目前包括美国、加拿大、澳大利亚、新西兰、日本等国家，以及微软、谷歌、卡巴斯基、赛门铁克、火眼等科技公司和知名安全公司，也在或明或暗指责朝鲜黑客将 WannaCry 传播到全世界。美英政府称 “在谨慎调查之后更非常坚定认为朝鲜黑客是 WannaCry 的幕后真凶”并公开指责。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201816 0x06 小结 WannaCry 在勒索类病毒中全球首例使用了远程高危漏洞进行自我传播复制，危害不小于冲击波和震荡波蠕虫，也是今年影响最为严重的勒索病毒之一，这起大规模勒索病毒网络爆发事件至今已袭击了全球至少 150 国家或地区，包括教育、电力、能源、银行、交通、医疗、企业等多个行业均遭受不同程度的影响。此次 WannaCry 勒索病毒已经不再是单纯的“炫技”，而是直接威胁到了每个人的数据财产、数据权利，乃至威胁到了社会经济和国家安全。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201817 Petya 0x01 简介 2017 年 6 月，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模 Petya 勒索病毒袭击，该病毒远程锁定设备，然后索要赎金。其中，乌克兰地区受灾最为严重，政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响，包括首都基辅的鲍里斯波尔国际机场（Boryspil International Airport）、乌克兰国家储蓄银行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄罗斯石油公司（Rosneft）和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。此次黑客使用的是 Petya 勒索病毒的变种，因此有人也称其为 NotPetya，使用的传播攻击形式和 WannaCry 类似，但该病毒除了使用了永恒之蓝（MS17-010）漏洞，还罕见的使用了黑客的横向渗透攻击技术。在勒索技术方面与 WannaCry 等勒索软件不同之处在于，Petya 木马主要通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动，故而其影响更加严重。如果想要恢复，需要支付价值相当于 300 美元的比特币。由于这次攻击有很强的定向性，所以欧洲被感染的受害者较多，国内感染量较少。 0x02 Petya 老样本介绍 2016 年 4 月，敲诈勒索类木马 Petya 被安全厂商曝光，被称作是第一个将敲诈和修改 MBR 合二为一的恶意木马。木马 Petya 的主要特点是会先修改系统 MBR 引导扇区，强制重启后执行 MBR 引导扇区中的恶意代码，加密受害者硬盘数据后显示敲诈信息，并通过 Tor 匿名网络索取比特币。 Petya 与其他流行的勒索软件的不同点在于，Petya 不仅逐个加密文件，而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序，还创建了一个 32 个扇区长的小内核。 Petya 的木马释放器会将恶意代码写入磁盘的开头。被感染的系统的主引导记录（MBR）将被加载一个小型恶意内核的自定义引导加载程序覆盖，然后该内核会进一步加密。 Petya 的敲诈信息显示其加密了整个磁盘，但这只是木马作者放出的烟雾弹，事实上， Petya 只是加密了主文件表（MFT），使文件系统不可读，来拒绝用户访问完整的系统。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201818 0x03 Petya 新样本介绍病毒样本类型为 DLL，有一个导出序号为 1 的函数。当这个函数被调用时，首先尝试提升当前进程的权限并设置标记，查找是否有指定的安全软件，后面会根据是否存在指定的安全软件跳过相应的流程。绕过安全软件的行为监控。接下来修改磁盘的 MBR，并将生成的 Key，IV，比特币支付地址以及用户序列号写入磁盘的固定扇区。然后创建计划任务于 1 小时后重启。遍历局域网可以连通的 ip 列表，用于后续的局域网攻击。释放并执行抓取密码的进程，释放 psexec 进程用于后续执行远程命令。对系统的网络资源列表进行过滤，筛选本地保存的凭据，使用保存的凭据连接，成功后执行远程命令，进行局域网感染。下一步生成随机 ip，连接 445 端口进行永恒之蓝漏洞攻击。然后遍历磁盘，对指定扩展名的文件进行加密。执行完所有流程后，清除日志并强行重启。总体流程图如下： 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201819 0x04 Petya 勒索蠕虫感染传播趋势分析自 6 月 27 日在欧洲爆发的起，Petya 勒索病毒在短时间内袭击了多国。根据 360 互联网安全中心的监测，对每一个小时的远程攻击进程的主防拦截进行了统计。从 6 月 28 号 0 点至 6 月 28 日晚上 7 点整，平均每小时攻击峰值在 5000 次以内。上午 10 点攻击拦截达到最高峰，后缓慢波动，在 14 点达到一个小高峰，然后攻击频率开始缓慢下降。由此可见，Petya 的攻击趋势在国内并不呈现几何级增长的趋势，而是缓慢下降的，并不具备进一步泛滥的趋势。除乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模的 Petya 攻击外，我国也遭受了同样的攻击。针对我国的攻击，主要集中在北京、上海、广州、深圳、香港等大城市，根据 360 互联网安全中心的监测，在全中国八十多个城市拦截到了攻击。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201820 0x05 Petya 勒索加密技术分析 Petya 采用 RSA2048 + AES128 的方式对文件进行加密，程序中硬编码 RSA 公钥文件，针对每一个盘符都会生成一个 AES128 的会话密钥，该盘符所有文件均用该 AES Key 进行加密 , 加密流程如下图 : 加密的文件类型如下： 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201821 当系统重启后，执行病毒的 MBR，伪装成 CHKDSK 进行加密，不仅会加密 MBR 和 MFT 结构，也会将 MFT 对应的文件内容的前两个扇区进行加密加密，换句话说，Petya 变种勒索蠕虫在系统启动时 MBR 中的代码执行时也会进行全盘文件的加密操作。结合 RING3 级别的勒索代码功能，Petya 会对文件执行两次加密操作，第一次为 Petya 勒索蠕虫执行时，使用 RSA 与 AES 算法遍历文件系统对指定扩展名的文件加密，第二次为系统启动时，启动扇区的代码会通过遍历 MFT 结构定位文件内容并对文件使用修改的 salsa20 算法进行加密。完成后弹出敲诈信息对用户进行敲诈： 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201822 0x06 勒索病毒 Salsa20 算法实现的缺陷分析对于 RING3 级别的文件加密过程，解密密钥可以通过勒索蠕虫作者的 RSA 私钥进行解密获得，而启动扇区级别的文件加密过程使用了随机密码进行，启动扇区级别的文件加密无法解密，但 360CERT 经过对修改版的 Salsa20 算法与原始算法对比分析发现存在两处变化，其中一处明显降低了标准 Salsa20 算法的加密强度，修改版 Salsa20 算法造成的差异会导致每隔 64K 块出现重复的核心函数输入项，这将极大影响这种加密算法的安全性。对此，算法攻击者只要已知连续 4MB 明文，就能解密全部密文。另外若已知若干离散明文块，则可解密部分密文，也可能解密全部密文（已知部分分布合适的情况）。相关证明如下： 0x07 小结 Petya 勒索病毒早已被安全厂商披露，而 Petya 再一次卷土重来，肆虐欧洲大陆在于其利用了永恒系列漏洞、局域网感染等网络自我复制技术，使得病毒可以在短时间内呈暴发态势。自 5 月份 WannaCry 勒索病毒爆发后，中国用户已经安装了上述漏洞的补丁，同时 360 安全卫士具备此次黑客横向攻击的主动防御拦截技术，故而并没有为 Petya 勒索病毒的泛滥传播提供可乘之机。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201823 Bad Rabbit 0x01 简介 2017 年 10 月，360CERT 监测到有一起名为“坏兔子”（the Bad Rabbit）的勒索病毒正在东欧和俄罗斯地区传播，影响了俄罗斯部分媒体组织，乌克兰的部分业务，包括基辅的公共交通系统和国家敖德萨机场，此外还影响了保加利亚和土耳其。 “坏兔子”主要是通过伪装 flash 安装程序让用户下载运行和暴力枚举 NTLM 帐号密码的形式进行传播，使用“永恒浪漫”漏洞进行传播，感染形式上和此前的 Petya 勒索病毒相似，会主动加密受害者的主引导记录 (MBR)。“坏兔子”在勒索赎金上有所变化，初始赎金为比特币（约 280 美元），随时间的推移会进一步增加赎金。 0x02 影响面经过 360CERT 分析，“坏兔子”事件属于勒索病毒行为，需要重点关注其传播途径和危害：主要通过入侵某合法新闻媒体网站，该媒体在乌克兰，土耳其，保加利亚，俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的 flash 安装程序（文件名为 install_flash_player. exe），用户一旦点击安装后就会被植入“坏兔子”勒索病毒。 “坏兔子”样本主要通过提取主机 NTLM 认证信息和硬编码部分用户名密码暴力破解 NTLM 登录凭据的方式和“永恒浪漫”漏洞来进一步感染可以触及的主机。 “坏兔子”会试图感染目标主机上的文件和主引导分区，赎金会随着时间的推移而增长。综合判定“坏兔子”勒索病毒通过“水坑”方式和“永恒浪漫”漏洞进行较大规模传播，且产生的危害严重，属于较大网络安全事件。根据 360 互联网安全中心的统计，该木马主要在俄罗斯、乌克兰等东欧国家和地区流行。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201824 0x03 技术细节传播信息 “坏兔子”勒索病毒通过链接 hxxp://1dnscontrol[.]com/flash_ 链接进行传播，该域名下的可疑连接如下：整体行为 “坏兔子”勒索病毒感染初期，需要通过受害者手动启动下载名为的可行性文件，该文件需要提升的权限才能运行 , Windows UAC 会提示这个动作，如果受害者还是同意了，病毒就会按照预期运行，在感染成功后会试图通过 NTLM 登陆凭证暴力破解和“永恒浪漫”的漏洞进行传播。 “坏兔子”勒索病毒主要包括如下流程： •“” 会下载名为的 DLL 恶意载体。 • 会夹带和释放传播模块和文件加密模块。 • 合法的 DiskCryptor 加密模块，，包括 32 和 64 位。 •2 个疑似 mimikatz 模块。 • 生成 IP 信息，暴力破解 NTLM 登陆凭证，实现进一步感染。 • 该文件会被保存到 C[:]\Windows\ 路径中。 • 加载文件。 • 增加计划任务“rhaegal”启动实现磁盘加密。 • 增加计划任务“drogon”重启系统，并显示被勒索界面。 • 在暴力破解完成后，会试图利用“永恒浪漫”漏洞实现进一步感染。 • 创建感染线程，尝试对外感染。 • 重启前会主动删除部分日志信息。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201825 流程图如下： “坏兔子”勒索病毒在行为方面并没有太多的创新，具体的程序执行链可以直接通过 360 核心安全团队的沙箱平台分析出来： “永恒浪漫”漏洞相关细节 BadRabbit 疑似在暴力破解 NTLM 之后，还试图利用了“永恒浪漫”EternalRomance 漏洞传播。与之前 Petya 使用 TheShadowBrokers 中的 shellcode 不同， BadRabbit 中的利用根据 github 上公布的 python 漏洞利用脚本修改而来： 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201826 加密信息加密手法并无太大新意，使用了上文中相同的 RSA2048 算法，这里不再赘述，勒索加密文件的类型如下：而除了传统的加密文件之外，该木马还会创建一个名为的程序，而这个在重启之后会创建一个名为的驱动程序并与之通信，驱动的功能则和之前提到曾大规模爆发的 Petya 相似——通过修改 MBR 的方式劫持开机启动。感染成功后的 logo: 0x04 小结根据监测，中国地区基本不受“坏兔子”勒索病毒影响。“坏兔子” 勒索蠕虫虽然在传播范围上不及 WannaCry，但在内部实现上却可以看出比之前 WannaCry 和 Petya 更为缜密，病毒作者在设计上是取其前者的优点并避开不足之处，同时也采用了前者没有利用的水坑攻击方式。自“Shadow Brokers”发布泄漏的文件后已经超过大半年的时间，而微软公司也早就发布安全补丁。但是实际情况是今年利用永恒系列漏洞的勒索软件已经出现过多次，且每次都在全球范围引起了不小的轰动。然而让人无奈的是依然还有大量设备未对漏洞进行修复，这也是自 WannaCry 以来能够多次爆发蠕虫的原因。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201827 针对各类数据库勒索事件 0x01 简介 2016 年 12 月末至 2017 年 1 月初，国外部分用户发现自己 MongoDB数据库的数据被黑客删除并发推引起了互联网的注意。黑客把数据库里的数据都删除了，并留下一张“warning”的表，里面写着如果想“赎”回数据，就给比特币（约等于 200$）到某比特币账户地址。在接下来的时间中，陆续有更多的 MongoDB 数据库被黑事件曝光。该事件最早是由 Harak1r1 黑客组织发起的，后续有多达 20 个黑客组织跟进，他们勒索的赎金从到 1 比特币不等，短短数天时间已有约 3 万多 MongoDB 中招；据不完全统计，3 天之内被删除的 MongoDB 数据量超过 100TB。在接下来的一年中陆续发生了针对 ElasticSearch、Hadoop、 MySQL、Redis、PostgreSQL、CouchDB 等数据库系统的入侵勒索事件。这些公网上存在漏洞的数据库，被攻击者删除了数据库中的存储数据，并留下勒索信息，要求用户支付赎金。更有甚者直接清空数据库，并没有对数据进行保存，即使支付赎金也无法挽回损失。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201828 0x02 攻击技术细节在针对 MongoDB、MySQL、Redis、ElasticSearch、 CouchDB、Cassandra 等数据库的攻击中，大多数的攻击只是利用了数据库软件本身的缺陷：如未授权访问、用户弱口令。在未授权进入数据库后一般会删除数据并留下联系方式进行勒索，甚至利用数据库本身的特性或者漏洞进行后续的攻击。例如在开启 MongoDB 服务后，如不添加任何参数，默认是没有权限验证的。登录的用户可以通过默认端口无需密码对数据库进行任意操作（包括增、删、改、查等高危动作），而且可以远程访问数据库。在针对 MySQL 的大规模勒索中，攻击者攻击以“root”密码暴力破解开始，一旦成功登陆，该黑客会获取已有 MySQL 数据库及其表的列表，TA 在已有的数据库中新建一个名为“WARNING” 的表，插入信息包括一个邮箱地址、比特币地址和支付需求。在针对 Redis 的攻击中，主要是结合 Redis 未授权访问漏洞以及利用 Redis 写入文件的技巧，在用户目录下写入一个 ssh 的私钥，从而不用输入密码即可登录 Redis 所在服务器。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201829 在针对ElasticSearch的攻击中主要利用利用了未授权访问漏洞。由于默认情况下没有任何身份认证，在建立连接之后可以通过相关 API 对 ElasticSearch 服务器上的数据进行增删查改等任意操作。攻击者会删除 Elasticsearch 所有索引信息，并创建一个名为 warning 的索引，勒索者写入需要支付比特币才给受害者发送数据（目前按照比特币市场价格，约等于 150 美元），并留下邮箱地址。针对 Hadoop 的勒索中利用 HDFS 的 Web 端口 50070 直接在公网上开放。因此攻击者可以简单使用相关命令来操作机器上的数据。 CouchDB 会默认会在 5984 端口开放 Restful 的 API 接口，用于数据库的管理功能。任何连接到服务器端口上的人，都可以调用相关 API 对服务器上的数据进行任意的增删改查。其中通过 API 修改配置文件，可进一步导致执行任意系统命令，获取服务器权限。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201830 0x03 事件影响针对 MongoDB 的勒索中，通过当时 Shodan 网络空间搜索引擎得到的数据和显示：2017 年初的勒索事件有近 3W 台 MongoDB 服务器受到影响。针对 ElasticSearch 的勒索中被删除的数据至少 500 亿条，被删除数据至少 450TB。在勒索事件发生后，有 1% 的 Elasticsearch 启用了验证插件，另外有 2% 则关闭了 Elasticsearch。在后续针对各类数据库的攻击中，每次均有成百上千的数据库遭到攻击，数据被全部清除，造成了无法挽回的损失。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201831 0x04 小结 360 CERT 于 2017 年 7 月对 MongoDB 勒索情况进行了复查，发现仍然有数千个数据库存在漏洞，并且绝大多数的数据库已被删库勒索。同时也针对 Apache Solr 的未授权访问情况作了调查，发现公网存在大量未授权访问的数据库系统，其中涉及数据数百 TB。（下图为 360CERT 以发现的 Apache Solr 未授权访问漏洞在全球的分布状况）针对数据库系统的勒索行为不断发生，其勒索的方式主要是利用系统的未授权访问、弱口令以及自身的漏洞获取数据库权限，然后删除其中数据，并留下联系方式进行勒索。传播方式与蠕虫、病毒感染有所区别，主要是通过各类扫描与指纹搜索引擎，找到匹配的产品后进行针对性的攻击。通过 360CERT 与 360 网络安全研究院的数据显示，各类数据库在世界范围内拥有广泛的使用，同时针对各类数据库的扫描和攻击也从未停止。由于数据库本身安全性问题和用户数据的高价值性，当下数据库已经成为一个被常态化的攻击目标。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201832 总结与未来趋势 WannaCry 是 2017 年度影响范围最大的新型勒索软件，通过利用漏洞，迅速传播至全球。在 WannaCry 爆发后不久，新变种的 Petya、Bad Rabbit 卷土重来，并综合了更多网络传播方式，破坏性也更强。从今年的几起重大勒索事件看出，勒索事件的整体模式并无太大变化，但能够大范围传播的重要因素是利用了NSA（美国国家安全局）泄露出的黑客工具，通过利用其中 0/N day 漏洞，造成感染量呈几何级增长并向全球蔓延，最终给众多用户造成严重威胁。另一方面，勒索软件最早诞生于 1989 年，近三十年间一直存在。近年来才变得愈发猖獗，其中一个关键因素是 2009 年后以比特币为首的大量高匿名性货币的流行。同时我们也发现勒索软件在向路由器、工业控制设备、智能家居等 IoT 设备方向蔓延，涉及的系统也开始多元化，勒索的对象也开始产生针对性。以下将会是勒索软件发展的趋势：勒索软件攻击事件常态化在未来一段时间内，这种攻击手段在短时间内是不会消失的，因为勒索软件能够给攻击者带来巨额的利润。漏洞传播将成为趋势漏洞利用勒索这种方式暴力、有效、影响范围广，能让攻击者短时间内达到目的。 IoT 物联网新兴设备受到的威胁增加物联网在当下已经越来越普及，这部分设备受到攻击的风险也会越来越大。针对性攻击将越来越多针对国家、企业的攻击比个人的更有价值，带来的后果也更是难以预料的。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201833 防护建议 1. 通过合作与情报共享随着“大安全时代”概念的提出，安全这个话题的核心不再是某一个点、一个人、一家厂商的安全，而是互联网整体生态的安全。通过加强官方与厂商、厂商与厂商之间的合作，能够及时有效地对某一安全事件进行感知和预警。360 协助美国 FBI 破获 Mirai 僵尸网络正是这样的例子。 2. 通过技术保障不论如何，通过技术进行保障都是必不可少的。我们给出如下建议：针对企业：定期备份重要文件，并离线存储独立设备。对内部网络进行严格划分，防止恶意软件的内网传播；定期对企业内部各个系统进行安全扫描与系统升级。加强员工安全意识培训。不要盲目给勒索者付赎金，有些勒索软件加密后根本无法解密。针对个人 : 安装反病毒软件，定期查杀病毒；及时更新系统或第三方软件补丁，避免勒索软件利用漏洞进行传播感染。对非可信来源的邮件、链接保持警惕，不要轻易下载运行文件、邮件附件或浏览邮件中的不明链接。在可靠的软件宝库 / 软件源 / 商店下载应用程序。 2017 年度安全报告——勒索软件威胁 360 Computer Emergency Rediness Team, January 201834 360CERT 全称“360 Computer Emergency Readiness Team”，我们致力于维护计算机网络空间安全，是 360 公司基于“协同联动，主动发现，快速响应”的指导原则，对重大网络安全事件进行快速预警、应急响应的安全协调团队。微信公众号新浪微博关于 360CERT 参考

联系我们

智库文档公众号

客服微信

2017年度安全报告——勒索软件威胁.pdf

下载

标签

相关专题更多

联系我们

意见反馈

标签

相关专题 更多

联系我们

意见反馈

相关专题更多