微軟安全發布2017上半年勒索軟體事件分析與統計圖

2021-02-13 FreeBuf
前言

2017年上半年,勒索軟體攻擊的複雜程度達到了新的高度。不僅複雜性增加,新的勒索軟體代碼發布與傳播速度也是驚人。今年兩大主要的勒索軟體安全事件將網絡安全徹底暴露在全球網民的視野下,成了人們茶餘飯後的談資之一。無論是企業機構還是普通網民,都開始意識到了網絡攻擊的巨大殺傷力。

微軟於今年3月發布一份安全情報報告,總結了2017年第一季度不同領域的威脅動向,報告中闡述了勒索軟體猖獗肆虐的現狀。2017年1月至3月,微軟的安全產品所檢測到的勒索軟體受害者比例最高的國家有捷克共和國、韓國及義大利。

本文我們重點介紹已經發生的安全事件帶給我們關於未來趨勢、發展的啟發。

2017年1月-6月勒索軟體全球影響分布圖

勒索軟體增長規律

2017年3月,勒索軟體受害者數量在歷經幾個月的跌幅後開始逐漸回升。這種上升趨勢主要來自於像Cerber這樣已經具有一定規模的勒索軟體活動組織,以勒索軟體即服務的形式展開全球範圍內的強勢。

2016年7月至2017年6月每月勒索軟體數量(藍柱)與中招用戶數量(黃線)

這種上升趨勢的另一個原因是因為勒索軟體家族的不斷龐大,數量增長與傳播速度之快也令人咋舌。2017年上半年,我們發現了71個新的勒索軟體成員。

其中一些勒索軟體成員尤為「出類拔萃」,它們的攻擊活動形式更為新型複雜。例如,今年第一季度出現的Spora完全搶佔了去年Cerber的風頭,成為當時傳播最為廣泛的勒索軟體。

2017年第一季度最流行的幾類勒索軟體成功率對比圖

Spora龐大的危害輻射面產生原因可能有兩個:第一,它能夠同時通過網絡驅動和USB等移動驅動進行傳播;第二,其初始版本主要針對的是俄羅斯網民,因此用戶界面的語言採用的也是當地語言,但後期攻擊目標擴大到全球範圍後,它又將系統語言更改為英文。

其它2017年臭名昭著的勒索軟體成員還包括Jaffrans、Exmas以及Ergop。儘管這些勒索軟體沒有達到Spora那樣的影響力,但是它們確實體現了勒索軟體領域的周期性進步和變本加厲的頑固性。

全球勒索軟體警鐘拉響

WannaCrypt(又稱WannaCry)是今年到目前為止影響範圍最大的新型勒索軟體之一。五月份出現的這個惡意程序利用了未更新win7系統中的一個補丁漏洞,並迅速傳播到歐洲乃至全球(該漏洞不影響Windows 10系統)。這次攻擊活動使得大量高科技設施、大型企業機構正常活動遭到嚴重破壞。

WannaCrypt爆發後幾周,一個新的變種Petya捲土重來。Petya採用了WannaCry所使用的一些新技術,但綜合了更多網絡傳播方式。Petya的爆發始於烏克蘭,被感染的軟體供應鏈通過一個更新程序開啟了Petya的傳播之路。短短幾小時,Petya就已經蔓延至其它國家。儘管Petya的傳播範圍不及WannaCry廣泛,但是複雜程度卻高於WannaCry,對於被感染機構的殺傷力更加大。

WannaCrypt和Petya打破了攻擊行為的針對性和本地化特徵,是歷史上第一次全球範圍內大規模的惡意程序攻擊。這種趨勢形成了地下市場的全球利益鏈,但是這樣的變化對攻擊者來說也有弊端,比如,在這些攻擊活動中使用的比特幣錢包則更容易受到監管人員的密切監視。

WannaCrypt和Petya的出現表明,利用全球範圍內普遍漏洞產生的勒索軟體攻擊活動會給全人類帶來災難性的後果。全球性攻擊活動也向人類發出警告:安全響應人員應提高攻擊檢測、響應能力,控制勒索軟體感染疫情;系統或軟體的更新發布後應及時安裝。

勒索軟體複雜性分析

全球勒索軟體疫情爆發的原因之一是勒索軟體技術的進步。WannaCrypt、Petya、Spora等勒索軟體變體所具備的新功能以及他們的傳播速度於危害程度都體現了這一點。

利用漏洞進行內網漫遊

Spora通過網絡驅動和可移動驅動器傳播的能力使其成為傳播範圍最為廣泛的勒索軟體之一。雖然它不是第一個整合蠕蟲狀擴散機制的勒索軟體,但它能夠通過這種功能來感染更多的設備。

帶有蠕蟲功能的勒索軟體攻擊活動範圍可以從終端安全延伸到整個企業網絡。WannaCry就是一個很好的例子,它利用CVE-2017-0144(又名「永恆之藍」,已修復 MS17-010)這個漏洞感染了未及時更新的設備。

而Petya則又對WannaCrypt的傳播機制進行了擴展——利用了兩個漏洞對未更新系統進行感染:CVE-2017-0144以及CVE-2017-0145(被稱為EternalRomance,已修復)。

這兩次攻擊事件都說明了及時更新系統或程序的重要性。同時安全人員檢測和攔截與漏洞相關惡意行為的及時性也非常關鍵。

另外,我們還應注意到這兩大勒索軟體的出現都沒有波及Win10系統,也就是說升級到最新版本的系統或平臺也會增加安全係數。就算這些漏洞也出現在Win10系統中,該系統也會多種漏洞緩解方案,包括零日漏洞。另外,Windows Defender高級威脅防護程序(Windows Defender ATP)也可以在無需籤名更新的情況下檢測到漏洞利用的惡意活動。

Here is the 彩蛋:由朔方翻譯的用於分析是否有內網橫向移動行為的參考手冊《日本CERT內網漫遊人工檢測分析手冊》,可通過連結http://pan.baidu.com/s/1qYNq1uG 密碼:u90s 獲取。

憑證竊取

Petya還有一個奪眼球的特點是它竊取重要憑證的功能,通過憑證轉儲工具獲取或直接從憑證庫中竊取。該功能對於使用本地管理員權限登錄並在多臺計算機上打開活動會話的用戶網絡構成了嚴重的安全威脅。在這種情況下,被盜憑證可以在其它設備上行使同等級別的訪問權限。

Petya疫情表明了保護憑證安全的重要性。企業應對特權帳戶進行不斷審查,因為這些帳戶具有對企業機密和其它關鍵數據的訪問權限,一旦淪陷,後果不堪設想。Win10系統中的Credential Guard使用虛擬安全保護派生域憑證,能夠攔截企圖侵入特權帳戶的惡意行為。

網絡掃描

掌握漏洞或憑證信息後,勒索軟體就開始通過網絡掃描把魔爪伸向網絡世界中的角角落落。例如,Petya通過掃描受感染的網絡,嘗試與其它計算機建立有效連接,然後通過竊取的憑證傳輸惡意程序副本。Petya同樣也掃描了網絡共享連接,嘗試通過這些共享行為進行傳播。

而WannaCrypt則大量掃描IP位址,尋找存在「永恆之藍」漏洞的計算機,這個功能使得WannaCry能夠在不同網絡之間的計算機上進行傳播。

破壞性行為

絕大多數勒索軟體都有一個相同的、明確的動機:受害者必須支付贖金,否則永遠拿不到自己電腦上已經被加密的文件。雖然不能保證支付贖金後對方一定會解密文件,但是大多數勒索軟體還是通過贖金聲明的方式說明他們要錢的意圖。WannaCry攻擊者於今年8月將所有比特幣從比特幣錢包領取兌現。而Petya開發者在早早地7月初就開始收網。

前文我們已經提到過,Petya的破壞性更大:它覆蓋或損壞主引導記錄(MBR)和卷引導記錄(VBR),使受感染的計算機徹底癱瘓。這個現象引起了安全界很多專家的思考與討論:Petya產生的根本目的是為了像WannaCry那樣騙取贖金還是像Depriz(也稱為Shamoon)那樣破壞網絡及系統安全?

Petya攻擊鏈

小編在PS、AI方面是菜鳥,圖片漢化就不花時間做了,就在下面附上圖片文字內容的翻譯,有需要的同志可自行替換。

1.MALICIOUS SOFTWARE DOWNLOAD 惡意程序下載

Initial infection appears to involve a compromised software supply-chain or a watering-hole attack

從感染某個軟體或發起一個「水坑式」攻擊開始

2. Victim 0 受害設備O

3. If Kaspersky is present, MBR and some disk sectors are destroyed. Otherwise,MBR is replaces with a ransom bootloader (or trash if fail)

如果設備上裝有卡巴斯基,MBR和一些磁碟扇區會被損壞。否則,MBR被替換為贖金引導程序(替換失敗則當作垃圾處理)

[SEDEBUG]

MBR ACTIVITIES MBR活動

[take effect post-reboot] 【重啟後執行】

TRASH 垃圾 

INFECT 感染

4. Muti-threaded execution of malicious code begins in parallel 多線程惡意代碼執行同時進行

SMB EXPLOITS

INTERNET/LOCAL NETWORK

Org A Org B Org C

Victim 1

etc. …

CREDENTIAL THEFT 

From LSASS/CredEnumerateW, or steal active tokens

Creds/tokens 

Scanner enumerates targets for lateral movement(adminS) 

Machine list 

FILE ENCRYPTION 

Local files on the machine are encrpted with AES 

Remote execution through PSEXEC or WMIC 

LOCAL NETWORK 本地網絡

關於Petya目的的討論,很多專家各執一端。但有一點可以肯定,攻擊者可以輕鬆地把其它payload加入勒索軟體代碼,形成針對性攻擊或其它類型的毀滅性網絡攻擊。隨著勒索軟體威脅程度的驟增,無論是各大企業機構還是個人,都需要一個完善的網絡安全防護方案,抵禦端到端的勒索軟體攻擊。

結 語

原文接下來的部分講的就全是微軟誇自己的win10系統多麼厲害了。這裡我就不給微軟打廣告,有興趣者也可參見原文:

https://blogs.technet.microsoft.com/mmpc/2017/09/06/ransomware-1h-2017-review-global-outbreaks-reinforce-the-value-of-security-hygiene/

微軟在網絡安全方面的努力與成果的確值得期待,也非常值得國內安全廠商潛心學習。

【完整報告英文版-百度網盤連結:http://pan.baidu.com/s/1qYNq1uG 密碼:u90s】

*本文作者:Carrie_spinfo,經作者授權,轉載自微信公眾號「賽博朔方」(chinamssp)

相關焦點

  • 最新發布 | 2020年上半年勒索病毒疫情分析報告
    《2020年上半年勒索病毒疫情分析報告》分為前言、上半年勒索病毒攻擊事件、勒索病毒攻擊態勢、典型勒索病毒疫情分析、病毒發展趨勢分析、安全建議等六大版塊闡述。報告內容涵蓋勒索病毒感染趨勢、病毒家族分布、病毒傳播方式、贖金要求、攻擊地域分布、受感染系統分布、受害者所屬行業分布、威脅處置情況、病毒發展趨勢,以及相應的安全建議等方面。
  • 2018上半年勒索病毒趨勢分析
    到了2018年上半年,勒索病毒又表現出哪些新特點?最活躍的勒索病毒家族又是哪幾個?該如何避免勒索病毒給我們的工作和生活造成嚴重影響或重大損失呢?360天擎團隊對2018年上半年的勒索病毒進行了深入的分析和研究,將為您一一解答。
  • 應對勒索軟體「WannaCry」,安天發布開機指南
    安天安全研究與應急處理中心(Antiy CERT)發現,北京時間2017年5月12日20時左右,全球爆發大規模勒索軟體感染事件,我國眾多行業的內網網絡被大規模感染。教育網受損尤為嚴重,攻擊造成了部分教學系統、校園一卡通系統癱瘓。
  • 微軟發布補丁已有兩個月,為何勒索軟體WannaCrypt還來勢洶洶?
    在CIH、熊貓燒香等臭名昭著的病毒事件逐漸被人淡忘之際,WannaCrypt惡意軟體引發的紅色警報,再次在全球範圍響起。當惡意軟體變得越來越有欺騙性,而且敲詐的手法也越發與時俱進,我們能在WannaCrypt傳播事件中,找到哪些信息安全防禦的短板和不足?為何微軟在2017年3月已經更新了視窗補丁後,時隔兩個月之後WannaCrypt還能大規模肆虐?
  • 騰訊安全:2018上半年區塊鏈安全報告(全文)
    據網絡安全公司Carbon Black的調查數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜,且在全球範圍內因區塊鏈安全事件損失金額還在不斷攀升。1.2下半年勒索病毒的傳播趨勢(1)勒索病毒與安全軟體的對抗加劇隨著安全軟體對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術方案。
  • Linux病毒呈爆發式增長,2017年上半年中國網絡安全報告(多圖文)
    《2017年上半年中國網絡安全報告》一、惡意軟體與惡意網址(一)惡意軟體1. 2017年1至6月病毒概述(1)病毒疫情總體概述2017年1至6月,瑞星「雲安全」系統共截獲病毒樣本總量3,132萬個,病毒感染次數23.4億次,病毒總體數量比2016年同期上漲35.47%。報告期內,新增木馬病毒佔總體數量的42.33%,依然是第一大種類病毒。
  • 筆記本製造商仁寶感染DoppelPaymer,被勒索1700萬美元;微軟發布周二安全更新,總計修復112個漏洞
    【勒索軟體】筆記本製造商仁寶感染DoppelPaymer,被勒索1700萬美元【漏洞補丁】微軟發布周二安全更新,總計修復112個漏洞【威脅情報】新的銀行木馬Ghimob可監控153個Android應用研究人員披露美國國防部內網可劫持DOD帳號的漏洞黑客利用偽造的Teams更新分發Cobalt
  • Linux病毒呈爆發式增長 ——2017年上半年中國網絡安全報告
    近期,瑞星聯合國家信息中心信息與網絡安全部發布了《2017年上半年中國網絡安全報告》,報告顯示2017年1至6月,瑞星「雲安全」系統共截獲Linux
  • 聚焦|亞信安全發布防範WannaCry/Wcry蠕蟲勒索病毒措施
    目前,亞信安全已截獲WannaCry/Wcry勒索軟體,並將其命名為:RANSOM_WANA.A 和RANSOM_WCRY.I。早在5月2日,亞信安全伺服器深度安全防護系統Deep Security 和亞信安全深度威脅發現設備TDA 已發布補丁能夠抵禦該蠕蟲在內網的傳播。
  • 【產業觀察】2017 金融科技安全分析報告
    眾所周知,金融行業是我國網絡安全重點行業之一,因其行業特殊性金融機構一直是網絡犯罪的主要目標。以下,我們將通過 2017 年金融行業的重大安全事件說明安全威脅可能造成影響及損失。圖7 2017年上半年最流行的勒索軟體 2017 年 6 月, 「無敵艦隊」勒索事件再次上演,許多金融機構收到勒索郵件,被要求支付10比特幣(市值約20萬人民幣)作為保護費。
  • DarkSide勒索軟體攻擊事件分析
    5月7日,美國油氣管道運營商Colonial Pipeline發布了一份聲明,稱其因為收到網絡攻擊,不得不關閉一部分IT系統,進而導致公司旗下的所有管道停止運行。據稱,該起網絡攻擊事件的源頭來自一個自稱為DarkSide的勒索軟體運營團夥,該團夥使用自主開發的同名勒索軟體入侵了Colonial Pipeline的系統。
  • 2019上半年勒索病毒專題報告
    2019上半年由勒索病毒攻擊造成的國內外大小事件,可發現伴隨著傳統行業逐漸數位化、網絡化、智能化、逐步擁抱產業網際網路化的大浪潮中,暴露出一系列網絡安全問題。勒索病毒也乘機發難,瘋狂斂財,影響日漸擴大。2019年3月,世界最大的鋁製品生產商挪威海德魯公司(Norsk Hydro)遭遇勒索軟體公司,隨後該公司被迫關閉幾條自動化生產線。2019年5月26日,國內某打車軟體平臺發布公告稱其伺服器遭受連續攻擊,伺服器內核心數據被加密,攻擊者索要巨額比特幣。該公司嚴厲譴責該不法行為,並向公安機關報警。
  • 【突發】哈爾濱安天緊急發布《安天應對勒索軟體「wannacry」防護手冊》l 勒索軟體簡史
    PC由於本次Wannacry蠕蟲事件的巨大影響,微軟總部剛才決定發布已停服的XP和部分伺服器版特別補丁https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/安天關於#勒索者蠕蟲病毒WannaCry#跟進時間表:
  • 壞兔子勒索病毒事件基本分析報告
    根據監測,目前中國地區基本不受「壞兔子」勒索病毒影響。        本文是360CERT對「壞兔子」事件的初步分析。0x01 事件影響面1、影響面         經過360CERT分析,「壞兔子」事件屬于勒索病毒行為,需要重點關注其傳播途徑和危害:·      主要通過入侵某合法新聞媒體網站,該媒體在烏克蘭,土耳其,保加利亞,俄羅斯均有分網站。
  • 工控網絡與勒索軟體
    截止目前工業控制網絡仍未大規模遭受過勒索軟體的入侵,但是在工控領域,數據洩露事件,企業系統被入侵成功的報導已經很多。只不過這些事件的源動力並非勒索錢財而已。比如Stuxnet事件,烏克蘭電力中斷事件都是源於軍事目標打擊而不是勒索。2003年,美國東北地區的著名停電事件只是一個軟體上的烏龍bug造成,其經濟損失就達到70~100億美金。
  • 深信服2017年安全威脅分析報告之勒索病毒篇
    技術門檻低、低風險、高回報使「勒索即服務」發展迅猛。所謂知己知彼,方能百戰不殆。勒索病毒究竟有怎樣的前世今生?該如何去防範?本文節選自《深信服2017年安全威脅分析報告》,全面為您解密勒索病毒。最早的勒索軟體已知最早的勒索軟體出現於1989年。該勒索軟體運行後,連同C盤的全部文件名也會被加密(從而導致系統無法啟動)。
  • 亞信安全詳解:新Petya勒索病毒的攻與防
    據國外安全人員分析,Petya勒索病毒變種通過帶有DOC文檔的垃圾郵件附件進行傳播,通過Office CVE-2017-0199漏洞來觸發攻擊。亞信安全已經截獲類似攻擊郵件,但在實際測試過程中,並沒有完整重現整個攻擊過程。
  • WastedLocker勒索軟體分析
    每個月都會出現新的勒索軟體攻擊事件,有的時候甚至會更加頻繁。在今年的上半年,WastedLocker勒索軟體的活動日趨頻繁,我們在這篇文章中,將對一個WastedLocker勒索軟體樣本進行詳細的技術分析。命令行參數需要注意的是,WastedLocker擁有一個命令行接口,它支持處理多個由攻擊者控制的參數,而這些參數將控制WastedLocker的行為。
  • 「Bad Rabbit」壞兔子勒索病毒事件分析與防護建議
    0x00 事件描述2017年10月24日,一起名為「壞兔子」(the Bad Rabbit)的勒索病毒正在東歐和俄羅斯地區傳播
  • 緊急解決勒索軟體「wannacry」的威脅,最全解決方案
    概述安天安全研究與應急處理中心(Antiy CERT)發現,北京時間2017年5月12日20時左右,全球爆發大規模勒索軟體感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。