2017年上半年,勒索軟體攻擊的複雜程度達到了新的高度。不僅複雜性增加,新的勒索軟體代碼發布與傳播速度也是驚人。今年兩大主要的勒索軟體安全事件將網絡安全徹底暴露在全球網民的視野下,成了人們茶餘飯後的談資之一。無論是企業機構還是普通網民,都開始意識到了網絡攻擊的巨大殺傷力。
微軟於今年3月發布一份安全情報報告,總結了2017年第一季度不同領域的威脅動向,報告中闡述了勒索軟體猖獗肆虐的現狀。2017年1月至3月,微軟的安全產品所檢測到的勒索軟體受害者比例最高的國家有捷克共和國、韓國及義大利。
本文我們重點介紹已經發生的安全事件帶給我們關於未來趨勢、發展的啟發。
2017年1月-6月勒索軟體全球影響分布圖
勒索軟體增長規律2017年3月,勒索軟體受害者數量在歷經幾個月的跌幅後開始逐漸回升。這種上升趨勢主要來自於像Cerber這樣已經具有一定規模的勒索軟體活動組織,以勒索軟體即服務的形式展開全球範圍內的強勢。
2016年7月至2017年6月每月勒索軟體數量(藍柱)與中招用戶數量(黃線)
這種上升趨勢的另一個原因是因為勒索軟體家族的不斷龐大,數量增長與傳播速度之快也令人咋舌。2017年上半年,我們發現了71個新的勒索軟體成員。
其中一些勒索軟體成員尤為「出類拔萃」,它們的攻擊活動形式更為新型複雜。例如,今年第一季度出現的Spora完全搶佔了去年Cerber的風頭,成為當時傳播最為廣泛的勒索軟體。
2017年第一季度最流行的幾類勒索軟體成功率對比圖
Spora龐大的危害輻射面產生原因可能有兩個:第一,它能夠同時通過網絡驅動和USB等移動驅動進行傳播;第二,其初始版本主要針對的是俄羅斯網民,因此用戶界面的語言採用的也是當地語言,但後期攻擊目標擴大到全球範圍後,它又將系統語言更改為英文。
其它2017年臭名昭著的勒索軟體成員還包括Jaffrans、Exmas以及Ergop。儘管這些勒索軟體沒有達到Spora那樣的影響力,但是它們確實體現了勒索軟體領域的周期性進步和變本加厲的頑固性。
全球勒索軟體警鐘拉響WannaCrypt(又稱WannaCry)是今年到目前為止影響範圍最大的新型勒索軟體之一。五月份出現的這個惡意程序利用了未更新win7系統中的一個補丁漏洞,並迅速傳播到歐洲乃至全球(該漏洞不影響Windows 10系統)。這次攻擊活動使得大量高科技設施、大型企業機構正常活動遭到嚴重破壞。
WannaCrypt爆發後幾周,一個新的變種Petya捲土重來。Petya採用了WannaCry所使用的一些新技術,但綜合了更多網絡傳播方式。Petya的爆發始於烏克蘭,被感染的軟體供應鏈通過一個更新程序開啟了Petya的傳播之路。短短幾小時,Petya就已經蔓延至其它國家。儘管Petya的傳播範圍不及WannaCry廣泛,但是複雜程度卻高於WannaCry,對於被感染機構的殺傷力更加大。
WannaCrypt和Petya打破了攻擊行為的針對性和本地化特徵,是歷史上第一次全球範圍內大規模的惡意程序攻擊。這種趨勢形成了地下市場的全球利益鏈,但是這樣的變化對攻擊者來說也有弊端,比如,在這些攻擊活動中使用的比特幣錢包則更容易受到監管人員的密切監視。
WannaCrypt和Petya的出現表明,利用全球範圍內普遍漏洞產生的勒索軟體攻擊活動會給全人類帶來災難性的後果。全球性攻擊活動也向人類發出警告:安全響應人員應提高攻擊檢測、響應能力,控制勒索軟體感染疫情;系統或軟體的更新發布後應及時安裝。
勒索軟體複雜性分析全球勒索軟體疫情爆發的原因之一是勒索軟體技術的進步。WannaCrypt、Petya、Spora等勒索軟體變體所具備的新功能以及他們的傳播速度於危害程度都體現了這一點。
利用漏洞進行內網漫遊Spora通過網絡驅動和可移動驅動器傳播的能力使其成為傳播範圍最為廣泛的勒索軟體之一。雖然它不是第一個整合蠕蟲狀擴散機制的勒索軟體,但它能夠通過這種功能來感染更多的設備。
帶有蠕蟲功能的勒索軟體攻擊活動範圍可以從終端安全延伸到整個企業網絡。WannaCry就是一個很好的例子,它利用CVE-2017-0144(又名「永恆之藍」,已修復 MS17-010)這個漏洞感染了未及時更新的設備。
而Petya則又對WannaCrypt的傳播機制進行了擴展——利用了兩個漏洞對未更新系統進行感染:CVE-2017-0144以及CVE-2017-0145(被稱為EternalRomance,已修復)。
這兩次攻擊事件都說明了及時更新系統或程序的重要性。同時安全人員檢測和攔截與漏洞相關惡意行為的及時性也非常關鍵。
另外,我們還應注意到這兩大勒索軟體的出現都沒有波及Win10系統,也就是說升級到最新版本的系統或平臺也會增加安全係數。就算這些漏洞也出現在Win10系統中,該系統也會多種漏洞緩解方案,包括零日漏洞。另外,Windows Defender高級威脅防護程序(Windows Defender ATP)也可以在無需籤名更新的情況下檢測到漏洞利用的惡意活動。
Here is the 彩蛋:由朔方翻譯的用於分析是否有內網橫向移動行為的參考手冊《日本CERT內網漫遊人工檢測分析手冊》,可通過連結http://pan.baidu.com/s/1qYNq1uG 密碼:u90s 獲取。
憑證竊取Petya還有一個奪眼球的特點是它竊取重要憑證的功能,通過憑證轉儲工具獲取或直接從憑證庫中竊取。該功能對於使用本地管理員權限登錄並在多臺計算機上打開活動會話的用戶網絡構成了嚴重的安全威脅。在這種情況下,被盜憑證可以在其它設備上行使同等級別的訪問權限。
Petya疫情表明了保護憑證安全的重要性。企業應對特權帳戶進行不斷審查,因為這些帳戶具有對企業機密和其它關鍵數據的訪問權限,一旦淪陷,後果不堪設想。Win10系統中的Credential Guard使用虛擬安全保護派生域憑證,能夠攔截企圖侵入特權帳戶的惡意行為。
網絡掃描掌握漏洞或憑證信息後,勒索軟體就開始通過網絡掃描把魔爪伸向網絡世界中的角角落落。例如,Petya通過掃描受感染的網絡,嘗試與其它計算機建立有效連接,然後通過竊取的憑證傳輸惡意程序副本。Petya同樣也掃描了網絡共享連接,嘗試通過這些共享行為進行傳播。
而WannaCrypt則大量掃描IP位址,尋找存在「永恆之藍」漏洞的計算機,這個功能使得WannaCry能夠在不同網絡之間的計算機上進行傳播。
破壞性行為絕大多數勒索軟體都有一個相同的、明確的動機:受害者必須支付贖金,否則永遠拿不到自己電腦上已經被加密的文件。雖然不能保證支付贖金後對方一定會解密文件,但是大多數勒索軟體還是通過贖金聲明的方式說明他們要錢的意圖。WannaCry攻擊者於今年8月將所有比特幣從比特幣錢包領取兌現。而Petya開發者在早早地7月初就開始收網。
前文我們已經提到過,Petya的破壞性更大:它覆蓋或損壞主引導記錄(MBR)和卷引導記錄(VBR),使受感染的計算機徹底癱瘓。這個現象引起了安全界很多專家的思考與討論:Petya產生的根本目的是為了像WannaCry那樣騙取贖金還是像Depriz(也稱為Shamoon)那樣破壞網絡及系統安全?
Petya攻擊鏈
小編在PS、AI方面是菜鳥,圖片漢化就不花時間做了,就在下面附上圖片文字內容的翻譯,有需要的同志可自行替換。
1.MALICIOUS SOFTWARE DOWNLOAD 惡意程序下載
Initial infection appears to involve a compromised software supply-chain or a watering-hole attack
從感染某個軟體或發起一個「水坑式」攻擊開始
2. Victim 0 受害設備O
3. If Kaspersky is present, MBR and some disk sectors are destroyed. Otherwise,MBR is replaces with a ransom bootloader (or trash if fail)
如果設備上裝有卡巴斯基,MBR和一些磁碟扇區會被損壞。否則,MBR被替換為贖金引導程序(替換失敗則當作垃圾處理)
[SEDEBUG]
MBR ACTIVITIES MBR活動
[take effect post-reboot] 【重啟後執行】
TRASH 垃圾
INFECT 感染
4. Muti-threaded execution of malicious code begins in parallel 多線程惡意代碼執行同時進行
SMB EXPLOITS
INTERNET/LOCAL NETWORK
Org A Org B Org C
Victim 1
etc. …
CREDENTIAL THEFT
From LSASS/CredEnumerateW, or steal active tokens
Creds/tokens
Scanner enumerates targets for lateral movement(adminS)
Machine list
FILE ENCRYPTION
Local files on the machine are encrpted with AES
Remote execution through PSEXEC or WMIC
LOCAL NETWORK 本地網絡
關於Petya目的的討論,很多專家各執一端。但有一點可以肯定,攻擊者可以輕鬆地把其它payload加入勒索軟體代碼,形成針對性攻擊或其它類型的毀滅性網絡攻擊。隨著勒索軟體威脅程度的驟增,無論是各大企業機構還是個人,都需要一個完善的網絡安全防護方案,抵禦端到端的勒索軟體攻擊。
結 語原文接下來的部分講的就全是微軟誇自己的win10系統多麼厲害了。這裡我就不給微軟打廣告,有興趣者也可參見原文:
https://blogs.technet.microsoft.com/mmpc/2017/09/06/ransomware-1h-2017-review-global-outbreaks-reinforce-the-value-of-security-hygiene/
微軟在網絡安全方面的努力與成果的確值得期待,也非常值得國內安全廠商潛心學習。
【完整報告英文版-百度網盤連結:http://pan.baidu.com/s/1qYNq1uG 密碼:u90s】
*本文作者:Carrie_spinfo,經作者授權,轉載自微信公眾號「賽博朔方」(chinamssp)