2018上半年勒索病毒趨勢分析
一、勒索病毒表現出五大新特點
通過對勒索病毒的長期監測與跟蹤分析,發現2018年上半年勒索病毒的攻擊目標、傳播方式、技術門檻、新家族/變種、贖金支付方式等方面均呈現出新的特點:
1. Windows伺服器成重災區,中小企業受災嚴重
從2017年下半年開始,勒索病毒的攻擊目標逐漸從個人使用者轉向伺服器及企業使用者,由於這部分電腦的檔案被加密後可能會導致企業服務中斷或正常經營受影響,資料資產價值要遠高於個人使用者,因此主動支付贖金的意願較高。從感染量來說這部分可能並不高,但造成的損失和影響範圍卻遠高於個人使用者。年初國內2家醫院連遭比特幣勒索,所有資料檔案被強行加密,導致系統癱瘓,患者一度無法正常就醫。
中小企業由於在安全方面投入不足,缺乏專業的安全運維,漏洞修補不及時,一直以來都是黑客攻擊的重災區。同時由於檔案被加密後嚴重影響到正常的服務或經營,只能被迫支付贖金,這也進一步助長了勒索病毒對Windows伺服器和中小企業的攻擊,同時也開始出現一些針對特定目標的精準勒索。
2. 通過RDP弱口令暴力破解伺服器密碼人工投毒成為主流傳播方式
勒索病毒之前的傳播手段主要以釣魚郵件、網頁掛馬、漏洞利用為主,例如Locky在高峰時期僅一家企業郵箱一天之內就遭受到上千萬封勒索釣魚郵件攻擊。然而,從2016年下半年開始,隨著Crysis/XTBL的出現,通過RDP弱口令暴力破解伺服器密碼人工投毒(常伴隨共享資料夾感染)逐漸成為主角。到了2018年,幾個影響力最大的勒索病毒幾乎全都採用這種方式進行傳播,這其中以GlobeImposter、Crysis為代表,感染使用者數量最多,破壞性最強。
3. 新家族不斷增多,變種更新頻繁
從Locky、Cerber、WannaCry、NotPetya、GlobeImposter、Crysis、Satan等到後來的GandCrab、MindLost、Blackrouter、Avcrypt、Scarab、Paradise乃至XiaoBa、麒麟2.1等國產化勒索病毒,勒索病毒陣營不斷壯大的同時變種也不斷增多。典型的如“後起之秀“GandCrab,從2018年1月份被發現至今,半年不到的時間已經經歷了4個大版本的更新。
4. 受害者支付贖金的方式多樣化
除比特幣外,門羅幣、以太幣逐漸被接受用於支付贖金(上海某公立醫院系統被黑,黑客勒索價值2億元以太幣),GandCrab則盯上了更加小眾的DASH幣(達世幣,匿名性更高)。年初國外網路安全機構近日截獲一組名為MindLost的新型勒索病毒,和以往的勒索病毒最大不同在於,MindLost不再要求“中招”使用者使用比特幣等數字貨幣支付贖金,而是要求受害者使用信用卡或借記卡支付贖金,以此來套取銀行卡資訊,進而將此資訊出售給不法分子牟取更大利益。通過QQ等聊天工具傳播的國產勒索病毒"麒麟2.1"則更是支援支付寶掃碼轉賬。
5. 病毒製作和傳播門檻不斷降低
RDP 暴力破解是目前的主要傳播方式,而且這種方式呈現流水化作業方式,爆破方和最終的病毒投放者可能是不同的團伙,後者可在黑產地下市場購買所謂的肉雞進行勒索攻擊。病毒製作也無需投放者親自開發,黑產地下市場同樣可購買專業的病毒製作工具,簡單填寫有幾個引數就可生成新款的病毒程式,這更加降低了勒索病毒的技術門檻。
漏洞利用方面,大多借助成熟的利用工具進行攻擊。比如2017年5.12日Wannacry爆發,“永恆之藍”利用公開化,便出現了一系列利用“永恆之藍”傳播的勒索病毒、挖礦等惡意程式。還有RIG、GrandSoft等漏洞利用工具包、Flash 0day (CVE-2018-4878)、JBOSS反序列化漏洞(CVE-2017-12149)、JBOSS預設配置漏洞(CVE-2010-0738)、Weblogic WLS 元件漏洞(CVE-2017-10271)、PUT任意上傳檔案漏洞、Tomcat Web管理後臺弱口令爆破等也被廣泛利用。主攻Windows伺服器的Satan勒索病毒的開發者甚至允許使用者通過網站生成自己的Satan變種,並且提供CHM和帶巨集指令碼Word文件的下載器生成指令碼。AutoIt等指令碼語言甚至採用一些正常的檔案、磁碟加密軟體用於勒索,勒索病毒從製作到傳播的技術門檻不斷降低。
二、最為活躍的四大勒索病毒家族
Globelmposter、Crysis、GandCrab、Satan是2018年上半年最為活躍的四大勒索病毒家族,傳播量佔到上半年勒索病毒傳播總量的90%以上。
其中,GandCrab是2018年出現的新星,截至目前已經迅速迭代至4.1版本;Satan在半年時間內則更新了3大版本;期間更有國內外各種新型勒索病毒不斷出現,比如肆虐北美的Samsam,以及2017年開始攻擊韓國的Magniber 2018年上半年也開始進入我國,給網路安全及網路基礎設施造成了嚴重的危害,波及人們日常生活的方方面面。
1. Globelmposter
Globelmposter家族在2017年5月份被首次發現,後陸續發現.freeman、.panda、.reserve、.true+、.walker、.gotham、.techno、.chak等多個變種。
今年春節剛過,國內2家醫院先後被Globelmposter勒索病毒(.true變種)大規模攻擊,要求6個小時內支付1個比特幣,造成醫院系統癱瘓,大批患者滯留、無法正常就醫。
2. Crysis
2016年2月,惡意軟體Crysis開始加入勒索功能,並於8月份被發現用於攻擊澳大利亞和紐西蘭的企業。10月出現的XTBL變種則明確通過RDP暴力破解進行傳播,中國境內有部分個人和企業開始受到攻擊。Crysis後續不斷髮現有.dharma、.arena、.java、.arrow、.bip等變種在國內傳播。
GlobeImposter和Crysis傳播方式比較相似,根據我們對受害使用者的分析發現主要是下面幾種情況導致:第一大類為RDP爆破的方式,黑客遠端登入使用者計算機手動解除安裝或利用黑客工具關閉防毒軟體後人工投毒;其次則是由於檔案共享的原因被加密,這類使用者一般本機並沒有感染病毒,而是區域網內其它機器染毒,造成這臺機器共享出去的檔案被加密。還有就是黑客一旦通過伺服器登入進入內網後,會採用包括RDP爆破、Mimikatz滲透等方式進行內網橫向移動,因此往往這種勒索病毒在同一個受害使用者內部有多臺機器被同時感染。正是上述原因使得GlobeImposter和Crysis成為感染量最多的勒索病毒。截至目前我們接到的使用者反饋幾乎全都是這種感染,這說明,繼RDP暴力破解的傳播方式在2017年成為主流後,2018年上半年仍是以此種方式為主。此外,釣魚郵件、破解軟體及偽裝成正常程式誘導使用者點選等也是其傳播的渠道,不過量相對較少。Crysis和GlobeImposter勒索病毒的不同變種會有不同的聯絡郵箱,這意味著不同變種背後可能有不同的團隊在傳播。
3. GandCrab
GandCrab勒索病毒最早發現於2018年1月份,短短半年時間歷經4大版本更新,7.1號出現的最新版本會將檔案加密為.KRAB字尾(國內已有傳播),跟之前版本一樣要求受害者通過TOR付款網站獲取贖金金額:價值約1200-1600美金的比特幣/達世幣。
該病毒主要通過釣魚郵件、網頁掛馬、瀏覽器漏洞及捆綁在破解軟體中傳播,此外還多次被發現通過偽裝成網頁亂碼及Flash播放異常,誘導使用者下載“字型更新”和“Flash“程式,該病毒截至目前尚未發現具有自動網路傳播感染能力。
4. Satan
撒旦(Satan)勒索病毒首次出現2017年1月份,Satan病毒的開發者通過網站(已關閉)允許使用者生成自己的Satan變種,並且提供CHM和帶有巨集指令碼的WORD文件下載器的生成指令碼。截至2018年6月,Satan已更新至第四個大版本(其中有3個大版本是最近半年更新的),加密字尾從.stn變為.dbger,贖金也從0.1個比特幣一路上漲至1個比特幣,並聲稱超過三天不付贖金就不會再幫助使用者解密檔案。
傳播上除RDP遠端爆破、“永恆之藍“外,還利用了Weblogic WLS 元件漏洞(CVE-2017-10271)、Tomcat web管理後臺弱口令爆破、Put任意上傳檔案漏洞、JBoss反序列化漏洞(CVE-2017-12149)等一系列Web伺服器漏洞,主要針對伺服器的資料庫檔案進行加密,非常具有針對性。
三. 拒絕勒索病毒的技巧
提醒各位個人使用者及企業內網、伺服器管理員養成良好的安全習慣,提高風險防範意識,並正確使用安全軟體,避免勒索病毒給我們的工作和生活造成嚴重影響或重大損失:
(1)避免弱口令,弱口令是目前主機安全第一大安全隱患,應力避。建議登入口令儘量採用大小寫、字母、數字、特殊符號混合的組合結構,且口令位數應足夠長,並在登陸安全策略裡限制登入失敗次數,定期更換登入口令。
(2)多臺機器不使用相同或相似的口令。
(3)重要資料定期隔離備份。
(4)定期檢測系統漏洞並修復,及時更新Flash、Java、以及一系列Web服務程式,打齊安全補丁。
(5)共享資料夾設定訪問許可權管理,儘量採用雲協作或內部搭建的wiki系統實現資料共享。
(6)如非需要,儘量關閉3389、445、139、135等不用的高危埠,禁用Office巨集。
(7)不要點選陌生連結、來源不明的郵件附件,開啟前使用安全掃描,確認安全性,儘量從軟體管家或官網等可信渠道下載軟體。
(8)安裝專業的安全防護軟體,保持監控開啟,並經常更新病毒庫。
(9)對於安全軟體報毒的程式,特別是輔助、破解類軟體不要主觀覺得是誤報,儘量上傳至VT等線上掃描引擎查下報毒情況。