WannaCry蠕虫一周年 勒索病毒狼烟四起

2018-05-11 来源:原创 作者:腾讯电脑管家
【文章摘要】2017年5月12日WannaCry蠕虫利用“永恒之蓝”漏洞在全球范围内大规模爆发,至今已满一周年。本报告通过回顾WannaCry及“永恒之蓝”利用事件,深入剖析勒索病毒整体攻击趋势、传播方式,分析产业链,预测其发展趋势,并针对个人/企业用户提供建议措施。

去年5月12日,WannaCry蠕虫在全球范围大爆发,引爆互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在数小时内影响近150个国家,一些政府机关、高校、医院的电脑屏幕都被“染”成了红色,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注。

“永恒之蓝”漏洞的争相利用

WannaCry能瞬间一炮走红,其根本原因是Shadow Brokers(影子经纪人)黑客组织公开了由美国国家安全局掌控的漏洞武器:“永恒之蓝”。在WannaCry之前,勒索病毒在较长时间内均为零散出现,影响范围较小。当勒索病毒插上高危漏洞的翅膀,便立刻掀起影响全球的蠕虫病毒风暴。

时隔一年之后,随着“永恒之蓝”漏洞逐渐修复,WannaCry事件似乎已逐渐平息,但事与愿违——勒索病毒依然狼烟四起。大量企业用户、医疗机构、教育机构的业务系统陆续遭遇勒索病毒攻击,损失惨重。

和WannaCry蠕虫一同走红的“永恒之蓝”漏洞在过去一年被病毒木马争相利用,不少病毒作者利用“永恒之蓝”漏洞挖矿,盗取银行卡信息,组建僵尸网络,照样加密文件敲诈勒索。以下为过去一年中利用“永恒之蓝”进行攻击的典型事件。

其中WannaMiner 利用“永恒之蓝”漏洞在局域网内攻击传播,将染毒机器构建成一个健壮的僵尸网络,并支持内网自更新,以达到长期潜伏在用户电脑中以挖取门罗币牟利。

中招者除CPU和GPU占用率飙升到接近100%,机器性能明显下降之外,由于病毒在内网传播过程中通过SMB进行内核攻击,内网电脑系统会莫名其妙蓝屏死机。该病毒在短时间内造成了近600家企业逾3万台电脑受到感染,一度影响了众多企业的正常办公。

“永恒之蓝”的利用不止出现在常见的网络犯罪活动中,该漏洞也被部分APT组织纳入了自己的武器库。例如Fancy Bear“奇幻熊”组织就在2017年7月陆续使用该漏洞入侵了至少9家中东、欧洲的餐厅宾馆,该组织意图通过控制该类场所的网络系统,来进一步窃取部分用户的隐私资料。    

WannaCry最近动态

根据腾讯御见威胁情报中心监控,在过去的一年,经过安全厂商的围剿堵截,WannaCry蠕虫攻击在短时间内急速下降后已趋平稳,但并未彻底消失。直到今天,WannaCry依然在持续传播。这意味着,WannaCry病毒变种仍然具有一定活力。

WannaCry变种概况

WannaCry蠕虫至今依然有间断持续性的活跃,其主要原因是变种不断出现。观察部分病毒变种可知,其感染方式和模块组成部分与第一代病毒相比并无太大变化。

WannaCry变种的传播方式依然依赖于 “永恒之蓝”漏洞工具包,在存在漏洞的网络中攻击传播,目标机器被攻陷后会从攻击机下载WannaCry木马感染,并将自身作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染大范围快速扩散。

变种模块组成主要有母体感染模块,敲诈者模块,解密程序等部分组成,部分变种会修改母体图标,添加虚假签名,加壳,修改释放攻击模块名,修改比特币钱包收款地址等等。

WannaCry攻击地域

观察WannaCry近期攻击地域可知,近期受灾最为严重的地区为广西和浙江,随后为江苏和湖北。这与以往勒索病毒主攻北上广深地区的行为有明显差异。综合来看主要原因为北上广深高新科技类产业较多,网络安全防范意识也相对较高,安全应急响应能力也较强。

在WannaCry爆发初期大部分企业已及时的修复漏洞安装补丁,采取了安全补救措施,进而杜绝了病毒滋生的环境。最终导致WannaCry变种在后续的攻击中,主要目标不再是信息产业相对发达的北上广等地,而是向防御能力相对偏弱的地区扩散。

受WannaCry攻击的行业

通过观察WannaCry近期攻击行业可知,学校、传统工业、政府机构为WannaCry攻击的主要行业群体。其中学校被攻击的比例更是占到35%,传统工业和政府机构紧随其后。主要原因为该类机构长期依赖于互联网提供的基础设施服务,但相对缺少专业安全运维服务。导致整体安全防御能力薄弱,容易被病毒入侵。

医疗机构受勒索病毒之害相对明显,2018年已有多地医疗机构服务器被勒索病毒加密数据,致公共服务机构业务瘫痪,患者感受强烈。

受WannaCry攻击的系统分布

观察近期受WannaCry攻击的操作系统数据,可知主要被攻击的操作系统为Windows 7系统,其次为Windows 10,Windows 8和Windows XP,从侧面也反映出国内当前环境操作系统使用比例。

勒索病毒整体攻击趋势

得益于2017年数字货币的全球大爆发, 在过去一年,勒索病毒的活跃成员中不止有WannaCry这一“知名”选手,在比特币等区块链资产价格大幅飙升,巨大的利益诱惑下,以GlobeImposter,Crysis,BTCWare等为代表的勒索家族高度活跃。

详见《以Windows服务器为攻击目标 或成勒索病毒新趋势》一文

https://s.tencent.com/research/report/466.html。

越来越多的勒索病毒家族呈现出勒索媒介、传播方式多元化的特点,成为近年来最严峻的网络安全威胁之一。根据分析,进入2018年后,针对服务器的勒索攻击有明显上升,企业用户数据价值一般情况下远高于个人用户,中招后也更倾向于缴纳赎金,这也说明勒索病毒的攻击方式已由广撒网慢慢开始转变为了定向攻击高价值目标。

从勒索攻击的目标行业上看,医疗、教育、政府机关、金融占了勒索攻击目标的一半之多。其中,教育行业经过分析后,多为学校学生电脑等,导致了教育的占比较高。

而医疗、政府机关、金融则为勒索者攻击的最爱,该类行业中尤其是医疗行业,一旦数据被加密,影响正常业务运转将会引来更严重的损失,因此会更加倾向于缴纳赎金。

勒索病毒传播方式更加多样化

随着勒索病毒发展日渐成熟,其传播方式也变得趋于完善,各家族勒索病毒传播方式也逐渐有了自身特点,总结勒索病毒整体主要传播方式有以下几种:

1.邮件附件传播

代表家族:Locky、Cerber、GlobeImposter......

通过邮件附件进行传播的勒索病毒通常会伪装成用户常查看的文档,如信用卡消费清单、产品订单等。附件中会隐藏恶意代码,当用户打开后恶意代码便会开始执行,释放病毒。

不法黑客往往会将携带病毒的文件通过邮件批量发送给企业、高校、医院机构等单位,这些单位中的电脑中通常保存较重要的文件,一旦被恶意加密,支付赎金的可能性远远超过普通个人用户。

 

2.网站挂马传播

代表家族:Cerber、GandCrab.....

网站挂马是在获取网站或者网站服务器的部分或全部权限后,在网页中插入一段恶意代码,这些恶意代码主要是一些IE等浏览器的漏洞利用代码。

用户访问被挂马页面时,如果系统此前没有修复恶意代码中利用的漏洞,电脑就会执行相关恶意代码。

3.入侵服务器

代表家族:Crysis、GlobeImposter.....

针对服务器的攻击多通过暴力破解远程登录权限的方法。由于部分服务器未能及时修补安全漏洞,以及普遍使用相同的密码或弱密码远程登录。不法黑客会用种种手段入侵企业服务器,再手动卸载或关闭杀毒软件,然后下载勒索病毒运行。


4.利用系统漏洞传播

代表家族:WannaCry、Satan.....

WannaCry,Satan就是利用Windows系统漏洞进行传播,利用系统漏洞传播的特点是被动式中毒:用户即使没有访问恶意站点,没有打开病毒文件也会中招。利用系统漏洞传播的蠕虫病毒还会扫描同网络中存在漏洞的其他PC主机,只要主机没有打上补丁,就会被攻击。

5.网络共享文件

代表家族:暂时主要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。

一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,不法黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。

此外,不法黑客还常会编造出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。


6.软件供应链传播

代表家族:Petya

病毒制作者通过入侵软件开发、分发、升级服务环节,软件开发过程中,就会在产品组件中混入病毒,通过入侵、劫持软件下载站、升级服务器,当用户正常进行软件安装、升级时勒索病毒趁虚而入。

这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽,危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。

7.文件感染传播

代表家族:PolyRansom

PolyRansom利用感染型病毒的特点,加密用户所有文档后再弹出勒索信息,而由于PE类文件被感染后具有了感染其他文件的能力,因此如果此文件被用户携带(U盘、网络上传等)到其他电脑上运行,就会使得该电脑的文件也被全部感染加密。

勒索病毒产业链

勒索病毒在经过了单打独斗的发展时期后,也开始逐渐呈现出了产业链条化,各角色分工明确,完整的一次勒索攻击流程可能涉及勒索病毒作者,勒索者,传播渠道商,代理,受害者5个角色,各角色具体分工如下:

勒索病毒作者:负责勒索病毒编写制作,与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码,接受病毒定制,或出售病毒生成器的方式,与勒索者进行合作拿取分成。


勒索者:从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通过自定义病毒勒索信息后得到自己的专属病毒,与勒索病毒作者进行收入分成。

传播渠道商:帮助勒索者传播勒索病毒,最为熟悉的则是僵尸网络,例Necurs、Gamut,全球有97%的钓鱼邮件由该两个僵尸网络发送。

代理:向受害者假称自己能够解密各勒索病毒加密的文件,并且是勒索者提出赎金的50%甚至更低,但实际上与勒索者进行合作,在其间赚取差价。

受害者:通过勒索病毒各种传播渠道不幸中招的受害者,如有重要文件被加密,则向代理或勒索者联系缴纳赎金解密文件。


其中,中间代理的角色在勒索病毒攻击环节里出现出乎大家的意料,追踪代理也让人着实花了心思。

首先,搜索勒索病毒解密相关信息时,搜索结果首页上可以看到不少公司都可以支持勒索病毒解密。注意看,这些人还买了搜索引擎广告。


在这些小公司官网介绍上,可以看到支持各种勒索病毒家族的解密,其中包括了流行的Locky、Cerber、Crysis、GlobeImposter、GandCrab家族等。

然而众所周知,除非勒索病毒存在逻辑漏洞,或者获得了解密密钥,以当前的算力去解密几乎不可能。

恰逢接到深圳某公司反馈,公司内数台服务器中了某家族勒索病毒,该公司联系解密公司是否可以解密后,解密公司能仅以该公司外网ip信息,就给出了内网中毒服务器IP以及每个分区的解密密钥。这不禁让人怀疑解密公司是否和勒索者有所关系。

目前国内外各大安全公司都无法解密,为何有如此之多的小公司可以解密呢?带着怀疑假装受害者联系了某解密公司,并且发送了被GlobeImposter家族加密的文件测试能否解密,次日便发来了解密后的文档。


GlobeImposter家族加密后的文件,会在文件末尾附加一段ID来标注受害者,从而勒索者能够根据ID来找到对应的密钥来解密。于是将文件末尾的ID随机修改之后,再发给解密公司解密时,解密公司花了数天也没有解密的结果,并且表示文件有问题。为何修改了ID之后,解密公司能够判断出来文件有问题了呢?这更让人开始怀疑解密公司与勒索者的关系。


当我们再联系勒索者,表达想做中间代理的意愿时,勒索者当即回复,表示可以接受代理,并且价格为50%,同时,勒索者还贴心得给出了如何在国内购买比特币的教程。一个陌生人联系做代理即可拿到50%的优惠价格,相信专业做代理的解密公司可以拿到更加便宜的价格。


对此,我们基本可以断定,该类解密公司,实际上就是勒索者的代理,利用国内用户不方便买数字货币以及相对更加便宜的价格,吸引受害者联系解密,在此其间赚取差价。根据某解密公司官网上公开的记录,一家解密公司靠做勒索中间代理一个月收入可达300W人民币。


勒索病毒趋势

WannaCry爆发至今已有一年, 第一代WannaCry病毒发展至今,各变种基本没有太大变化,安全厂商早期提供的解决方案依然能有效防御。虽然如此,但WannaCry余毒尚存,在未来较长时间内仍对部分政企机构具有一定安全威胁,一旦被病毒攻击得逞,所造成的后果往往难以逆转,除非及时备份业务系统。

“永恒之蓝”漏洞补丁虽然发布已久,但依然有部分用户未能完成修复,所以在未来使用该漏洞所进行的各种网络病毒木马攻击仍将持续发生。而随着勒索病毒的产业链化,技术细节的公开化,代码的开源,病毒生成器的出现,勒索病毒的制作成本也逐渐降低,这些都将进一步促进未来勒索病毒的攻击走势。

1、 勒索病毒与安全软件的对抗加剧

随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。

2、 勒索病毒传播场景多样化

传统的勒索病毒传播主要以钓鱼邮件为主,勒索病毒更多利用了高危漏洞(如永恒之蓝)、鱼叉游戏攻击,或水坑攻击等方式传播,大大提高了入侵成功率。以GandCrab为例,该家族勒索病毒传播同时利用了钓鱼邮件、水坑攻击、网页挂马和漏洞利用四种方式。

3、 勒索病毒攻击目标转向企业用户

个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。

4、 勒索病毒更新迭代加快

以GandCrab为例,当第一代的后台被安全公司入侵之后,随后在一周内便发布了GandCrab2,现在已升级到3.0版本。病毒早期发布时存在漏洞,使得安全公司可以解密被加密的文件,随后更新的版本已无法被解密。

5、 勒索病毒加密目标升级

传统的勒索病毒加密目标基本以文件文档为主,现在越来越多的勒索病毒会尝试加密数据库文件,加密磁盘备份文件,甚至加密磁盘引导区。一旦加密后用户将无法访问系统,相对加密而言危害更大,也更有可能迫使用户支付赎金。

安全建议

针对个人用户:

1. 不要点击来源不明的邮件附件。

2. 不使用外挂等病毒高发点的工具。

3. 保持腾讯电脑管家等安全软件的运行状态,及时修复系统漏洞,实时拦截病毒风险。

4. 推荐使用“文档守护者”对重要文件和数据(数据库等数据)进行定期备份。打开电脑管家【工具箱】-【文档】-【文档守护者】,全面保护文档安全。


针对企业用户:

1、 尽量关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的IP连接登录。

2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据(数据库等数据)进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

8、 推荐企业用户使用御界高级威胁检测系统(https://s.tencent.com/product/gjwxjc/index.html)。凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。



电脑管家 V16

全新上线 更轻更快