2017年,不得不提的一件事就是:勒索軟體的威脅變得異常顯著,甚至可以說是頗為壯觀的。
今年爆發了三起全球性的勒索事件,徹底改變了勒索軟體的威脅景觀,這三起事件可能會被永久的載入網絡攻擊的歷史。這些攻擊活動有一些共同點:攻擊目標都是企業;都利用了蠕蟲和已公布的漏洞進行傳播;攻擊者會加密受害者的系統或數據,但其真正目標似乎並不是索要贖金(儘管這三次勒索攻擊活動給受害者造成的損失已經達到數億美元)。
推測這些襲擊活動的始作俑者不太可能是小偷小摸的勒索小販,三例攻擊中,至少有一個勒索軟體帶有明顯的缺陷,存在一個可以快速關閉的「開關「;有一個是通過感染商業軟體進行傳播的;兩次勒索攻擊之間似乎存在一定關聯;兩次最大的勒索攻擊活動的真正目標似乎是破壞數據,所謂「勒索」只是一個障眼法。
2017年,攻擊者對勒索軟體的興趣高漲,全球範圍內很多企業和工業系統都加入了勒索軟體受害者的行列,毫無疑問,這個隊列仍在加長,越來越多的有針對性的攻擊者開始對這類威脅感興趣2017年,儘管攻擊數量持續增高,但創新有限。
(一)WannaCry
WannaCry攻擊開始於2017年5月12日,當時安全社區觀察一件近十年來頗為少見的情景:一場利用蠕蟲極速傳播的網絡攻擊。這一次,蠕蟲被設計用來在受害者計算機上安裝一個被稱為「WannaCry」的勒索軟體(能夠加密被感染系統)。蠕蟲主要利用了Shadow Brokers之前公布的兩個漏洞利用工具EternalBlue(永恆之藍)和DoublePulsar進行傳播,該蠕蟲不僅能夠自動搜索並定位被感染機器同一區域網內的其他計算機,還能夠自動定位本地網絡之外的隨機IP範圍內的可被利用的計算機,鑑於此,WannaCry得以在短時間內迅速傳遍全球各地。
為了感染目標機器,WannaCry利用了一個Windows SMB協議的漏洞,微軟方面在2017年3月份已經發布了針對該漏洞的補丁,但事實也證明了,很多機器都未及時修復這一漏洞,因此WannaCry得以迅速蔓延。
感染機器並執行完常規的擴展任務後,WannaCry會加密受害者的一些有價值的數據,並顯示出一條關於贖金的提示:不支付贖金的話,就無法解密數據。儘管時候分析師發現了WannaCry的代碼中存在一些漏洞,在不支付贖金的情況下,也可以恢復受影響的文件。
WannaCry的影響
這次襲擊轟動一時,受害者主要是那些擁有網絡化系統的組織或機構,WannaCry也能夠滲入嵌入式系統,這些作業系統一般鮮少維護,因此很容易被攻破。攻擊者要求受害者使用比特幣的形式支付贖金。報告顯示,最終受害者的人數可能高達七八十萬人。
汽車製造商Renault(雷諾)不得不關閉其在法國最大的工廠,英國的醫院因遭遇WannaCry襲擊無法正常的治療病人,其他的受害組織還包括:德國運輸巨頭Deutsche Bahn,西班牙的電信巨頭Telefónica、FedEx(美國聯邦快遞公司)、日本企業Hitachi和俄羅斯內務部。距離WannaCry最初爆發長達一個月的時間,仍然有組織繼續成為WannaCry的受害者,例如日本的本田(被迫關閉了生產設施)、澳大利亞維多利亞州的高速攝像機等。
關於WannaCry的未解之謎
對於企業而言,WannaCry攻擊不僅高調,其危害也是毀滅性的。但從勒索(盈利)的角度看待WannaCry,它卻是一個失敗的案例。勒索襲擊越是低調就越容易獲利,通過蠕蟲大肆傳播是不可取的。據不完全估計,因WannaCry備受矚目的原因,最終近收穫了價值55000美元的比特幣,這與它的影響規模不成比例。從專業技術角度而言,WannaCry的一些代碼在某些方面存在缺陷,並不完善,有人認為是由於該惡意程序還未準備就緒就被傳播到了野外,也有一些指標顯示,WannaCry似乎與臭名昭著的黑客組織Lazarus有關。
WannaCry攻擊的真正目的可能會成為一個永久的待解之謎:是勒索軟體處理不當、存在缺陷?還是披著勒索外衣行破壞之實的破壞性攻擊?
(二)ExPetr
第二次大規模的襲擊活動發生在6月27日,與WannaCry爆發相差只有六周的時間。ExPetr主要通過供應鏈攻擊在烏克蘭、俄羅斯和歐洲西部地區的目標機器上進行傳播。卡巴斯基的遙測數據顯示,有5000多個用戶遭遇ExPetr襲擊。受害者被要求支付價值約300美元的贖金,同樣是使用比特幣支付。然而結果證明即使是支付了贖金也無法恢復被加密的文件。
ExPetr是一個複雜的攻擊,涉及到好幾個入侵指標,其中包括我們熟悉的、經過改進的EternalBlue、EternalRomance漏洞利用工具和DoublePulsar後門程序(用於在組織內部網絡內滲透);烏克蘭會計軟體MeDoc被認為可能被是最初的感染源,攻擊者感染了MeDoc會計軟體的更新包;襲擊中還涉及一個被入侵的烏克蘭地區的新聞網站,攻擊者藉此實施水坑攻擊。
更重要的是,ExPetr能夠感染受害機器同一區域網內的其他計算機,即使這些計算機都打了補丁。要做到這一點,它可能使用了類似Mimikatz這樣的工具收集受感染系統的登錄憑據,並利用PsExec 或WMIC在網絡內橫向運動。
ExPetr採用了兩套加密方案:使用AES-128算法加密受害者的文件;然後從離ing一個惡意程序GoldenEye下載並安裝一個修改過的Bootloader,這種惡意的Bootloader程序會加密MFT(NTFS文件系統中一項關鍵的數據結構),阻礙系統正常的啟動過程,向受害者索要贖金。
ExPetr的影響
ExPetr的受害者中包含了一些諸如航運、零售商、廣告公司、律師事務所之類的重要組織,例如:航運公司Maersk(馬士基)、FedEx(聯邦快遞公司TNT)和WPP。在, FedEx襲擊發生一個月後,TNT的發貨仍未完全恢復,使用SMB的客戶受害最嚴重。
另一個典型的受害者是消費品巨頭Reckitt Benckiser,該公司在短短的45分鐘時間內失去了15000臺筆記本電腦、2000臺伺服器和500個計算機系統的控制權,預計損失超過1億3000萬美元。馬士基公布因ExPetr的影響導致公司損失了約3億美元。
關於ExPetr的未解之謎
安全專家們發現ExPetr和BlackEnergy木馬的KillDisk組件早期的變種在代碼上存在相似之處,(*BlackEnergy以有針對性的攻擊烏克蘭地區的基礎設施而聞名), ExPetr背後的目的和動機仍然是未知的。
(三)BadRabbit
十月下旬,另一個加密的蠕蟲病毒BadRabbit出現了。最初的感染源是一些被無損的網站,攻擊者誘騙潛在的受害者從這些受感染的網站上下載虛假的Adobe Flash播放器更新。惡意軟體一旦在受害者的計算機上被啟動,BadRabbit的蠕蟲組件就會嘗試利用EternalRomance漏洞進行子午複製,並利用一個與ExPetr所使用的相似的橫向移動技術在網絡內進行傳播。大多數ExPetr襲擊活動中,記錄在案的大多數攻擊目標位於俄羅斯、烏克蘭、土耳其和德國。
BadRabbit的勒索組件會加密受害者的文件,然後使用合法的DiskCryptor 工具的功能加密整個整個磁碟分區。對BadRabbit樣品的代碼和使用的攻擊技術進行分析,結果顯示該惡意軟體與ExPetr之間存在著顯著的相似性。然而,與ExPetr,不同的是,BadRabbit似乎並不是一個粗暴的雨刮器,攻擊者採用的加密方案可以解密受害者的機器。
洩露的漏洞利用工具是新攻擊的有效燃料影子經紀人洩露的那些黑客武器,為今年的網絡攻擊活動增添了不少的燃料。上文所述的三起勒索襲擊的操作者並不是唯一使用這些武器在網絡上肆虐的人。
其他的一些不太知名的勒索漏洞也會利用這些工具,例如AES-NI (Trojan-Ransom.Win32.AecHu) 和Uiwix (Trojan-Ransom.Win32.Cryptoff的變種)。從某種意義上講,這些惡意軟體家族是「純粹」的勒索軟體,它們不具備任何蠕蟲的能力,即不能自我複製,這就是為什麼他們沒有得以廣泛傳播(類似WannaCry那樣)的原因。不過,這些惡意軟體家族的威脅行為者所利用的漏洞與WannaCry等是相同的。
幾個勒索軟體家族的解密密鑰被公布除了全球性的大規模勒索襲擊吸引眼球外,2017年第二季度還出現了一個有趣的趨勢:幾個掌握了不同加密勒索軟體的犯罪集團宣布結束他們的活動,並公布了解密受害者的文件所需的密鑰。
2017年第二季度,公開了密鑰的勒索軟體家族包括:
Crysis (Trojan-Ransom.Win32.Crusis);
AES-NI (Trojan-Ransom.Win32.AecHu);
xdata (Trojan-Ransom.Win32.AecHu);
Petya/Mischa/GoldenEye (Trojan-Ransom.Win32.Petr).
在ExPetr爆發後不久,「Petya/Mischa/GoldenEye」的解密密鑰就被公布出來了,這可能是「Petya/Mischa/GoldenEye」在表明自己並不支持ExPetr的立場。
Crysis死灰復燃儘管在2017年5月份,Crysis的解密密鑰就被公布出來了,但隨後不久它就死灰復燃了。2017年8月份,研究人員開始陸續發現更多的Crysis的新樣本新版本的Crysis與之前的樣本幾乎完全相同,只有很少的差異:新的解密密鑰、新電子郵件地址(受害者用此郵件與攻擊者進行聯繫)、新的加密文件的組件,除了這些之外,其他的都保持不變(甚至PE頭中的時間戳都是一樣的)。
對Crysis新舊樣品進行深入的分析,最有可能的情況是,新的樣品使用了一個hex編輯器對舊樣本的二進位文件進行了修改,之所以出現這種情況,可能是因為新Crysis樣本的製作者並不具有舊Crysis樣本的原始碼,因此只能通過簡單的逆向工程對其進行修改,使其死而復生,重新用於新一波的攻擊活動。
通過RDP進行感染的趨勢繼續增長2016年,我們就注意到了勒索攻擊中一個新興的趨勢:犯罪分子並沒有試圖誘騙受害者安裝惡意的可執行文件或使用漏洞工具包進行勒索軟體的分發,而是求助於另一個感染媒介,即暴力破解目標機器的RDP登錄帳號和密碼,進而達到從網際網路上訪問目標系統的目的。
*注釋:事實上,除了暴力破解之外,暗網中和地下論壇中有很多出售RDP憑據的服務,這一現象在MottoIN之前發布的一些文章中曾多次提到過。
2017年,利用RDP進行感染幾乎成了幾個勒索軟體家族的常用傳播方式,包括Crysis、Purgen/GlobeImposter 和 Cryakl。這意味著,對於信息安全專家而言,在考慮網絡安全問題時,應當把RDP這個風險考慮在內,嚴格審計或有效阻止來自企業外部網絡的RDP訪問。
勒索威脅的數據統計其實我們都知道,絕對的數字並不能代表一切,它只能從一個側面反映出一些檢測方法或威脅景觀演變的趨勢,話雖如此,一些明顯的趨勢還是值得注意的,有利於我們更好的把握整體的安全形勢:
2017年,加密勒索軟體的創新水平似乎有所下降:只有38個新增的加密勒索軟體被關注到,這一數字在2016年是62個。這可能是由於加密勒索軟體的模型是相當有限的,惡意軟體的開發者越來越難創造出新東西。
2017年出現了更多新的和現有的勒索軟體變種: 2017年檢測到現有勒索軟體和新的變種數量約為96000,2016年這一數字是54000。更多的變種出現,可能反映了針對之前版本的勒索軟體的檢測方案是有效的,因此攻擊者試圖混淆他們的勒索軟體以逃避檢測。
檢測到的卡巴斯基實驗室客戶遭遇勒索攻擊的數量相當穩定。事實上,2016存在過一個攻擊波峰,而2017年每個月的攻擊數量大體一致。總的來說,2017年,約有950000個獨特的用戶遭到攻擊,而2016年這一數字在150萬左右。不過,這些數據中包括了加密量和下載量,但看文件被加密的數量的話,2017年的數據與2016年的接近。考慮到許多攻擊者開始通過其他方式分發他們的勒索軟體(如暴力破解或手動啟動等),這個結果是合理的。需要強調的是,這些數字僅代表了卡巴斯基檢測到的信息,並不包括許多世界各地的其他計算機安全解決方案的統計結果。通過卡巴斯基的統計,約有727000左右的獨立IP位址遭遇了WannaCry的襲擊;
儘管有WannaCry、ExPetr 和 BadRabbit這些大規模的勒索攻擊,但2017年針對企業的勒索攻擊增幅卻不大,2017年,超過4%的攻擊是針對SMBs。
根據卡巴斯基實驗室的年度IT安全調查報告顯示:
2017年遭遇勒索攻擊的企業中,65%企業稱他們失去了的大量甚至所有的數據;而29%的企業表示他們能夠解密數據,大量的文件遭遇了毀滅性的破壞,這些數字與2016年的基本一致。
34%的受勒索攻擊影響的受害者花費一周的時間能夠完全恢復訪問,2016年這一數字為29%;
36%的受害者選擇支付贖金,但其中17%人最終並沒有恢復他們的數據(2016年這兩個的數字分別為32%和19%)。
2017年,可以很明顯的看到先進的威脅行為者利用勒索軟體發起網絡攻擊,真正的目的是破壞數據,而非經濟利益。受害者中,大多數仍然是普通的用戶、SMBs和中小企業;攻擊者主要利用了一些現有的勒索軟體家族的代碼或在這些惡意軟體的基礎上稍作修改。
勒索軟體的商業模式開始出現裂縫了?是否有一個更加有利可圖的攻擊目的,替代了借勒索軟體實現謀利的目標?一種可能性是加密數字貨幣的挖掘。
2018年,卡巴斯基實驗室對加密數字貨幣的威脅預測表明,在有針對性的攻擊活動中,安裝礦工的趨勢有所增加。勒索軟體的收益可能非常大但通常是一次性的,而礦工的收益雖小但會可以長久盈利。因此,這可能是勒索軟體利用方法發生動蕩的原因之一。有一點可以肯定的是,勒索軟體不會消失,即使不是一個直接的威脅,也會成為更深層次的攻擊活動的偽裝。
任重道遠,對勒索軟體的鬥爭仍在繼續。