勒索软件大起底(上篇)

admin 2023年4月23日23:06:01评论15 views字数 2986阅读9分57秒阅读模式

1

概述


随着网络货币的蓬勃发展,因其支付方式的隐蔽性,使得勒索软件也兴盛起来。勒索软件作为一种犯罪手段完美诠释了网络时代的高科技犯罪 -- 天不怕,地不怕,就怕流氓有文化。2016年应该算是勒索软件的爆发年,在2016年, 新出现的勒索病毒种类暴涨了近8倍,收取的赎金接近10亿美元。而在2017年,由勒索软件造成的花费达到50亿美元。Cybersecurity Ventures预测,在2019年,这一数字可能会攀升至115亿美元。

因此,分析勒索软件的一般套路,了解其基本原理,熟悉应对措施等对于将来可能出现新型勒索软件的及时应对具有非常积极和重大的意义。

本文针对勒索软件进行一个大起底,涵盖勒索类型、攻击手段、本地行为、攻击图谱、紧急应对、发展趋势、手机勒索等,以期读者可以从中获取启发,或者防御、或者紧急应对,从而避免走弯路。

2

勒索软件的定义


勒索软件(ransomware)是一种网络犯罪手段。它通过各种手段绑架用户数据、系统,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。

3

勒索软件的类型


根据勒索软件对受害者系统采取的措施,主要可以分为以下几类:

(1)绑架用户数据

使用加密算法(如AES、RSA等)将用户的文件进行加密,用户在没有秘钥的情况下无法操作自己的文件。用户可以访问设备,但是对设备内的数据无法操作。

典型勒索软件有:Wannacry,GlobeImposter,CryptoLocker,TeslaCrypt等。

(2)锁定用户设备

不加密用户的文件,但是通过修改一些配置或者系统文件,使得用户无法进入设备。

典型勒索软件有:NotPetya等。

(3)锁定用户设备和绑架数据

既加密用户文件,又锁住用户设备。是1和2的结合体。

典型的例子有:BadRabbit等。


4

勒索软件的攻击手段

勒索软件大起底(上篇)

1、通用手段

(1)垃圾邮件传播

这是勒索软件最为广泛的攻击方式。

利用社会工程学方法,发送假冒的电子邮件,将恶意脚本/程序掩盖为普通的文件,欺骗受害者下载、运行。

利用一些僵尸网络,更能增加欺骗的概率。如GameOverZeus僵尸网络,会使用MITB技术窃取银行凭证,通过该僵尸网络来分发钓鱼邮件,受害者非常容易相信。该僵尸网络被CrytoLocker等勒索软件利用来分发钓鱼邮件。

代表:Locky、Cerber、GlobeImposter...

(2)水坑攻击

勒索者利用有价值/权威/访问量较大网站的缺陷植入恶意代码,当受害者访问该网址,或者误以为下载可信文件时便会中招。

代表:Cerber、GandCrab…

(3)捆绑传播

勒索软件与正常合法软件一起捆绑发布在各大下载站或者论坛,当用户下载该软件后便会中招。

(4)利用已知漏洞攻击

利用系统或者第三方软件存在的漏洞实施攻击。例如Wannacry便利用了SMBV1的一组漏洞进行攻击和传播。

代表:WannaCry、Satan...

(5)定向攻击

针对服务器、个人用户或特定目标,通过使用弱口令、渗透、漏洞等方式获取相应权限。例如NotPetya会使用口令暴力破解在局域网内传播。

代表:Crysis、GlobeImposter...

(6)软件供应链传播

病毒制作者通过入侵软件开发、分发、升级服务环节,软件开发过程中,就会在产品组件中混入病毒,通过入侵、劫持软件下载站、升级服务器,当用户正常进行软件安装、升级时勒索病毒趁虚而入。

这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽,危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。

代表:Petya

(7)文件感染传播

PolyRansom利用感染型病毒的特点,加密用户所有文档后再弹出勒索信息,而由于PE类文件被感染后具有了感染其他文件的能力,因此如果此文件被用户携带(U盘、网络上传等)到其他电脑上运行,就会使得该电脑的文件也被全部感染加密。

代表:PolyRansom

(8)网络共享文件

一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,不法黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。

代表:暂时主要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。

此外,不法黑客还常会编造出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。

(9)以上几种的组合联合攻击

通常来说,勒索软件不会只采取一种方式来进行攻击和传播,通常会是几种的组合。

2、利用的漏洞

我对历史上比较重大勒索进行分析,发现勒索软件主要利用了以下组件进行入侵和传播

勒索软件大起底(上篇)
勒索软件大起底(上篇)
勒索软件大起底(上篇)
勒索软件大起底(上篇)
勒索软件大起底(上篇)

3、利用的高危端口

通过对历史勒索软件进行分析,主要利用了如下高危端

勒索软件大起底(上篇)

此之外,还有一些其它高危端口,同样需要注意

勒索软件大起底(上篇)
勒索软件大起底(上篇)
勒索软件大起底(上篇)
勒索软件大起底(上篇)

5

勒索软件的本地行为

1、中招现象

本地感染勒索软件,一般主要有以下特征(全有或者部分有):

(1)电脑桌面壁纸被篡改

为了让受害者第一时间感知到被病毒入侵,部分情况下会修改用户当前电脑桌面壁纸,告知受害者当前已被病毒感染,需要缴纳赎金行为,下图为GandCrab勒索病毒感染后修改壁纸为黑色背景且有勒索提示信息。


勒索软件大起底(上篇)

(2)有明显的勒索信息展示窗口

勒索病毒加密文件完成后,通常会在被加密文件所在目录下创建一个勒索提示说明文档。为了更加直观,勒索病毒加密文件完成后通常会自动打开该文档。该说明文档通常为txt或html文件类型,部分病毒也会直接使用病毒程序弹出窗口的形式来展示勒索信息。

勒索软件大起底(上篇)

或者

勒索软件大起底(上篇)

(3)文件后缀被修改且文件使用打开异常

勒索病毒通常为了标识文件是否被自身加密过,当对文件加密完成后,通常情况下会修改被加密文件的原始后缀, 被修改后的文件后缀区别于常见文件类型,通过该后缀也可判断确诊是否遭受到了勒索病毒攻击,下图为图片文件被加密后添加了dlkjq后缀,此时该图片文件已无法正常打开使用。


勒索软件大起底(上篇)

(4)系统无法启动并显示勒索界面

某些勒索病毒会直接强制关闭并加密系统文件,导致系统无法重启,在系统启动过程中显示勒索信息,比如Petya

勒索软件大起底(上篇)

2、本地行为

(1)通常来说,勒索软件首先抵达用户系统的是一个downloader;

(2)downloader感染用户系统后,会自动运行并下载勒索软件本体;

(3)然后勒索软件本体自动运行并与C&C建立联系,并按照指令进行一系列操作:

    根据指令或者下载的工具箱进行横向传播或者继续对外感染;

    根据接收到的秘钥加密用户文件;

    关闭杀软等安全服务,避免自身被查杀;

检查环境是否为沙箱并采取一系列措施(删除工具箱及自身程序等)保证自身运行安全。

(4)最重要的行为就是“勒索软件类型”中的3种行为,绑定用户,弹出勒索界面,并索要赎金。为保证付款的隐蔽性,通常会选择网络货币支付方式进行勒索。

于勒索软件识别,攻击图谱等内容,我们将在本公众号的《勒索软件大起底(下篇)》继续探讨,敬请期待!

原文始发于微信公众号(华为安全应急响应中心):勒索软件大起底(上篇)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月23日23:06:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   勒索软件大起底(上篇)https://cn-sec.com/archives/1684871.html

发表评论

匿名网友 填写信息