報(bào)告摘自騰訊安全管家
【文章摘要】縱觀(guān)整個(gè)2017年种柑,網(wǎng)絡(luò)安全防線(xiàn)多次面臨勒索病毒事件的重大沖擊膊存。本文通過(guò)分析勒索病毒常見(jiàn)傳播方式和盤(pán)點(diǎn)2017年重大勒索病毒事件诚隙,對(duì)2018年勒索病毒傳播新趨勢(shì)做出預(yù)判厨埋,為普通用戶(hù)和企業(yè)用戶(hù)提供相應(yīng)的安全建議撤缴。
0×1 概述
縱觀(guān)整個(gè)2017年饿悬,網(wǎng)絡(luò)安全防線(xiàn)多次面臨勒索病毒事件的重大沖擊令蛉。2017年5月WannaCry勒索病毒的爆發(fā),被認(rèn)為是迄今為止最嚴(yán)重的勒索病毒事件狡恬,至少150個(gè)國(guó)家珠叔、30萬(wàn)名用戶(hù)中招,造成損失達(dá)80億美元弟劲。此后祷安,勒索病毒持續(xù)活躍,6月份Petya勒索病毒席卷歐洲多個(gè)國(guó)家兔乞,政府機(jī)構(gòu)汇鞭、銀行、企業(yè)等均遭大規(guī)模攻擊庸追。10月份“Bad Rabbit”(壞兔子)勒索軟件導(dǎo)致“東歐陷落”虱咧,包括烏克蘭與俄羅斯在內(nèi)的東歐公司受災(zāi)嚴(yán)重。
勒索病毒及其變種的頻繁出現(xiàn)锚国,也嚴(yán)重威脅到普通用戶(hù)的上網(wǎng)安全腕巡。根據(jù)騰訊電腦管家檢測(cè)到的敲詐勒索病毒顯示,2017全年總計(jì)已發(fā)現(xiàn)敲詐勒索病毒樣本數(shù)量在660萬(wàn)個(gè)血筑,平均每月檢測(cè)到敲詐勒索病毒數(shù)量近55萬(wàn)個(gè)绘沉。Q3季度為4個(gè)季度中檢測(cè)病毒的高峰,檢測(cè)量為180萬(wàn)個(gè)豺总。
本文通過(guò)分析勒索病毒常見(jiàn)傳播方式和盤(pán)點(diǎn)2017年重大勒索病毒事件车伞,對(duì)2018年勒索病毒傳播新趨勢(shì)做出預(yù)判,為普通用戶(hù)和企業(yè)用戶(hù)提供相應(yīng)的安全建議喻喳。
0×2 勒索病毒七大傳播方式
不法黑客通過(guò)文件加密或屏幕鎖定的方式要求中招者支付一定數(shù)額的贖金另玖,其中文件加密是最為普遍的勒索方式。不法黑客往往利用RSA、AES等加密算法對(duì)文件進(jìn)行加密谦去,除非拿到對(duì)應(yīng)的密鑰慷丽,否則難以通過(guò)第三方自行解密。
勒索病毒不僅能加密文件鳄哭、破壞力大要糊,并且傳播范圍也相當(dāng)廣。常見(jiàn)的勒索病毒家族如Cerber妆丘、Locky锄俄、GlobeImposter等系列,通過(guò)掛馬勺拣、釣魚(yú)郵件等多種傳播方式奶赠,往往能在短時(shí)間內(nèi)達(dá)到數(shù)十萬(wàn),甚至上百萬(wàn)的傳播量級(jí)药有,并且無(wú)明顯的地域限制毅戈。另外較為常見(jiàn)的有針對(duì)服務(wù)器的XTBL家族,傾向于利用各種漏洞發(fā)起勒索攻擊塑猖。
1. 郵件附件傳播
通過(guò)郵件附件進(jìn)行傳播的勒索病毒通常會(huì)偽裝成用戶(hù)常查看的文檔竹祷,如信用卡消費(fèi)清單谈跛、產(chǎn)品訂單等羊苟。附件中會(huì)隱藏惡意代碼,當(dāng)用戶(hù)打開(kāi)后惡意代碼便會(huì)開(kāi)始執(zhí)行感憾,釋放病毒蜡励。不法黑客往往會(huì)將攜帶病毒的文件通過(guò)郵件批量發(fā)送給企業(yè)、高校阻桅、醫(yī)院機(jī)構(gòu)等單位凉倚,這些單位中的電腦中通常保存較重要的文件,一旦被惡意加密嫂沉,支付贖金的可能性遠(yuǎn)遠(yuǎn)超過(guò)普通個(gè)人用戶(hù)稽寒。
2. 網(wǎng)站掛馬傳播
網(wǎng)站掛馬是在獲取網(wǎng)站或者網(wǎng)站服務(wù)器的部分或全部權(quán)限后,在網(wǎng)頁(yè)中插入一段惡意代碼趟章,這些惡意代碼主要是一些IE等瀏覽器的漏洞利用代碼杏糙。用戶(hù)訪(fǎng)問(wèn)被掛馬頁(yè)面時(shí),如果系統(tǒng)此前沒(méi)有修復(fù)惡意代碼中利用的漏洞蚓土,電腦就會(huì)執(zhí)行相關(guān)惡意代碼宏侍。
病毒也可以利用已知的軟件漏洞進(jìn)行攻擊,例如利用Flash蜀漆、PDF等軟件漏洞谅河,向網(wǎng)頁(yè)中加入帶有惡意代碼的文件,用戶(hù)使用帶有漏洞的軟件打開(kāi)文件,電腦便會(huì)執(zhí)行惡意代碼绷耍,下載病毒吐限。
3. 入侵服務(wù)器
針對(duì)服務(wù)器的攻擊多通過(guò)遠(yuǎn)程登錄的方法。由于部分服務(wù)器會(huì)使用弱口令遠(yuǎn)程登錄锨天,不法黑客可暴力破解遠(yuǎn)程登錄密碼毯盈,并手動(dòng)下載運(yùn)行勒索病毒。即使服務(wù)器安裝了安全軟件病袄,不法黑客也可手動(dòng)退出搂赋。
4. 利用系統(tǒng)漏洞傳播
5月爆發(fā)的WannaCry就是利用Windows系統(tǒng)漏洞進(jìn)行傳播,利用系統(tǒng)漏洞傳播的特點(diǎn)是被動(dòng)式中毒:用戶(hù)即使沒(méi)有訪(fǎng)問(wèn)惡意站點(diǎn)益缠,沒(méi)有打開(kāi)病毒文件也會(huì)中招脑奠。利用系統(tǒng)漏洞傳播的蠕蟲(chóng)病毒還會(huì)掃描同網(wǎng)絡(luò)中存在漏洞的其他PC主機(jī),只要主機(jī)沒(méi)有打上補(bǔ)丁幅慌,就會(huì)被攻擊宋欺。
5. 網(wǎng)絡(luò)共享文件
一些小范圍傳播的敲詐勒索病毒會(huì)通過(guò)共享文件的方式進(jìn)行傳播,不法黑客會(huì)將病毒上傳到網(wǎng)絡(luò)共享空間胰伍、云盤(pán)齿诞、QQ群、BBS論壇等骂租,以分享的方式發(fā)送給特定人群祷杈,進(jìn)而誘騙其下載安裝。此外渗饮,不法黑客還常會(huì)提示用戶(hù)“殺毒軟件會(huì)產(chǎn)生誤報(bào)但汞,運(yùn)行之前需要退出殺毒軟件”,來(lái)逃避安全軟件的查殺互站。
6. 軟件供應(yīng)鏈傳播
病毒制作者通過(guò)劫持正常軟件的安裝私蕾、升級(jí)服務(wù),在用戶(hù)進(jìn)行正常軟件安裝胡桃、升級(jí)時(shí)植入勒索病毒踩叭。這種傳播方式利用了用戶(hù)與軟件供應(yīng)商之間的信任關(guān)系,成功繞開(kāi)了傳統(tǒng)安全產(chǎn)品的圍追堵截翠胰,傳播方式上更加隱蔽容贝。此前侵襲全球的Petya勒索病毒便是通過(guò)劫持Medoc軟件更新服務(wù)進(jìn)行傳播。
7. 文件感染傳播
利用感染型病毒的特點(diǎn)進(jìn)行傳播亡容,如PolyRansom就是利用感染型病毒的特點(diǎn)嗤疯,加密用戶(hù)所有文檔后再?gòu)棾隼账餍畔ⅲ捎赑E類(lèi)文件被感染后具有了感染其他文件的能力闺兢,因此如果此文件被用戶(hù)攜帶(U盤(pán)茂缚、網(wǎng)絡(luò)上傳等)到其他電腦上運(yùn)行戏罢,就會(huì)使得該電腦的文件也被全部感染加密。
0×3 勒索病毒兩次大規(guī)模攻擊
1. WannaCry勒索病毒
- 事件還原
2017年5月12日脚囊,WannaCry蠕蟲(chóng)通過(guò)MS17-010漏洞在全球范圍大爆發(fā)龟糕,感染了大量的計(jì)算機(jī),該蠕蟲(chóng)感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)植入勒索病毒悔耘,導(dǎo)致電腦文件被大量加密讲岁。
- 感染過(guò)程分析
a) mssecsvc.exe行為
i. 開(kāi)關(guān)
病毒在網(wǎng)絡(luò)上設(shè)置了一個(gè)開(kāi)關(guān),當(dāng)本地計(jì)算機(jī)能夠成功訪(fǎng)問(wèn)http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com時(shí)衬以,則退出進(jìn)程缓艳,不再進(jìn)行傳播感染。目前該域名已被安全公司接管看峻。
ii. 蠕蟲(chóng)行為
通過(guò)創(chuàng)建服務(wù)啟動(dòng)阶淘,每次開(kāi)機(jī)都會(huì)自啟動(dòng)。
從病毒自身讀取MS17_010漏洞利用代碼互妓,playload分為x86和x64兩個(gè)版本溪窒。
創(chuàng)建兩個(gè)線(xiàn)程,分別掃描內(nèi)網(wǎng)和外網(wǎng)的IP冯勉,開(kāi)始進(jìn)行蠕蟲(chóng)傳播感染澈蚌。
對(duì)公網(wǎng)隨機(jī)ip地址445端口進(jìn)行掃描感染。
對(duì)于局域網(wǎng)灼狰,則直接掃描當(dāng)前計(jì)算機(jī)所在的網(wǎng)段進(jìn)行感染宛瞄。
感染過(guò)程凡伊,嘗試連接445端口赞枕。
如果連接成功,則對(duì)該地址嘗試進(jìn)行漏洞攻擊感染。
iii. 釋放敲詐者
b) tasksche.exe行為(敲詐者)
解壓釋放大量敲詐者模塊及配置文件承绸,解壓密碼為WNcry@2ol7
首先關(guān)閉指定進(jìn)程,避免某些重要文件因被占用而無(wú)法感染挣轨。
遍歷磁盤(pán)文件军熏,避開(kāi)含有以下字符的目錄:
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
同時(shí),也避免感染病毒釋放出來(lái)的說(shuō)明文檔卷扮。
病毒加密流程圖
遍歷磁盤(pán)文件荡澎,加密以下178種擴(kuò)展名文件:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
程序中內(nèi)置兩個(gè)RSA 2048公鑰,用于加密晤锹,其中一個(gè)含有配對(duì)的私鑰摩幔,用于演示能夠解密的文件,另一個(gè)則是真正的加密用的密鑰鞭铆,程序中沒(méi)有相配對(duì)的私鑰或衡。
病毒隨機(jī)生成一個(gè)256字節(jié)的密鑰,并拷貝一份用RSA2048加密,RSA公鑰內(nèi)置于程序中封断。
構(gòu)造文件頭斯辰,文件頭中包含有標(biāo)志、密鑰大小坡疼、RSA加密過(guò)的密鑰彬呻、文件大小等信息。
使用CBC模式AES加密文件內(nèi)容柄瑰,并將文件內(nèi)容寫(xiě)入到構(gòu)造好的文件頭后闸氮,保存成擴(kuò)展名為.WNCRY的文件,并用隨機(jī)數(shù)填充原始文件后再刪除教沾,防止數(shù)據(jù)恢復(fù)湖苞。
完成所有文件加密后釋放說(shuō)明文檔,彈出勒索界面详囤,提示用戶(hù)需支付價(jià)值數(shù)百美元不等的比特幣到指定的比特幣錢(qián)包地址财骨,三個(gè)比特幣錢(qián)包地址硬編碼于程序中。
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
2. Petya
- 事件還原
2017年6月27日晚藏姐,Petya勒索病毒爆發(fā)隆箩,歐洲多個(gè)國(guó)家被大規(guī)模攻擊,尤其是烏克蘭羔杨,政府機(jī)構(gòu)捌臊、銀行、企業(yè)等均遭大規(guī)模攻擊兜材,其中烏克蘭副總理的電腦也遭受攻擊理澎。病毒作者要求受害者支付價(jià)值300美元的比特幣之后,才會(huì)回復(fù)解密密鑰曙寡。
- 感染過(guò)程分析
i. 寫(xiě)MBR
0~0x21扇區(qū)保存的是病毒的MBR和微內(nèi)核代碼數(shù)據(jù)糠爬,而原始的MBR被加密保存在第0x22扇區(qū)。
ii. 加密文件
遍歷分區(qū)
要加密的文件類(lèi)型
文件加密過(guò)程
iii. 傳播方式
可能通過(guò)管理共享在局域網(wǎng)內(nèi)傳播举庶,而后通過(guò)wmic來(lái)實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行执隧。
C:\Windows\dllhost.dat \10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"
c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" "c:\windows\perfc.dat" #1
通過(guò)EternalBlue和EternalRomance漏洞傳播。
程序發(fā)動(dòng)攻擊前户侥,先嘗試獲取到可攻擊的IP地址列表:
依次獲榷屏稹:已建立TCP連接的IP、本地ARP緩存的IP以及局域網(wǎng)內(nèi)存在的服務(wù)器IP地址蕊唐。收集完這些地址后屋摔,便進(jìn)行進(jìn)一步攻擊。
0×4 2018年勒索病毒五大形勢(shì)分析
1. 漏洞利用或成為勒索病毒新的傳播方式
2017年幾次大規(guī)模爆發(fā)的勒索病毒替梨,主要是以釣魚(yú)郵件為傳播渠道钓试。而隨著網(wǎng)民安全意識(shí)的提高署尤,釣魚(yú)郵件傳播成功率較之往年已出現(xiàn)降低趨勢(shì)。漏洞利用由于具有較強(qiáng)的自傳播能力亚侠,能在短時(shí)間內(nèi)大范圍傳播曹体,在2018年或?qū)⒏堋安环ê诳汀鼻嗖A。
2. 與安全軟件的對(duì)抗將持續(xù)升級(jí)
隨著安全軟件對(duì)勒索病毒免疫能力的持續(xù)升級(jí)硝烂,安全軟件對(duì)主流的勒索病毒逐漸形成多維度的防御箕别,勒索病毒也需要進(jìn)一步加強(qiáng)與安全軟件的對(duì)抗才能夠提高感染成功率。這種對(duì)抗可能體現(xiàn)在傳播渠道上的多樣化滞谢,也可能表現(xiàn)為樣本上做更多的免殺對(duì)抗串稀。
3. 攻擊目標(biāo)日益精準(zhǔn)化
2017下半年勒索病毒的攻擊目標(biāo)出現(xiàn)明顯的精準(zhǔn)化趨勢(shì),上班人群狮杨、企業(yè)用戶(hù)成功不法黑客的攻擊目標(biāo)母截。該類(lèi)目標(biāo)用戶(hù)往往會(huì)有更多的重要文檔文件,加密后橄教,也會(huì)更加傾向于支付解密贖金清寇。
4. 勒索病毒呈現(xiàn)低成本,蹭熱點(diǎn)特征
隨著勒索病毒技術(shù)細(xì)節(jié)的公開(kāi)护蝶,部分勒索軟件代碼被放在暗網(wǎng)上售賣(mài)华烟,勒索病毒的制作成本出現(xiàn)持續(xù)降低趨勢(shì)。此外持灰,整個(gè)2017年多個(gè)系列的勒索病毒持續(xù)活躍盔夜,間或出現(xiàn)小范圍傳播的勒索病毒,例如“希特勒”堤魁、“WannaSmile”等等喂链。此類(lèi)勒索病毒為實(shí)現(xiàn)更大范圍的傳播,通常會(huì)借勢(shì)節(jié)日熱點(diǎn)和社會(huì)熱點(diǎn)等妥泉,例如萬(wàn)圣節(jié)椭微、圣誕節(jié)等。2018年隨著制作成本的降低涛漂,或?qū)⒊霈F(xiàn)更多蹭熱點(diǎn)的勒索病毒赏表。
5. 國(guó)產(chǎn)勒索病毒開(kāi)始活躍
不法黑客針對(duì)國(guó)內(nèi)用戶(hù)“量身打造”的國(guó)產(chǎn)勒索病毒检诗,通常會(huì)使用全中文的勒索提示界面匈仗,個(gè)別會(huì)要求直接通過(guò)微信、支付寶來(lái)繳納贖金逢慌。在國(guó)內(nèi)悠轩,與其它語(yǔ)言版本的勒索病毒相比,國(guó)產(chǎn)勒索病毒中招者支付贖金的可能性更高攻泼,2017年出現(xiàn)的主要國(guó)產(chǎn)勒索病毒有“云龍”火架、“xiaoba”等鉴象,而2018年或?qū)⒊霈F(xiàn)更多的國(guó)產(chǎn)勒索病毒。
0×5 安全建議
1. 企業(yè)用戶(hù)
企業(yè)用戶(hù)是勒索病毒的“重災(zāi)區(qū)”何鸡,針對(duì)企業(yè)用戶(hù)的攻擊主要有兩種情況:
1) 加密企業(yè)服務(wù)器上的文件
傳播方式:利用弱口令遠(yuǎn)程登錄纺弊、系統(tǒng)或軟件漏洞等
解決方案:及時(shí)給服務(wù)器打好安全補(bǔ)丁,同時(shí)避免使用弱口令骡男,關(guān)閉不必要的端口
2) 加密辦公機(jī)器上的文件
傳播方式:向企業(yè)郵箱發(fā)送釣魚(yú)郵件
解決方案:公司企業(yè)郵箱加強(qiáng)對(duì)釣魚(yú)郵件的攔截淆游,提醒員工不要輕易打開(kāi)來(lái)歷不明的郵件,并且保持安全軟件運(yùn)行狀態(tài)隔盛。
2. 個(gè)人用戶(hù)
個(gè)人用戶(hù)需要警惕來(lái)歷不明的郵件犹菱,保持安全軟件運(yùn)行狀態(tài),及時(shí)修復(fù)電腦漏洞吮炕,并且養(yǎng)成良好的上網(wǎng)習(xí)慣腊脱,不使用外掛等病毒高發(fā)點(diǎn)的工具。
3. 使用“文檔守護(hù)者2.0”等專(zhuān)項(xiàng)工具
騰訊電腦管家推出的“文檔守護(hù)者2.0”龙亲,基于管家的安全防御體系陕凹,通過(guò)對(duì)系統(tǒng)引導(dǎo)、邊界防御鳄炉、本地防御捆姜、執(zhí)行保護(hù)、改寫(xiě)保護(hù)迎膜,備份等多個(gè)環(huán)節(jié)的保護(hù)構(gòu)建完整的防御方案泥技,保護(hù)用戶(hù)的文檔不被加密勒索。除支持包括Bad Rabbit在內(nèi)的已知430多種勒索病毒的免疫之外磕仅,還能提供對(duì)未知的勒索病毒的攔截和備份能力珊豹,進(jìn)一步保證文檔安全。
(騰訊電腦管家“文檔守護(hù)者2.0”防御體系)
用戶(hù)在騰訊電腦管家12.9版本工具箱的“文檔”分類(lèi)中即可找到“文檔守護(hù)者”榕订,并自主開(kāi)啟全盤(pán)文檔自動(dòng)備份店茶,同時(shí)還可通過(guò)實(shí)時(shí)監(jiān)控日志查看電腦文檔的狀態(tài)、類(lèi)型和修改行為的記錄劫恒。在窗口頁(yè)面贩幻,騰訊電腦管家還會(huì)實(shí)時(shí)滾動(dòng)每日攔截的數(shù)據(jù)、本地備份文檔數(shù)量两嘴、風(fēng)險(xiǎn)等級(jí)以及本機(jī)監(jiān)控情況丛楚,讓用戶(hù)了解當(dāng)前的文檔安全狀態(tài)。
