前言 勒索软件攻击过程概述
黑客利用系统漏洞、网页挂马、RDP暴力破解或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
一些新变种的勒索软件,尽管受害用户付了赎金,也不能获得解密工具,因为黑客不会轻易暴露解密私钥。
2018年勒索软件代表性活跃家族介绍
Lucky家族为多平台勒索软件,极具感染性,主要采用漏洞传播,包括远程代码执行漏洞(CVE - 2018-1273),弱口令爆破漏洞,jboss反序列化漏洞,apache struts2远程代码执行漏洞(s2-045/057),windows smb 远程代码执行漏洞(ms17-010)等。
国内首次出现了要求微信支付赎金的勒索软件,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。
实际解密密钥存放本地,经过逆向分析提出密钥,不需赎金即可恢复加密的文件。
除了勒索外还会盗取QQ,阿里和京东等电商的相关支付账号。
该家族起初叫“Aurora”后来变种为“Zorro”,攻击目标具有针对性,黑客采用入侵没有防护的用户终端的方式来安装该勒索软件,并通过控制服务器来下发加密的秘钥。
该家族为Oracle数据库勒索病毒,中毒后数据库应用界面会弹出异常信息,一般会捆绑在PL/SQL,首先对tab$中的文件进行备份,然后再删除tab$表中的部分内容清理数据库的备份文件后,向用户弹窗实施勒索。
zenis与其它加密常见文件的勒索病毒不同,该病毒运行后,除了会对系统中常用的文件进行加密,非系统盘符下的所有格式文件也将被锁,就连可执行程序exe都不会放过。同时,病毒还会删除系统中的备份文件,以避免中招用户恢复重要数据。
CrySiS主要针对于弱密码服务器,采用RDP爆破,爆破成功后会植入勒索软件,该勒索软件采用RSA+AES加密方式,并删除磁盘卷影副本,使得受害者采用恢复磁盘方式无法恢复文件。
撒旦(Satan)勒索病毒2018年6月份传播方式有很大的升级,本身除了使用永恒之蓝漏洞攻击外,还携带更多漏洞攻击模块:包括JBoss反序列化漏洞、Tomcat任意文件上传漏洞、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞和Apache Struts2等,攻击范围和威力进一步提升,今年最新版主要功能放在挖矿木马的传播上。
GlobeImposter家族变种繁多(目前发现有11个),大版本是从1.0开始到现在3.0,传播途径主要是垃圾邮件、SMB共享传播、JaveScript脚本和RDP暴力破解,往往都是通过企业对外发布的服务器入手。
Scarab 起初采用Necurs的僵尸网络传播,新版本采用RDP和捆绑软件传播。加密时首先删除磁盘卷影文件,结束加密文件相关进程比如sqlserver.exe,加密后的文件名后缀变为scarab。
Blackout采用.NET编写,并使用了代码混淆防止分析人员进行静态分析,加密开始之前,结束27种重要进程来解除文件占用,采用RSA+AES加密文件,使得加密后的文件受害者无法恢复。四
2018年勒索软件活跃时间(每月)一览
如下图:
图4.1勒索软件每月活跃度
勒索软件活跃家族的多角度分析
下面是根据天融信阿尔法实验室2018年所捕获的勒索软件,进行的多角度、多层次分析。
勒索软件运行平台主要集中在windows系统,占到86%,linux系统占11%,Android系统为3%。如下图:
图5.1勒索软件运行平台分布
勒索软件加密方式仍然是以RSA+AES为主,占75%。
图5.2勒索软件常用加密方式
(1)网页挂马
当用户浏览具有诱惑性的网页或某网站被入侵并植入木马后,再点击某个链接时就有可能下载勒索程序,此刻用户没有察觉,勒索程序就已经执行。
攻击场景如下所示:
图5.3.1勒索软件挂马攻击
(2)邮件传播
原本在安全的办公网络环境中,比如公司邮件,但若不注意发件人是否合法,或点击邮件里来历不明的链接,或点击具有目的性的文档,比如假的发票截图、假的办公文档(office,pdf),含有恶意代码的文档,都会引来不可逆转的未知情况,比如勒索软件等。
攻击场景如下:
图5.3.2勒索软钓鱼邮件传播
附件带有漏洞的word文档或一个不明链接和具有引诱用户点击的文字。
(3)漏洞利用,植入
漏洞是软件本身缺陷(Apache Struts2,sql数据库等),具有执行外部代码特性,有的是软件系统设计疏漏,有的是正常绕过合法限制,在此环境中执行了外部可以编写的恶意代码,使得攻击者控制电脑或服务器,可以植入勒索软件。
攻击场景如下图:
图5.3.3勒索软件利用漏洞传播
(4)弱密码暴力破解(RDP)
对于在外网服务器或内网的个人终端,都可以采用暴力密码比对的方式,猜测登录密码,若是弱密码或采用撞库攻击,危险性就比较大。
弱密码暴力破解主要针对于局域网或web服务器,采用密码字典进行尝试登录,登录成功就会植入勒索软件,进行攻击,如下图:
图5.3.4勒索软暴力破解传播
(5)供应链感染
感染开发人员的编译器模块或把恶意代码插入可执行代码中,这样编译后的新版就会感染,微信支付就是采用该方式传播。
攻击场景如下图:
图5.3.5勒索软供应链传播
(6)勒索软件创建服务(RaaS)
ransomware-as-a-service为以服务模式启动的勒索软件,部署在暗网中,含有免杀技术策略,白加黑调用,含有合法签名等,为制作勒索软件创建便利条件。
勒索软件制作速成如下图所示:
图5.3.2勒索软速成
勒索病毒的传播方式以三大类为主,分别为钓鱼邮件、漏洞利用、RDP破解,占77%。如下图所示:
图5.4勒索软传播方式统计
勒索软件的攻击目标仍然以个人终端为主,占71%,服务器端占25%,包括企业服务器(医疗,自来水厂等)。
图5.5勒索软攻击目标统计
选择具有代表性的勒索软件所加密的文件数量展示,其中crysis家族活跃度较强,加密的文件种类最多,如下图:
图5.6勒索软件加密文件种类统计
注:微信支付(cheat)和GlobeImposter具有排除指定目录,其它目录文件全部加密。
勒索软件支付赎金方式仍然以比特币为主,占86%,如下图所示:
图5.7勒索软件支付方式统计
目前勒索软件大部分都是用无c2服务器的方式通讯,占到72%都是通过邮件与黑客联系,如下图所示:
图5.8勒索软件与c2联网情况统计
勒索软件防御措施
(1)安装天融信终端防御系统EDR,保持监控开启,及时升级病毒库;
(2)不打开可疑邮件附件,不点击可疑邮件中的链接;
(3)及时更新系统补丁,防止受到漏洞攻击;
(4)重要文件实时备份。
(1)及时更新系统补丁,防止攻击者通过漏洞入侵系统;
(2)关闭无用的端口,降低被漏洞攻击的风险;
(3)远程维护使用复杂密码;
(4)更改远程访问的默认端口号为其它端口号;
(5)远程维护尽量使用专用远程维护软件,防止被扫描;
(6)有必要安装杀毒软件;
(7)及时更新web服务组件,及时安装补丁,禁止使用web服务弱密码;
(8)及时备份数据库,禁止远程访问,及时更改数据库密码,禁止使用弱密码,更改数据库默认端口,及时安装最新补丁;
(9)及时做web服务器安全检测,有问题及时整改。
CONTACT US