2018年勒索病毒威脅態(tài)勢全報告
9、“麒麟2.1”的勒索病毒
2018年3月1日,監(jiān)測到了“麒麟2.1”的勒索病毒。通過QQ等聊天工具傳文件方式傳播,一旦中招就會鎖定電腦文件,登錄后會轉走支付寶所有余額。中招后,它會鎖定電腦文件,表面上要求掃碼用支付寶付款3元,但實際上掃碼是登錄支付寶,登錄后會轉走支付寶所有余額。
10、2018年3月,CrySiS勒索病毒爆發(fā)
服務器文件被加密為.java后綴的文件,采用RSA+AES加密算法,主要運用了Mimikatz、IP掃描等黑客工具,進行RDP爆破,利用統(tǒng)一密碼特性,使用相同密碼對全網(wǎng)業(yè)務進行集中攻擊,通過RDP爆破的方式植入,同時此勒索病毒在最近也不斷出現(xiàn)它的新的變種,其加密后綴也不斷變化之中。
11、2018年12月1日,一個以微信為支付手段的勒索病毒在國內(nèi)爆發(fā)
幾日內(nèi),該勒索病毒至少感染了10萬臺電腦,通過加密受害者文件的手段,已達到勒索贖金的目的,而受害者必需通過微信掃一掃支付110元贖金才能解密。
2018年6月,羅某某自主研發(fā)出病毒“cheat”,用于盜取他人支付寶的賬號密碼,進而以轉賬方式盜取資金。
同時制作內(nèi)含“cheat”木馬病毒代碼的某開發(fā)軟件模塊,在互聯(lián)網(wǎng)上發(fā)布,任何通過該開發(fā)軟件編寫的應用軟件均包含木馬病毒代碼,代碼在后臺自動運行,記錄用戶淘寶、支付寶等賬號密碼,以及鍵盤操作,上傳至服務器。此外,嫌疑人通過執(zhí)行命令對感染病毒的計算機除系統(tǒng)文件、執(zhí)行類文件以外的所有文件進行加密,隨后彈出包含解密字樣和預置微信收款二維碼的勒索界面,解密程序標題顯示“你的電腦已被加密,請執(zhí)行以下操作,掃一掃二維碼,你需要支付110進行解密”。
4 常見傳播方式
勒索病毒的傳播方式有很多,比如服務器入侵傳播、利用漏洞傳播、郵件附件傳播、通過軟件供應鏈傳播和掛馬網(wǎng)頁傳播等,我們這里總結了幾種最常見傳播方式。
4.1郵件附件傳播
通過偽裝成產(chǎn)品訂單詳情或圖紙等重要文檔類的釣魚郵件,在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開郵件附件,便會執(zhí)行里面的腳本,釋放勒索病毒。這類傳播方式的針對性較強,主要瞄準公司企業(yè)、各類單位和院校,他們最大的特點是電腦中的文檔往往不是個人文檔,而是公司文檔。最終目的是給公司業(yè)務的運轉制造破壞,迫使公司為了止損而不得不交付贖金。
如Locky病毒,該病毒一般是通過郵件方式進行傳播,黑客對目標對象發(fā)送帶有附件的惡意郵件,員工或者領導一旦打開附件后,電腦、手機上的各種重要文件,包括軟件源代碼、Word、PPT、PDF、圖片等都會被加密,無法正常使用。
4.2服務器入侵傳播
以Crysis家族為代表的勒索軟件主要采用此類攻擊方式。黑客首先通過弱口令、系統(tǒng)或軟件漏洞等方式獲取用戶名和密碼,再通過RDP(遠程桌面協(xié)議)遠程登錄服務器,一旦登錄成功,黑客就可以在服務器上為所欲為,例如:卸載服務器上的安全軟件并手動運行勒索軟件。所以,在這種攻擊方式中 ,一旦 服務器被入侵,安全軟件一般是不起作用的。
服務器能夠被成功入侵的主要原因還是管理員的帳號密碼被破解。而造成服務器帳號密碼被破解的主要原因有以下幾種:為數(shù)眾多的系統(tǒng)管理員使用弱密碼,被黑客暴力破解;還有一部分是黑客利用病毒或木馬潛伏在用戶電腦中,竊取密碼;除此之外還有就是黑客從其他渠道直接購買賬號和密碼。黑客得到系統(tǒng)管理員的用戶名和密碼后,再通過遠程登錄服務器,對其進行相應操作。
4.3軟件供應鏈攻擊傳播
軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系,在合法軟件正常傳播和升級過程中,利用軟件供應商的各種疏忽或漏洞,對合法軟件進行劫持或篡改,從而繞過傳統(tǒng)安全產(chǎn)品檢查達到非法目的的攻擊類型。
2017年爆發(fā)的Fireball、暗云III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner等,以及2018年12月被曝光的國產(chǎn)“cheat”后門事件均屬于軟件供應鏈攻擊。而在烏克蘭爆發(fā)的類Petya勒索軟件事件也是其中之一,該病毒通過稅務軟件M.E.Doc的升級包投遞到內(nèi)網(wǎng)中進行傳播。
4.4漏洞傳播
漏洞傳播存在多種類型。
1、通過服務器弱口令傳播
如Rapid勒索病毒,根據(jù)部分網(wǎng)友在部分論壇中的反饋發(fā)現(xiàn),該病毒通過服務器弱口令方式傳播。
2、永恒之藍系列
①Wannacry及其變種可謂該系列病毒中最為臭名昭著的一類了,爆發(fā)以來造成的損失不計其數(shù),包括安全狗在內(nèi)的眾多廠商均針對該系列病毒推出過解決方案。
②Petya勒索病毒的變種。使用的傳播攻擊形式和WannaCry類似,但該病毒除了使用了永恒之藍(MS17-010)漏洞,還罕見的使用了黑客的橫向滲透攻擊技術,利用WMIC/PsExec/mimikatz等
③Satan勒索病毒。通過永恒之藍漏洞攻擊工具在局域網(wǎng)內(nèi)橫向傳播,主動入侵未安裝補丁的服務器
3、利用掛馬網(wǎng)頁傳播
通過入侵主流網(wǎng)站的服務器,在正常網(wǎng)頁中植入木馬,讓訪問者在瀏覽網(wǎng)頁時利用IE或Flash等軟件漏洞進行攻擊。這類勒索軟件屬于撒網(wǎng)抓魚式的傳播,并沒有特定的針對性,一般中招的受害者多數(shù)為裸奔用戶,未安裝任何殺毒軟件。
4、復合傳播方式
I、GandCrab家族勒索病毒
傳播渠道相對其他家族豐富很多,包括掛馬攻擊、水坑攻擊、漏洞攻擊和釣魚郵件攻擊,其中水坑攻擊令人防不勝防。水坑攻擊傳播通過入侵網(wǎng)站后臺,將網(wǎng)頁內(nèi)容篡改為亂碼,并且提示需要更新字體,誘導用戶下載運行“字體更新程序”,實際上用戶下載到的是GandCrab2勒索病毒。GandCrab3勒索病毒還通過Bondat蠕蟲下載傳播。
II、Crysis勒索軟件
Crysis這個勒索軟件主要通過垃圾郵件、釣魚郵件、游戲修補程序、注冊機、捆綁破解軟件等方式傳播;有的廠商則認為主要傳播方式是利用服務器弱口令漏洞,爆破遠程登錄用戶名和密碼,進而通過RDP(遠程桌面協(xié)議)遠程登錄目標服務器運行勒索病毒,黑客遠程登錄服務器后手動操作。
III、GlobeImposter勒索者病毒
GlobeImposter勒索者病毒可以利用電子郵件、文件傳輸?shù)确绞竭M行擴散,更主要的特點是利用系統(tǒng)的漏洞發(fā)起動態(tài)攻擊。針對企業(yè)服務器的攻擊以弱口令爆破服務器后遠程登錄的方式最為常見。黑客使用自動化攻擊腳本,暴力破解服務器管理員賬號密碼,入侵后可秘密控制服務器,卸載服務器上的殺毒軟件并植入勒索病毒。
5、總結
黑客為了提高勒索軟件的傳播效率,也在不斷更新攻擊方式,釣魚郵件傳播依然是黑客常用的傳播手段,服務器入侵的手法更加嫻熟運用,同時也開始利用系統(tǒng)自身的漏洞進行傳播。
5 針對企業(yè)服務器勒索攻擊
5.1以企業(yè)服務器為攻擊目標已成勒索病毒新趨勢
從去年下半年開始,勒索病毒在國內(nèi)的攻擊重點開始轉向了各類服務器,尤其以windows服務器為甚。黑客利用弱口令和各類系統(tǒng)漏洞,軟件漏洞向服務器遠程滲透投毒,經(jīng)常出現(xiàn)一個服務集群多臺主機被感染的情況,造成的影響輕則服務中斷,有嚴重的更影響到整個公司的運營,已經(jīng)成為影響企業(yè)安全的一大問題。
企業(yè)服務器上的數(shù)據(jù)文件一旦被加密,將嚴重威脅到公司的正常運轉,企業(yè)也更傾向于向不法黑客交付贖金。服務器或將成為不法黑客傳播勒索病毒的重點攻擊目標。
2018開年以來,針對Windows服務器的勒索病毒攻擊此起彼伏,尤其是最近國內(nèi)數(shù)家機構服務器同時被GlobeImposter勒索病毒攻擊,黑客在突破企業(yè)防護邊界后釋放并運行勒索病毒,最終導致系統(tǒng)被破壞,日常業(yè)務大面積癱瘓,服務器安全問題開始備受關注。
6 勒索攻擊發(fā)展趨勢
1、遠程訪問弱口令攻擊成為主流
許多企業(yè)工作中需要進行遠程維護,所以許多機器都啟用了遠程訪問。如果密碼過于簡單,它將很容易被攻擊者利用。到了2018年,通過弱口令爆破遠程登錄服務器、再植入勒索病毒的攻擊方式最為常見。幾個影響力最大的勒索病毒幾乎全都采用這種方式進行傳播,感染用戶數(shù)量最多。
2、勒索病毒變種更新迭代更快
勒索病毒每隔一段時間就會出現(xiàn)一個新變種,有的修改加密算法,增加了加密速度,有的為了對抗查殺,使用了免殺、反逆向、反沙箱等手段。此外有的勒索病毒新版本開始使用隨機后綴,從而增加了受害者查找所中勒索病毒類型的難度。
3、國產(chǎn)勒索病毒開始活躍
最近針對國內(nèi)用戶的勒索病毒流行,此類通常會使用全中文的勒索提示界面,個別會要求直接通過微信、支付寶二維碼的形式來索取贖金。鑒于國內(nèi)移動支付操作簡單,與其它語言版本的勒索病毒相比,索取的贖金數(shù)值不高且支付操作簡單,因此受害者支付贖金的可能性更高。
4、勒索門檻越來越低
隨著各種編程語言編寫的勒索病毒的出現(xiàn),勒索軟件的開發(fā)門檻越來越低。而且我們發(fā)現(xiàn)繼使用PHP、Python等語言之后,另一種更簡單易用的腳本語言——AutoIt語言也被發(fā)現(xiàn)用于編寫勒索病毒,加上網(wǎng)上迅速傳播的一些勒索病毒的技術細節(jié),導致了勒索病毒從制作到傳播的技術門檻不斷降低。
5、內(nèi)網(wǎng)安全重視程度亟需加強
Wannacry集中爆發(fā)在企業(yè)和高校等組織的內(nèi)網(wǎng),核心原因還是內(nèi)網(wǎng)安全重視程度不夠,MS17-010漏洞遲遲未得到修復,很多內(nèi)網(wǎng)主機445文件共享端口未被禁用是主要原因。
如果內(nèi)網(wǎng)提前做安全加固,比如及時修復MS17-010 SMB服務遠程代碼執(zhí)行漏洞,針對Windows系統(tǒng)不安全項做核查修復(比如禁用SMB服務),定期異地備份系統(tǒng)數(shù)據(jù)等亦可避免感染這次的Wannacry勒索蠕蟲或降低勒索蠕蟲感染帶來的損失。無論是內(nèi)網(wǎng)還是外網(wǎng),定期的防黑加固甚至一套完整的縱深防御體系建設應該被重視并予以執(zhí)行。
7 如何防范勒索病毒?
7.1對勒索病毒的方法
第一,已知病毒。對于已知病毒的防范,技術手段比較多,首先是把相關補丁打上,然后將殺毒軟件、IPS、WAF等安全設備的事件庫升級到最新版本,基本就能有效防范已知的勒索病毒。
第二,未知病毒。對于未知病毒的防范一直以來都是個難點,基本上所有中招的單位中的都是未知勒索病毒。針對這種病毒的防范,只能采用主動防護的措施,從系統(tǒng)底層采用白名單技術,嚴格控制對系統(tǒng)中文件的操作權限,禁止非信任程序對文件的加密操作,可以有效的防止新勒索病毒的攻擊。對勒索病毒的防護還是應該采用主動防護的措施,事先部署防勒索系統(tǒng),將重要文件保護起來。
勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:
1、.數(shù)據(jù)備份和恢復:可靠的數(shù)據(jù)備份可以將勒索軟件帶來的損失最小化,但同時也要對這些數(shù)據(jù)備份進行安全防護,避免被感染和損壞。
2、小心使用不明來源的文件,陌生郵件及附件也需謹慎打開
3、安裝安全防護軟件并保持防護開啟狀態(tài)
4、及時安裝Windows漏洞補!
5、同時,也請確保一些常用的軟件保持最新版本,特別是Java,F(xiàn)lash和Adobe Reader等程序,其舊版本經(jīng)常包含可被惡意軟件作者或傳播者利用的安全漏洞。
6、為電腦設置較強的密碼——尤其是開啟遠程桌面的電腦。并且不要在多個站點重復使用相同的密碼。
7、安全意識培訓:對員工和廣大計算機用戶進行持續(xù)的安全教育培訓是十分必要的,應當讓用戶了解勒索軟件的傳播方式,如社交媒體、社會工程學、不可信網(wǎng)站、不可信下載源、垃圾郵件和釣魚郵件等。通過案例教育使用戶具備一定的風險識別能力和意識。
目前,勒索軟件仍然是一項頂級的流行性安全威脅。為了攻擊大型企業(yè)和組織,勒索軟件不斷研究新型變體,企業(yè)機密文件和數(shù)據(jù)的安全風險與日俱增。結合了基于信任的行為分析和其他反勒索軟件功能(如白名單和應用程序控制,行為分析,網(wǎng)絡監(jiān)控,漏洞屏蔽和高仿真機器學習)的跨代技術方式的安全解決方案可以更好地保護企業(yè),同時最大限度地減少對其計算機內(nèi)部資源的影響。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結構工程師 廣東省/深圳市