0×1 概述
纵观整个2017年,网络安全防线多次面临勒索病毒事件的重大冲击。2017年5月WannaCry勒索病毒的爆发,被认为是迄今为止最严重的勒索病毒事件,至少150个国家、30万名用户中招,造成损失达80亿美元。此后,勒索病毒持续活跃,6月份Petya勒索病毒席卷欧洲多个国家,政府机构、银行、企业等均遭大规模攻击。10月份“Bad Rabbit”(坏兔子)勒索软件导致“东欧陷落”,包括乌克兰与俄罗斯在内的东欧公司受灾严重。
勒索病毒及其变种的频繁出现,也严重威胁到普通用户的上网安全。根据腾讯电脑管家检测到的敲诈勒索病毒显示,2017全年总计已发现敲诈勒索病毒样本数量在660万个,平均每月检测到敲诈勒索病毒数量近55万个。Q3季度为4个季度中检测病毒的高峰,检测量为180万个。
本文通过分析勒索病毒常见传播方式和盘点2017年重大勒索病毒事件,对2018年勒索病毒传播新趋势做出预判,为普通用户和企业用户提供相应的安全建议。
0×2勒索病毒七大传播方式
不法黑客通过文件加密或屏幕锁定的方式要求中招者支付一定数额的赎金,其中文件加密是最为普遍的勒索方式。不法黑客往往利用RSA、AES等加密算法对文件进行加密,除非拿到对应的密钥,否则难以通过第三方自行解密。
勒索病毒不仅能加密文件、破坏力大,并且传播范围也相当广。常见的勒索病毒家族如Cerber、Locky、GlobeImposter等系列,通过挂马、钓鱼邮件等多种传播方式,往往能在短时间内达到数十万,甚至上百万的传播量级,并且无明显的地域限制。另外较为常见的有针对服务器的XTBL家族,倾向于利用各种漏洞发起勒索攻击。
1. 邮件附件传播
通过邮件附件进行传播的勒索病毒通常会伪装成用户常查看的文档,如信用卡消费清单、产品订单等。附件中会隐藏恶意代码,当用户打开后恶意代码便会开始执行,释放病毒。不法黑客往往会将携带病毒的文件通过邮件批量发送给企业、高校、医院机构等单位,这些单位中的电脑中通常保存较重要的文件,一旦被恶意加密,支付赎金的可能性远远超过普通个人用户。
2. 网站挂马传播
网站挂马是在获取网站或者网站服务器的部分或全部权限后,在网页中插入一段恶意代码,这些恶意代码主要是一些IE等浏览器的漏洞利用代码。用户访问被挂马页面时,如果系统此前没有修复恶意代码中利用的漏洞,电脑就会执行相关恶意代码。
病毒也可以利用已知的软件漏洞进行攻击,例如利用Flash、PDF等软件漏洞,向网页中加入带有恶意代码的文件,用户使用带有漏洞的软件打开文件,电脑便会执行恶意代码,下载病毒。
3. 入侵服务器
针对服务器的攻击多通过远程登录的方法。由于部分服务器会使用弱口令远程登录,不法黑客可暴力破解远程登录密码,并手动下载运行勒索病毒。即使服务器安装了安全软件,不法黑客也可手动退出。
4. 利用系统漏洞传播
5月爆发的WannaCry就是利用Windows系统漏洞进行传播,利用系统漏洞传播的特点是被动式中毒:用户即使没有访问恶意站点,没有打开病毒文件也会中招。利用系统漏洞传播的蠕虫病毒还会扫描同网络中存在漏洞的其他PC主机,只要主机没有打上补丁,就会被攻击。
5. 网络共享文件
一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,不法黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。此外,不法黑客还常会提示用户“杀毒软件会产生误报,运行之前需要退出杀毒软件”,来逃避安全软件的查杀。
6. 软件供应链传播
病毒制作者通过劫持正常软件的安装、升级服务,在用户进行正常软件安装、升级时植入勒索病毒。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。
7. 文件感染传播
利用感染型病毒的特点进行传播,如PolyRansom就是利用感染型病毒的特点,加密用户所有文档后再弹出勒索信息,而由于PE类文件被感染后具有了感染其他文件的能力,因此如果此文件被用户携带(U盘、网络上传等)到其他电脑上运行,就会使得该电脑的文件也被全部感染加密。
0×3 勒索病毒两次大规模攻击
1. WannaCry勒索病毒
1) 事件还原
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机植入勒索病毒,导致电脑文件被大量加密。
2) 感染过程分析
a) mssecsvc.exe行为
i. 开关
病毒在网络上设置了一个开关,当本地计算机能够成功访问https://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,则退出进程,不再进行传播感染。目前该域名已被安全公司接管。
ii. 蠕虫行为
通过创建服务启动,每次开机都会自启动。
从病毒自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。
创建两个线程,分别扫描内网和外网的IP,开始进行蠕虫传播感染。
对公网随机ip地址445端口进行扫描感染。
对于局域网,则直接扫描当前计算机所在的网段进行感染。
感染过程,尝试连接445端口。
如果连接成功,则对该地址尝试进行漏洞攻击感染。
iii. 释放敲诈者
b) tasksche.exe行为(敲诈者)
解压释放大量敲诈者模块及配置文件,解压密码为WNcry@2ol7
首先关闭指定进程,避免某些重要文件因被占用而无法感染。
遍历磁盘文件,避开含有以下字符的目录:
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
同时,也避免感染病毒释放出来的说明文档。
病毒加密流程图
遍历磁盘文件,加密以下178种扩展名文件:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
程序中内置两个RSA 2048公钥,用于加密,其中一个含有配对的私钥,用于演示能够解密的文件,另一个则是真正的加密用的密钥,程序中没有相配对的私钥。
病毒随机生成一个256字节的密钥,并拷贝一份用RSA2048加密,RSA公钥内置于程序中。
构造文件头,文件头中包含有标志、密钥大小、RSA加密过的密钥、文件大小等信息。
使用CBC模式AES加密文件内容,并将文件内容写入到构造好的文件头后,保存成扩展名为.WNCRY的文件,并用随机数填充原始文件后再删除,防止数据恢复。
完成所有文件加密后释放说明文档,弹出勒索界面,提示用户需支付价值数百美元不等的比特币到指定的比特币钱包地址,三个比特币钱包地址硬编码于程序中。
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
2. Petya
1) 事件还原
2017年6月27日晚,Petya勒索病毒爆发,欧洲多个国家被大规模攻击,尤其是乌克兰,政府机构、银行、企业等均遭大规模攻击,其中乌克兰副总理的电脑也遭受攻击。病毒作者要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
2) 感染过程分析
i. 写MBR
0~0x21扇区保存的是病毒的MBR和微内核代码数据,而原始的MBR被加密保存在第0x22扇区。
ii. 加密文件
遍历分区
要加密的文件类型
文件加密过程
iii. 传播方式
可能通过管理共享在局域网内传播,而后通过wmic来实现远程命令执行。
C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"
c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" \"c:\windows\perfc.dat\" #1
通过EternalBlue和EternalRomance漏洞传播。
程序发动攻击前,先尝试获取到可攻击的IP地址列表:
依次获取:已建立TCP连接的IP、本地ARP缓存的IP以及局域网内存在的服务器IP地址。收集完这些地址后,便进行进一步攻击。
0×4 2018年勒索病毒五大形势分析
1. 漏洞利用或成为勒索病毒新的传播方式
2017年几次大规模爆发的勒索病毒,主要是以钓鱼邮件为传播渠道。而随着网民安全意识的提高,钓鱼邮件传播成功率较之往年已出现降低趋势。漏洞利用由于具有较强的自传播能力,能在短时间内大范围传播,在2018年或将更受“不法黑客”青睐。
2. 与安全软件的对抗将持续升级
随着安全软件对勒索病毒免疫能力的持续升级,安全软件对主流的勒索病毒逐渐形成多维度的防御,勒索病毒也需要进一步加强与安全软件的对抗才能够提高感染成功率。这种对抗可能体现在传播渠道上的多样化,也可能表现为样本上做更多的免杀对抗。
3. 攻击目标日益精准化
2017下半年勒索病毒的攻击目标出现明显的精准化趋势,上班人群、企业用户成功不法黑客的攻击目标。该类目标用户往往会有更多的重要文档文件,加密后,也会更加倾向于支付解密赎金。
4. 勒索病毒呈现低成本,蹭热点特征
随着勒索病毒技术细节的公开,部分勒索软件代码被放在暗网上售卖,勒索病毒的制作成本出现持续降低趋势。此外,整个2017年多个系列的勒索病毒持续活跃,间或出现小范围传播的勒索病毒,例如“希特勒”、“WannaSmile”等等。此类勒索病毒为实现更大范围的传播,通常会借势节日热点和社会热点等,例如万圣节、圣诞节等。2018年随着制作成本的降低,或将出现更多蹭热点的勒索病毒。
5. 国产勒索病毒开始活跃
不法黑客针对国内用户“量身打造”的国产勒索病毒,通常会使用全中文的勒索提示界面,个别会要求直接通过微信、支付宝来缴纳赎金。在国内,与其它语言版本的勒索病毒相比,国产勒索病毒中招者支付赎金的可能性更高,2017年出现的主要国产勒索病毒有“云龙”、“xiaoba”等,而2018年或将出现更多的国产勒索病毒。
0×5 安全建议
1. 企业用户
企业用户是勒索病毒的“重灾区”,针对企业用户的攻击主要有两种情况:
1) 加密企业服务器上的文件
传播方式:利用弱口令远程登录、系统或软件漏洞等
解决方案:及时给服务器打好安全补丁,同时避免使用弱口令,关闭不必要的端口
2) 加密办公机器上的文件
传播方式:向企业邮箱发送钓鱼邮件
解决方案:公司企业邮箱加强对钓鱼邮件的拦截,提醒员工不要轻易打开来历不明的邮件,并且保持安全软件运行状态。
2. 个人用户
个人用户需要警惕来历不明的邮件,保持安全软件运行状态,及时修复电脑漏洞,并且养成良好的上网习惯,不使用外挂等病毒高发点的工具。
3. 使用“文档守护者2.0”等专项工具
腾讯电脑管家推出的“文档守护者2.0”,基于管家的安全防御体系,通过对系统引导、边界防御、本地防御、执行保护、改写保护,备份等多个环节的保护构建完整的防御方案,保护用户的文档不被加密勒索。除支持包括Bad Rabbit在内的已知430多种勒索病毒的免疫之外,还能提供对未知的勒索病毒的拦截和备份能力,进一步保证文档安全。
(腾讯电脑管家“文档守护者2.0”防御体系)
用户在腾讯电脑管家12.9版本工具箱的“文档”分类中即可找到“文档守护者”,并自主开启全盘文档自动备份,同时还可通过实时监控日志查看电脑文档的状态、类型和修改行为的记录。在窗口页面,腾讯电脑管家还会实时滚动每日拦截的数据、本地备份文档数量、风险等级以及本机监控情况,让用户了解当前的文档安全状态。