正如眾多安全專家所預測的,勒索軟體會在將來的網絡犯罪中佔據重要作用,這兩年惡意軟體的活動情況恰好驗證此預測。技術門檻低、低風險、高回報使「勒索即服務」發展迅猛。
所謂知己知彼,方能百戰不殆。勒索病毒究竟有怎樣的前世今生?該如何去防範?本文節選自《深信服2017年安全威脅分析報告》,全面為您解密勒索病毒。
最早的勒索軟體
已知最早的勒索軟體出現於1989年。該勒索軟體運行後,連同C盤的全部文件名也會被加密(從而導致系統無法啟動)。此時,屏幕將顯示信息,聲稱用戶的軟體許可已經過期,要求用戶向「PC Cyborg」公司位於巴拿馬的郵箱寄189美元,以解鎖系統。從此,勒索病毒開啟了近30年的攻擊歷程。
首次使用RSA加密的勒索軟體
Archievus是在2006年出現的勒索軟體,勒索軟體發作後,會對系統中「我的文檔」目錄中所有內容進行加密,並要求用戶從特定網站購買,來獲取密碼解密文件。它在勒索軟體的歷史舞臺上首次使用RSA加密算法。RSA是一種非對稱加密算法,讓加密的文檔更加難以恢復。
國內首個勒索軟體
2006年出現的Redplus勒索木馬(Trojan/Win32.Pluder),是國內首個勒索軟體。該木馬會隱藏用戶文檔,然後彈出窗口要求用戶將贖金匯入指定銀行帳號。
勒索即服務誕生
2015年,第一款勒索即服務(RaaS)Tox曾風靡一時,Tox工具包在暗網發售,Tox允許用戶訪問購買頁面,創建一個自定義的勒索軟體,在這個頁面,用戶可以自定義勒索說明文字、贖金價格和驗證碼。之後,Tox服務會生成一個2MB大小的可執行文件,該文件包含勒索代碼,偽裝成屏幕保護程序。
同年,Karmen勒索軟體出現。這種勒索軟體即服務(RaaS)的新變體為買家提供了一個用戶友好的圖形化儀錶板,讓買家可以訪問位於黑暗網絡上基於Web的控制面板,從而允許買家配置個性化版本的Karmen勒索軟體。
隨後,其他RaaS工具包如雨後春筍般冒出,例如Fakben、Encrytor、Raddamant、Cerber、Stampado等勒索服務不斷衝擊市場,勒索軟體工具包的價格也隨之走低。
比如勒索軟體Shark,軟體本身免費,開發者從贖金中賺取 20% ;勒索軟體Stampado,售價$39 ,準許購買者終身使用工具包 。最近在惡意軟體論壇上搜索 RaaS 工具包,價格範圍在$15 到 $95 之間。
隨著黑產市場的擴張,勒索市場也不斷受到其他運營模式的衝擊。一種新的商業模式應運而生——勒索即服務(RaaS),勒索軟體開發者將部分軟體功能作為服務出售,持續提供更新和免殺服務,小黑客和供應商通過網絡釣魚或其他攻擊進行傳播擴散,然後利益分成。運營模式如下圖所示:
在勒索即服務市場中,無論技術高低,能力大小,甚至毫無編程經驗的人只要願意支付金錢,都可以得到相應的服務,從而發起勒索軟體攻擊。勒索即服務一般有三種交付方式,第一種是最常見的是直接付費購買,獲得勒索軟體的終身使用權利,並且可以自定義勒索說明、贖金價格和驗證碼。另一種是提供免費的勒索軟體,但是開發者要從贖金中抽取一定比例的分成。最後一種是定製化服務,根據付費者要求提供開發服務。
勒索軟體的傳播手段主要以成本較低的郵件傳播為主。同時也有針對醫院、企業等特定組織的攻擊,通過入侵組織內部的伺服器,散播勒索軟體。隨著人們對勒索軟體的警惕性提高,勒索者也增加了其他的傳播渠道,具體的傳播方式如下:
郵件傳播:攻擊者以廣撒網的方式大量傳播垃圾郵件、釣魚郵件,一旦收件人打開郵件附件或者點擊郵件中的連結地址,勒索軟體會以用戶看不見的形式在後臺靜默安裝,實施勒索;
漏洞傳播:當用戶正常訪問網站時,攻擊者利用頁面上的惡意廣告驗證用戶的瀏覽器是否有可利用的漏洞。如果存在,則利用漏洞將勒索軟體下載到用戶的主機;
捆綁傳播:與其他惡意軟體捆綁傳播;
殭屍網絡傳播:一方面殭屍網絡可以發送大量的垃圾郵件,另一方面殭屍網絡為勒索軟體即服務(RaaS)的發展起到了支撐作用;
可移動存儲介質、本地和遠程的驅動器(如C盤和掛載的磁碟)傳播:惡意軟體會自我複製到所有本地驅動器的根目錄中,並成為具有隱藏屬性和系統屬性的可執行文件;
文件共享網站傳播:勒索軟體存儲在一些小眾的文件共享網站,等待用戶點擊連結下載文件;
網頁掛馬傳播:當用戶不小心訪問惡意網站時,勒索軟體會被瀏覽器自動下載並在後臺運行;
社交網絡傳播:勒索軟體以社交網絡中的.JPG圖片或者其他惡意文件載體傳播。
2017年,WannaCry和Petya的出現徹底打開了我國的勒索犯罪市場,尤其是WannaCry,還針對中國人民開發漢語版界面,如下圖所示:
這兩個漏洞就是典型的通過漏洞和共享進行傳播。Wanacry勒索軟體利用Microsoft Windows中一個公開已知的安全漏洞。Petya勒索軟體通過ME文檔軟體更新的漏洞傳播。 WannaCry和Petya的出現也同時表明,利用全球範圍內普遍漏洞產生的勒索軟體攻擊活動會給全人類帶來災難性的後果。
2017年,勒索軟體數量暴增。勒索即服務的逐步發展,使勒索軟體成本越來越低,備受黑客喜愛。在過去的一年中,各產業都曾遭受到勒索軟體的攻擊。在2017年間流行的勒索軟體使用不對稱的複雜加密算法,受害者一旦中招,只有支付贖金才能安全找回數據。
2017年1月1日開始至12月31日截止,深信服下一代防火牆、信服雲盾等安全防護產品對全國11個行業(其中包括政府、教育、醫療、金融、企業、能源等)超過10w個域名(或IP)做安全防禦,共阻斷勒索軟體攻擊163250次。每月攔截勒索軟體攻擊次數走勢圖如下:
從被攻擊流量數據來看,勒索軟體攻擊流量最多的三個月分別是5月、6月和10月。由此可以看到,在重大安全事件爆發時期,以及國家重大會議活動期間,惡意軟體傳播非常頻繁。因此,網絡安全工作時刻不能鬆懈,在特殊時期更應該加固網絡防護,避免中招。
目前針對勒索軟體的措施主要是:更新補丁、封鎖惡意源。但這些都只有在威脅已經引發了損害之後才能開始。反病毒和反惡意軟體產品雖然防護給力,但威脅發展太快,任何工具都無法提供100%防護。因此,深信服提供以下10個建議保護您以及您的單位免受勒索軟體傷害:
1. 制定備份與恢復計劃。經常備份您的系統,並且將備份文件離線存儲到獨立設備;
2. 使用專業的電子郵件與網絡安全工具,可以分析電子郵件附件、網頁、或文件是否包含惡意軟體,可以隔離沒有業務相關性的潛在破壞性廣告與社交媒體網站;
3. 及時對作業系統、設備、以及軟體進行打補丁和更新;
4. 確保您的安全設備及安全軟體等升級到最新版本,包括網絡上的反病毒、入侵防護系統、以及反惡意軟體工具等;
5. 在可能的情況下,使用應用程式白名單,以防止非法應用程式下載或運行;
6. 做好網絡安全隔離,將您的網絡隔離到安全區,確保某個區域的感染不會輕易擴散到其他區域;
7. 建立並實施權限與特權制度,使無權限用戶無法訪問到關鍵應用程式、數據、或服務;
8. 建立並實施自帶設備安全策略,檢查並隔離不符合安全標準(沒有安裝反惡意軟體、反病毒文件過期、作業系統需要關鍵性補丁等)的設備;
9. 部署鑑定分析工具,可以在攻擊過後確認:
a)感染來自何處;
b)病毒已經在您的環境中潛伏多長時間;
c)是否已經從所有設備移除了感染文件;
d)所有設備是否恢復正常。
10. 最關鍵的是:加強用戶安全意識培訓,不要下載不明文件、點擊不明電子郵件附件、或點擊電子郵件中來路不明的網頁連結;畢竟人是安全鏈中最薄弱的一環,需要圍繞他們制定計劃。
除此之外,深信服在勒索病毒應對實踐中積累大量實戰經驗,擁有勒索病毒檢測解決方案,勒索病毒防禦響應解決方案,以及體系化解決方案,幫助更多用戶從容應對勒索病毒!
推薦閱讀
專題直播:勒索病毒頻發,醫療業務怎樣守關?
勒索病毒難防,此處有快速止損最佳方案
純乾貨! 深信服2017年安全威脅分析報告之網站安全篇(可下載)