2017 勒索软件威胁形势分析报告

作者:星期二, 一月 2, 20180
分享:

研究背景

勒索软件是近两年来影响最大,也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。

2016年,包括IBM、Symantec、360等国内外多家知名安全机构已经开始高度关注勒索软件攻击。2016年12月,360互联网安全中心发布了《2016 敲诈者病毒威胁形势分析报告(年报)》。报告指出,2016年,全国至少有497万多台用户电脑遭到了勒索软件攻击,成为对网民直接威胁最大的一类木马病毒。

2017年,勒索软件继续呈现出全球性蔓延态势,攻击手法和病毒变种也进一步多样化。特别是2017年5月全球爆发的永恒之蓝勒索蠕虫(WannaCry,也有译作“想哭”病毒)和随后在乌克兰等地流行的Petya病毒,使人们对于勒索软件的关注达到了空前的高度。在全球范围内,政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。

与WannaCry无差别的显性攻击相比,针对中小企业网络服务器的精准攻击则是隐性的,不为多数公众所知,但却也已成为2017年勒索软件攻击的另一个重要特点。统计显示,在2017年的国内勒索软件的攻击目标中,至少有15%是明确针对政企机构的,其中由以中小企业为主要目标。相比于一般的个人电脑终端或办公终端,服务器数据的珍贵程度和不可恢复性更强(针对服务器的渗透式勒索攻击一般不会留下死角或备份),因此被勒索者支付赎金的意愿也相对更强。

为进一步深入研究勒索软件的攻击特点和技术手段,帮助个人电脑用户和广大政企机构做好网络安全防范措施,360互联网安全中心对2017年的勒索软件攻击形势展开了全面的研究,分别从攻击规模、攻击特点、受害者特征、典型案例、趋势预测等几个方面进行深入分析。

第一章 勒索软件的大规模攻击

2017年以来,360互联网安全中心监测到大量针对普通网民和政企机构的勒索软件攻击。勒索软件已成为对网民直接威胁最大的一类木马病毒。本章内容主要针对,2017年1月-11月期间,360互联网安全中心监测到的勒索软件的相关数据进行分析。

一、 勒索软件的攻击量

2017年1-11月,360互联网安全中心共截获电脑端新增勒索软件变种183种,新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击,平均每天约有1.4万台国内电脑遭到勒索软件攻击。

特别说明,2017年截获的某些勒索病毒,如Cerber病毒,会向某个IP地址段进行群呼,以寻找可能响应的控制服务器。病毒这样做的目的可能是为了避免其服务器被拦截。如果没有服务器响应群呼消息,病毒则会按照其他既定流程执行代码。2017年,360互联网安全中心共截获新增此类IP地址段51个。

下图给出了勒索软件1月至11月期间每月攻击用户数的情况。从图中可见,4月攻击高峰期时的攻击量为81.1万,一天之内被攻击的电脑平均可达2.7万台。11月是第二个攻击小高峰,一天之内被攻击的电脑平均可达3.1万台。下图分别给出了2017年1月至11月勒索软件每月攻击的态势分析图形。注意,此部分攻击态势分析数据不包含WannaCry勒索蠕虫的相关数据。

2017年四月份发生的大规模勒索软件攻击,主要是因为Shadow Brokers(影子经纪人)组织公开了披露美国国家安全局发现的漏洞“永恒之蓝”,虽然“WannaCry”是在五月份爆发的,但此漏洞一直都有被别的勒索软件利用进行攻击。

10月至11月发生的大规模勒索软件攻击,主要是因为在10月份时出现了一种以.arena为后缀的勒索软件,11月份时出现了一种以.java为后缀的勒索软件。这两款勒索软件主要是由攻击者通过娴熟的手法入侵服务器后释放勒索病毒的。以.arena和.java为后缀的勒索软件在10月至11月流行的主要原因有三:

1) 攻击者入侵手段升级导致成功率大幅提高;
2) 这两款勒索软件成功入侵了大量企业的服务器;
3) 以.arena和.java为后缀的这两款勒索软件都属于Crysis家族,这个家族每次更换新的私钥都会换一个后缀(10月份是.arena后缀,11月份是.Java后缀)。新出现的.arena和.java替代了.wallet开始流行。

二、 勒索软件的家族分布

统计显示,在向360互联网安全中心求助的勒索软件受害者中,Cerber、Crysis、WannaCry这三大勒索软件家族的受害者最多,共占到总量的58.4%。其中,Cerber占比为21.0%,Crysis 占比为19.9%,WannaCry占比为17.5%,具体分布如下图所示:

结合360互联网安全中心的大数据监测分析,下图给出了2017年不同勒索软件家族在国内的活跃时间分析。特别需要说明的是:“类Petya”勒索病毒(该病毒说明请参考第四章的第二节介绍),虽然在国外发动了大规模的攻击行为,产生了及其重要影响,但是在国内基本就没有传播,所以在下图中没有体现这两个家族。

三、 勒索软件的传播方式

360互联网安全中心监测显示,黑客为了提高勒索软件的传播效率,也在不断更新攻击方式,钓鱼邮件传播依然是黑客常用的传播手段,服务器入侵的手法更加娴熟运用,同时也开始利用系统自身的漏洞进行传播。今年勒索软件主要采用以下五种传播方式:

1) 服务器入侵传播

以Crysis家族为代表的勒索软件主要采用此类攻击方式。黑客首先通过弱口令、系统或软件漏洞等方式获取用户名和密码,再通过RDP(远程桌面协议)远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如:卸载服务器上的安全软件并手动运行勒索软件。所以,在这种攻击方式中 ,一旦 服务器被入侵,安全软件一般是不起作用的。

服务器能够被成功入侵的主要原因还是管理员的帐号密码被破解。而造成服务器帐号密码被破解的主要原因有以下几种:为数众多的系统管理员使用弱密码,被黑客暴力破解;还有一部分是黑客利用病毒或木马潜伏在用户电脑中,窃取密码;除此之外还有就是黑客从其他渠道直接购买账号和密码。黑客得到系统管理员的用户名和密码后,再通过远程登录服务器,对其进行相应操作。

2) 利用漏洞自动传播

今年,通过系统自身漏洞进行传播扩散成为勒索软件的一个新的特点。上半年震动世界的WannaCry勒索病毒就是利用微软的永恒之蓝(EternalBlue)漏洞进行传播。黑客往往抓住很多人认为打补丁没用还会拖慢系统的错误认识,从而利用刚修复不久或大家重视程度不高的漏洞进行传播。如果用户未及时更新系统或安装补丁,那么即便用户未进行任何不当操作,也有可能在完全没有预兆的情况下中毒。此类勒索软件在破坏功能上与传统勒索软件无异,都是加密用户文件勒索赎金。但因为传播方式不同,导致更加难以防范,需要用户自身提高安全意识,尽快更新有漏洞的软件或安装对应的安全补丁。

3) 软件供应链攻击传播

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。

2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。

4) 邮件附件传播

通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件,便会执行里面的脚本,释放勒索病毒。这类传播方式的针对性较强,主要瞄准公司企业、各类单位和院校,他们最大的特点是电脑中的文档往往不是个人文档,而是公司文档。最终目的是给公司业务的运转制造破坏,迫使公司为了止损而不得不交付赎金。

5) 利用挂马网页传播

通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,并没有特定的针对性,一般中招的受害者多数为裸奔用户,未安装任何杀毒软件。

四、 勒索软件攻击的地域

360互联网安全中心监测显示,遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中,广东占比最高,为14.9%,其次是浙江8.2%,江苏7.7%。排名前十省份占国内所有被攻击总量的64.1%。

2017年勒索软件攻击地域分布如下图所示:

五、 勒索软件服务器分布

360互联网安全中心针对最为活跃的部分勒索软件的C2服务器域名后缀的归属地进行了分析,结果显示:.com域名被使用的最多,约为总量的一半,为48.7%,.net和.org占比分别为3.8%和1.7%。此外,属于欧洲国家的域名最多,占31.9%,其次是亚洲国家4.6%,南美洲国家1.7%,大洋洲国家1.7%,北美洲国家1.3%。

特别值得注意的是,主流的大勒索家族都不再使用C2服务器加密技术了,但还是有很多小众勒索家族在使用C2服务器的加密技术。

六、 勒索软件攻击的行业

为更加深入的了解各行业勒索软件遭到攻击的情况,360威胁情报中心 联合全国一百余家政府机构、事业单位和大中型企业的IT管理人员,对各企业遭勒索软件攻击情况展开了深入的调查分析。并希望此项研究能够对更多机构的网络管理者提供有价值的参考信息。

不同行业政企机构遭受勒索软件攻击的情况分析显示,能源行业是遭受攻击最多的行业,占比为42.1%,其次为医疗行业为22.8%,金融行业为17.8%,具体分布如下图所示。需要说明的是,遭到攻击多不代表被感染的设备多。攻击量是通过企业级终端安全软件的监测获得的。

从上图中,我们知道能源、医疗卫生、金融是遭受勒索软件攻击最多的三个行业,那么究竟是哪些家族对这三个行业发动的攻击呢?下表分别给出了每个行业遭受勒索软件攻击最多的前五个家族,具体如下表所示。可以看出,针对不同行业,攻击者者所使用的勒索软件类型是有很大区别的。

能源、医疗卫生、金融行业遭受勒索攻击的家族TOP5

七、 勒索软件的攻击特点

如果说,挂马攻击是2016年勒索软件攻击的一大特点,那么2017年,勒索软件的攻击则呈现出以下六个明显的特点:无C2服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、影响大的家族赎金相对少、境外攻击者多于境内攻击者。

(一) 无C2服务器加密技术流行

2017年,我们发现黑客在对文件加密的过程中,一般不再使用C2服务器了,也就是说现在的勒索软件加密过程中不需要回传私钥了。这种技术的加密过程大致如下:

1) 在加密前随机生成新的加密密钥对(非对称公、私钥)
2) 使用该新生成新的公钥对文件进行加密
3) 把新生成的私钥采用黑客预埋的公钥进行加密保存在一个ID文件或嵌入在加密文件里

解密过程大致如下:

1) 通过邮件或在线提交的方式,提交ID串或加密文件里的加密私钥(该私钥一般黑客会提供工具提取);
2) 黑客使用保留的预埋公钥对应的私钥解密受害者提交过来的私钥;
3) 把解密私钥或解密工具交付给受害者进行解密。

通过以上过程可以实现每个受害者的解密私钥都不相同,同时可以避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。显然 ,这种技术是针对采用了各种隔离措施的政企机构所设计的。

(二) 攻击目标转向政企机构

2017年,勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。

客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。

(三) 针对关键信息基础设施的攻击

以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。

(四) 攻击目的开始多样化

顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。

这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。

(五) 勒索软件平台化运营

2017年,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。

RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。

(六) 境外攻击者多于境内攻击者

2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。

第二章 勒索软件受害者特征分析

2017年1月至11月,360反勒索服务共接到了2325位遭遇勒索软件攻击的受害者求助。为了更好的了解勒索软件的感染原因及受害者特点,以帮助更多的用户提高安全意识,免遭勒索软件侵害,本次报告特别对这两千多位求助受害者进行了随机抽样调研,并从中选取了有效的452份调研问卷进行分析。本报告的第二章内容中的各项数据统计,均是来源于本次抽样调研的统计结果。

一、 受害者的求助情况

2017年1月至11月,360反勒索服务共接到了2325位遭遇勒索软件攻击的受害者求助。从数据统计中可以看到,5月份是受害者求助的高峰期,主要是因为WannaCry勒索蠕虫的爆发。受害者每月求助情况具体如下图所示:

调研发现,目前绝大多数求助用户并不是在安装了360安全卫士,并开启了反勒索服务的情况下感染的勒索软件。特别值得注意的是,还有相当数量的受害者在感染勒索软件时,电脑上没有安装任何安全软件。

二、 受害者的基本特征

调研数据显示,男性是最容易受到勒索软件攻击的对象,占比高达90.5%,而女性占比仅为9.5%。

在360互联网安全中心接到的受害者主动寻求帮助的人群中,63.5%为企业用户,36.5%为个人用户。通过对受害者的调研分析发现,攻击者会针对企业用户采取服务器入侵、邮件传播等方式传播勒索软件,造成的危害比较高。企业用户电脑中毒以后,由于被加密的多是相对更加重要的公司办公和业务文件,因此,企业用户往往会更加积极寻求解决办法,特别是更加积极向专业安全厂商寻求帮助。

从求助的受害者所在的行业分类(注:此处与上一章中根据攻击量监测进行的行业分析统计方法有所不同)中可以看出,IT/互联网行业的受害者最多,占比为27.0%;其次是制造业,占比为18.6%;教育行业占比为14.8%。具体分布如下图所示。

从求助的受害者所在的职位分类中可以看出,普通职员是遭遇勒索软件攻击次数最多的受害者,超过受害者总数的一半以上,占比为51.8%,其次是经理、高级经理,占比为33.0%,企业中、中高管理层,占比为13.4%,CEO、董事长、总裁等企业的掌舵者被勒索软件攻击的比例也达到1.8%。

三、 受害者的感染情况

从求助的受害者感染勒索软件的途径可以看出,44.0%的受害者不知道自己是如何感染的勒索软件,可见该病毒在感染、执行过程中具有极强的隐蔽性,让受害者难以察觉。20.4%的受害者是因为服务器被入侵而感染的勒索软件,7.3%的受害者是因为开启3389端口(Windows系统自带的远程控制端口),黑客通过远程控制用户的电脑,进而让其感染勒索软件。具体如下图所示。可见,2017年,带毒电子邮件已经不是再是勒索软件传播的主要途径。

从求助的受害者文件感染类型可以看出,87.6%是受害者电脑上的办公文档被感染,其次,77.4%的图片文件被感染,54.0%的视频文件被感染,48.7%的音频文件被感染,8.2%的数据库文件被感染。数据库文件被加密主要是由于今年发现了大量针对服务器的攻击,尤其是针对网络安全措施相对较弱的中小企业,从而导致数据库被加密的现象时有发生。

在被询问到哪种被病毒加密的文件类型造成损失更加重大的问题时,77.4%的受害者认为办公文档被加密造成的损失破坏最大;其次是认为照片视频文件造成的损失严重,占比为46.7%;邮件和聊天记录占比为13.5%;数据库类文件占比为11.9%;游戏存档类文件占比为4.2%。

我们发现,在主动寻求帮助的受害者中,办公文档是感染数量最多,同时也是导致受害者损失最大的文件类型。因为办公文档中往往含有我们工作中用到的重要资料,更加被我们重视和关注。

四、 赎金支付与支付方式

根据360反勒索服务平台对受到勒索软件攻击用户的统计数据显示,绝大多数的勒索软件均以比特币为赎金支付方式,从而使资金流向和攻击者本人都无法被追踪。但是,9月底时比特币在中国已经全面停止交易了,导致受害者文件被勒索病毒感染后更加难以恢复。

抽样调查显示,在这些求助的受害者中,已有5.8%的受害者为了恢复文件而支付赎金,另外94.2%的受害者选择了拒绝为恢复文件而支付赎金。

进一步调查显示,在支付赎金的受害者中,46.2%的受害者是自己按照病毒提示兑换比特币的方式付款的,26.9%的受害者是通过在淘宝平台找代付赎金服务付款的,26.9%的受害者是通过请朋友帮助操作付款的。

另外,我们发现用户通过不同方式支付赎金的成功率有很大的不同。比如,在淘宝平台找勒索软件代付赎金服务的用户中,85.7%的受害者最终成功支付了赎金,并恢复了文件;朋友帮忙付款的,57.1%的受害者成功支付了赎金,并恢复了文件;而自己按照勒索软件提示去兑换比特币付款的用户中,仅有50.0%的受害者成功支付赎金,并恢复了文件。

如前所述,绝大多数,即94.2%的受害者选择了拒绝为恢复文件而支付赎金。本次报告也特别对这些受害者为什么会拒绝支付赎金的问题进行了调研。结果显示:39.4%的受害者是因为不相信支付赎金后会给自己的文件解密,27.0%的受害者是因为不想继续纵容黑客进而选择拒绝支付赎金,15.5%的受害者是因为相信会有恢复工具能够修复加密的文件,具体如下图所示。

五、 影响赎金支付的因素

用户调研显示,影响支付赎金的最重要、最根本的因素是被感染文档本身的重要性。不过,除了文件本身的重要性之外,究竟还有哪些因素会影响用户赎金支付意愿呢?本次报告从受害者的月收入和所在行业这两个方面对用户进行了调研。

从受害者的收入方面来看,月收入在1.5W以上的受害者最愿意支付赎金,他们选择支付赎金的人占比为10.3%。对于高收入人群来说,电脑中的文件尤其是办公文档非常重要,而且他们支付能力更强,所以他们往往更愿意支付赎金。下图给出了具体情况分析。

下图给出了求助的不同行业受害者支付赎金的比例对比。统计显示,金融行业中招的受害者竟无一人支付赎金,这与2016年的情况大相径庭。在2016年的调研统计中,金融行业受害者支付赎金的比例最高,达33.3%。此外,2017年,求助的金融行业受害者仅占求助者总数的2.9%,相比去年4.5%有一定的下降趋势。进一步的调研分析发现,造成这种明显变化的主要原因是:金融机构在2017年普遍加强了网络安全建设和灾备恢复能力,虽然也有感染情况发生,但抗灾容灾能力明显增强。

综合收入、职位和行业这三方面因素来看,受害者所属的行业是对支付意愿影响最大的因素。

六、 恢复感染文件的方法

感染勒索软件后,对于用户来说,最重要的是能否恢复被加密的文件。目前来看,成功支付赎金的受害者都成功的恢复了被加密的文件。可见,目前勒索软件攻击者的“信用”还是不错的。此外,由于目前仍有相当一部分的勒索软件并未规范使用加密算法,对文件进行加密,所以,对于感染了此类勒索软件的用户来说,即便不支付赎金,也可以通过专业安全机构,如360等安全厂商提供的一些解密工具对文件进行解密。还有一些用户提前对重要文件进行了备份,所以也最终成功恢复了文件。

总体来看,在接受调研的受害者中,有11.5%的受害者最终成功恢复了文件,另外88.5%的受害者没有恢复文件。在受害者恢复文件的方式中,30.8%的受害者是通过支付赎金恢复的文件,25.0%的受害者是通过历史备份(如云盘、移动硬盘等)恢复的文件,23.1%的受害者是通过解密工具恢复文件的,21.2%的受害者是通过专业人士破解恢复文件的。

用户电脑感染勒索软件后,需要进行及时的清除。但不同的人也会选择不同的方法进行清除。抽样调查结果显示:38.9%的受害者通过重装系统清除了病毒,18.1%的受害者通过安装安全软件查杀掉病毒,6.0%的受害者直接删除中毒文件。

特别值得注意的是,我们发现有36.9%的受害者在知道自己电脑已经感染勒索软件后,没有采取任何措施清除病毒。这是十分危险的,因为尽管目前已知的绝大多数勒索软件的攻击都是“一次性”的,但也有一部分病毒会带有诸如“下载者”这样的病毒成分,不及时处理,电脑就有可能会持续不断的遭到更多的木马病毒的侵害。

另外,研究发现,受害者选择采用何种方式清除病毒,与用户是否支付了赎金没有关系。

还有一点特别值得注意。在我们协助受害者进行电脑检测时发现,有相当数量的受害者在感染勒索软件时,并未安装任何安全软件。

调查中还发现,对于没有安装安全软件的受害者,在感染勒索软件后会首先下载并安装安全软件进行病毒查杀。但是,这种操作是存在一定的风险性的。如果受害者自行清除病毒,可能会同时删除掉被加密的文件和本地保留的密钥文件,造成文档无法解密。

第三章 WannaCry勒索软件的大规模攻击

2017年5月,影响全球的勒索软件永恒之蓝勒索蠕虫(WannaCry)大规模爆发,它利用了据称是窃取自美国国家安全局的黑客工具EternalBlue(永恒之蓝)实现了全球范围内的快速传播,在短时间内造成了巨大损失。本章主要针对永恒之蓝勒索蠕虫事件进行分析。关于WannaCry的深入技术分析,详见本报告“附录2 WannaCry攻击技术详解”。

一、 勒索蠕虫的空前影响

永恒之蓝勒索蠕虫(WannaCry)可能是自冲击波病毒以来,影响范围最广,破坏程度最大的一款全球性病毒。特别是在该病毒的攻击过程中,大量“不联网”的、一向被认为是相对比较安全的企业和机构的内网设备也被感染,这给全球所有企业和机构都敲响了警钟:没有绝对的隔离,也没有绝对的安全,不联网的不一定比联网的更加安全。

作为一款“破坏性”病毒,WannaCry的传播速度和影响都是十分惊人的。360互联网安全中心于2017年5月12日中午13点44分,截获了WannaCry的首个攻击样本,是世界上最早截获该病毒的公司。而在随后的短短几个小时内,就有包括中国、英国、美国、德国、日本、土耳其、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等国家被报告遭到了WannaCry的攻击,大量机构设备陷入瘫痪。

根据360互联网安全中心的数据统计,仅仅30多个小时,截至2017年5月13日20:00时,360互联网安全中心便已截获遭WannaCry病毒攻击的我国政企机构IP地址29372个。而从后续国内外媒体披露的情况来看,在全球范围内遭受此次WannaCry病毒攻击的国家已超过了100个。

WannaCry感染电脑设备后,会将电脑中的办公文档、照片、视频等文件加密,并向用户勒索比特币。

2017年5月12日下午14时许,距发现WannaCry病毒仅仅十几分钟,360安全监测与响应中心就启动了针对WannaCry的黄色应急响应程序,并于当日下午14:26,通过360安全卫士微博发出全面预警通告。与此同时,CNCert、各地网信办、公安机关等部门也都先后启动了全国范围内的大规模应急响应预警和处置工作。经过全国安全工作者大约72小时的连续奋战,截至2017年5月15日下午,WannaCry的快速传播得到了有效的抑制,到5月16日,新增感染者数量已经非常有限。

二、 WannaCry攻击态势分布

360互联网安全中心监测显示,WannaCry自被发现以来,相关网络攻击一直存在,而且攻击范围越来越广。

WannaCry病毒入侵到用户的电脑后,首先会先访问一个特定的,原本并不存在的网站:

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果连接成功则退出程序,连接失败则继续攻击(相当于是个开关)。但在WannaCry大爆发第二天(2017年5月13日晚),英国的一个分析人员对这个域名进行了注册,病毒再访问这个网站就发现能访问了,即不再加密用户数据。所以5月份之后,遭到WannaCry攻击的联网电脑中的文件不会被实质性加密。也就是说虽然该病毒还在传播,但已经没有实际危害了。2017年5月-11月,永恒之蓝勒索蠕虫WannaCry攻击态势分析如下图所示。

360威胁情报中心及360天擎的监测信息显示,不同行业遭受永恒之蓝勒索蠕虫攻击的情况也有所不同,工程建设行业是遭受攻击最多的行业,占比为20.5%,其次制造业为17.3%,能源行业为15.3%,具体分布如下图所示。需要说明的是,该数据是根据2017年5-11月的总体情况进行分析和统计的,与5月份永恒之蓝勒索蠕虫刚刚爆发时相关数据统计有一定的区别。

三、 三位一体的新型病毒

从事后分析来看,WannaCry的大规模传播绝非偶然。除了政企机构普遍存在的电脑更新不及时,系统防护能力弱等客观原因外,WannaCry所独有的一些新型特点也是其得以成功传播的关键。WannaCry最主要的特点是:勒索软件+蠕虫病毒+永恒之蓝。也正是由于这一特点,360互联网安全中心将该病毒的中文名称译为:永恒之蓝勒索蠕虫。

首先,WannaCry是首次被发现的勒索软件与蠕虫病毒的组合体。

勒索软件是最近一两年开始流行起来的一种趋利明显的恶意程序,它会使用非对称加密算法加密受害者电脑内的重要文件并以此来向受害者索要赎金,除非受害者支付赎金,否则被加密的文件无法被恢复。而以往的勒索软件,大多是通过挂马、邮件以及其他一些社工手段进行点对点的传播,从未出现过众多用户被自动攻击的情况。

而蠕虫病毒的历史则比较久远,最早可以追溯到1988年著名的莫里斯蠕虫。这类病毒主要是利用系统漏洞,对联网设备进行扫描,并发起自动攻击。早些年也曾出现过类似“冲击波”这样破坏性明显的蠕虫病毒,但近年来,蠕虫病毒则主要被用于制造僵尸网络,用以发动诸如垃圾邮件攻击和DDoS攻击等,少量蠕虫会进行盗窃数字资产等活动。

但WannaCry则是首次将“勒索”与“蠕虫”相结合,从而使勒索软件获得了一种超低成本的攻击方式,并在现实攻击中得以猖獗。从结果来看,WannaCry破坏了海量的数据,不仅导致了信息的损毁,还直接导致依赖文件进行工作的电脑和设备失去服务能力,引发业务的中断,影响从线上波及线下,甚至使很多政府机构对外办事机构都停了工。

第二,WannaCry是军用武器民用化的产物。

蠕虫病毒的攻击其实每天都在发生。但如果只是一般的蠕虫病毒,也不至于传播得如此广泛。而WannaCry的一个重要特点,就是整合了Shadow Brokers(影子经纪人,黑客组织)所公布的,据称是NSA数字武器库中最好用的武器:ETERNALBLUE(永恒之蓝) SMB漏洞利用工具。尽管在WannaCry爆发时,永恒之蓝所利用的系统漏洞已经被微软的官方补丁修护,但由于该漏洞补丁仅推出一个月,很多政企机构还未能及时给自己的内网设备全面更新,加之永恒之蓝是一款军用级网络攻击武器,未打补丁的设备很难有效防护,所以使得WannaCry的攻击异常顺利。

事实上,早在2015年Hacking Team武器库泄漏事件后,军用网络武器的民用化趋势就已经呈现了出来,WannaCry的出现,使这种趋势成为了噩梦。

四、 自杀开关的成败得失

WannaCry在逻辑设计上,有一个非常不可思议的特点,就是该病毒启动时,会首先访问一个原本并不存在的网址URL:http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。之后,WannaCry会根据对该URL的访问结果来决定是否再继续执行下去:如果访问成功,程序会直接退出;如果访问失败,程序才会继续攻击下去。

下图是逆向的程序启动逻辑的C语言伪代码。

 

这的确是一个非常罕见的病毒设计逻辑。起初我们猜测这个启动逻辑可能是蠕虫作者为了控制蠕虫活跃度而设计的一个云开关,而蠕虫作者最终可能是因为害怕被追踪而放弃了注册这个域名。但在分析该病毒的其他部分代码时,我们发现WannaCry的作者应该是一名对病毒检测对抗拥有丰富经验的人,所以我们又猜测作者可能是出于对抗检测的目的而设计了这个开关。

具体来说,目前的病毒检测分为在线检测和离线检测两种。离线检测能保证病毒检测系统以安全高效的方式工作。但要做“离线病毒分析”,就需要对病毒检测系统做很多特殊处理,比如检测系统需要欺骗病毒程序使其认为自己是运行在连线的网络环境中。这就需要使用到Fake Responses(欺骗响应)技术:即病毒的所有网络请求都会被病毒检测系统模拟响应。所以,病毒作者可能是想使用这个启动逻辑来识别病毒检测系统是否有网络欺骗行为,以保护病毒在传播初期不被杀毒厂商快速检测封杀,从而错过控制蠕虫病毒大范围感染传播的最佳时机。而一旦病毒感染的设备达到一定的规模,就会呈现几何基数的快速增长,进而变得不可控。

但从实战情况来看,也恰恰这个被特殊设计的自杀开关,成为了安全人员追踪和反制WannaCry传播的重要方法。首先,由于英国的一组安全研究人员快速注册了这个本不存在URL,从而直接避免了大量联网设备感染WannaCry后被锁;第二,我们可以通过WannaCry对该URL的访问请求量或DNS解析量进行分析,来实现对WannaCry感染疫情的总体监控。360互联网安全中心也正是基于DNS解析量的分析,快速实现了对WannaCry感染疫情态势感知。

在WannaCry后期的各类变种中,有的修改了自杀开关的URL地址,有的则是直接删除了该自杀开关。

五、 WannaCry整体攻击流程

WannaCry整体攻击流程大致如下:

1) 利用永恒之蓝工具,通过MS17-010漏洞,入侵用户电脑;
2) 执行一个dll文件,释放可执行模块mssecsvc.exe;
3) 访问指定URL,即自杀开关;
4) 若指定URL连接不上,则释放mssecsvc2.0;
5) 释放Dropper,对电脑中的文件进行加密及发送勒索消息;
6) 感染其他电脑。

六、 WannaCry穿透内网原因

2017年5月,影响全球的永恒之蓝勒索蠕虫(Wannacry)大规模爆发后,有两个重要问题一直让很多我国政企机构管理者和安全从业者感到困惑:一个是内网穿透问题,一个是同业差距问题。

1) 内网穿透问题

WannaCry传播和攻击的一个明显的特点,就是内网设备遭感染的情况要比互联网设备遭感染的情况严重得多。虽然说,未打补丁是内网设备中招的根本原因,但WannaCry究竟是如何穿透的企业网络隔离环境,特别是如何穿透了物理隔离的网络环境,一直是令业界困惑的问题。

2) 同业差距问题

WannaCry传播和攻击的另外一个重要特点,就是有些机构大面中招,而有些机构则几乎无一中招。而且,即便是在同行业、同规模、同级别,甚至是安全措施都差不太多的大型政企机构中,也是有的机构全面沦陷,有的机构却安然无事。究竟是什么原因导致这种天差地别的结果呢?

为能深入研究上述两个问题,寻找国内政企机构安全问题的症结所在及有效的解决途径,360威胁情报中心联合360安全监测与响应中心,对5月12日-5月16日间,国内1700余家大中型政企机构的网络安全应急响应情况进行了抽样调研。并对上述问题得出了一些初步结论。

此次调研显示,在大量感染WannaCry的机构案例中,病毒能够成功入侵政企机构内部网络的主要原因有以下几个:

1) 一机双网缺乏有效管理

一机双网或一机多网问题,是此次WannaCry能够成功入侵物理隔离网络的首要原因。一机双网问题是指一台电脑设备既连接在物理隔离的网络中,同时又直接与互联网或其他网络相连。病毒首先通过互联网感染某台设备,随后再通过这台染毒设备攻击内网系统中的其他设备。

2) 缺陷设备被带出办公区

将未打补丁或有安全缺陷的设备带出办公场所,并与互联网相连,是此次WannaCry感染内网设备的第二大主要原因。WannaCry爆发初期,时逢“一带一路”大会前夕。很多机构在此期间进行了联合集中办公,其中就不乏有机构将内部办公网上电脑设备被搬到了集中办公地点使用。这些电脑日常缺乏有效维护,未打补丁,结果不慎与互联网相连时就感染了WannaCry。而这些被带出办公区的缺欠电脑,又由于工作需要,持续的,或不时的会通过VPN、专线等方式与机构内网相连,于是又将WannaCry感染到了机构的内网设备中。

3) 协同办公网络未全隔离

这是一类比较特殊的问题,但在某些政企机构中比较突出。即,某些机构在其办公系统或生产系统中,同时使用了多个功能相互独立,但又需要协同运作的网络系统;而这些协同工作的网络系统中至少有一个是可以与互联网相连的,从而导致其他那些被“物理隔离”的网络,在协同工作过程中,因网络通信而被病毒感染。

4) 防火墙未关闭445端口

这一问题主要发生在政企机构内部的不同子网之间。大型政企机构,或存在跨地域管理的政企机构之中,发生此类问题的较多。一般来说,企业使用的防火墙设备,大多会对互联网访问关闭445端口。但很多企业在内部多个子网系统之间的防火墙(内部防火墙)上,却没有关闭445端口。从而导致这些政企机构内部的某个子网中一旦有一台设备感染了WannaCry(可能是前述任何一种原因),病毒就会穿透不同子网之间防火墙,直接对其他子网系统中的设备发动攻击,最终导致那些看起来相互隔离的多个子网系统全部沦陷,甚至有个别企业的共享服务器被感染后,直接导致其在各地分支机构的网络设备全部中招。

5) 办公网与生活网未隔离

这一问题在某些超大型政企机构中比较突出。受到历史、地理等复杂因素的影响,这些机构大多自行建设了规模非常庞大的内部网络,而且这些网络本身并未进行非常有效的功能隔离。特别是这些企业在办公区附近自建的家属楼、饭店、网吧,及其他一些娱乐场所,其网络也往往是直接接入了企业的内部网络,而没有与办公区的网络进行有效隔离。这也就进一步加剧了不同功能区电脑设备之间的交叉感染情况。

6) 外网设备分散无人管理

这也是一类比较特殊,但在某些政企机构中比较突出的问题。产生这一问题的主要原因是:某些政企机构,出于管辖、服务等目的,需要将自己的电脑设备放在关联第三方的办公环境中使用;但这些关联第三方可能是多家其他的政企机构,办公网点也可能分散在全国各地,甚至是一个城市中的多处不同地点;由此就导致了这些设备虽然被经常使用,但却长期无人进行安全管理和维护,电脑系统长期不打补丁,也不杀毒的情况,所以也有相当数量的电脑中招。

七、 其他暴露出来的问题简析

(一) 意识问题

员工甚至IT管理者的安全意识差,轻视安全问题,不能对突发安全事件做出正确的判断,是本次永恒之蓝勒索蠕虫在某些机构中未能做到第一时间有效处理的重要原因。具体表现在以下几个主要方面:

1) 病毒预警不在乎:很多企业员工或管理者根本不相信会有严重的病毒爆发,即便是看到国家有关部门的预警公告后,也毫不在意。这种倾向在越低层的员工中越明显。
2) 管理规定不遵守:政企机构中普遍存在上班时间上网购物,上色情网站的情况;还有很多私自搭建WiFi热点,造成了机构内网暴露。而这些行为,在绝大多数机构中都是明文禁止的。
3) 应急方案不执行:看到企业紧急下发的安全须知、应急办法和开机操作规范等材料,很多机构员工仍然我行我素,不按要求操作。
4) 风险提示不满意:有很多员工看到安全软件进行风险提示,仍然选择放行相关程序或网页;甚至有人反馈要求安全厂商不要对某些恶意软件或恶意网站进行风险提示。

(二) 管理问题

从永恒之蓝勒索蠕虫事件来看,凡是出现较大问题的政企机构,其内部的安全管理也普遍存在非常明显的问题。具体也表现在以下几个方面:

1) 业务优先忽视安全:很多政企机构非常强调业务优先,并要求任何安全措施的部署都不得影响或减缓业务工作的开展;甚至有个别机构在明知自身网络系统及电脑设备存在重大安全漏洞或已大量感染病毒的情况,仍然要求业务系统带毒运行,拒绝安全排查和治理。更有个别机构为保证信息传达的及时,上级部门领导即便收到了带毒邮件,看到了安全软件的风险提示后,仍然会坚持向下级部门进行转发。
2) 安全监管地位较低:政企机构中的安全监管机构,安全监管领导的行政级别较低,缺乏话语权和推动力,难以推动落实网络安全规范,无法及时有效应对实时威胁,也是大规模中招企业普遍存在的一个典型特征。
3) 管理措施无法落实:由于安全监管部门在机构内的地位较低,日常的安全教育和培训又十分缺乏,从而导致了很多政企机构内部的安全管理措施无法落实。

(三) 技术问题

客观的说,通过员工教育来提高整体安全意识,在实践中往往是难以实现的。采用必要的技术手段还是十分必须的。从永恒之蓝勒索蠕虫的应急过程来看,政企机构内网设备遭大规模感染的主要技术原因有以下几个方面:

1) 物理隔离网络缺乏外联检测控制:很多采用物理隔离网络的机构,仅仅是在网络建设方面搭建了一张与互联网物理隔离的网络,而对联网设备本身是否真的会连接到互联网上,则没有采取任何实际有效的技术检测或管理方法。
2) 逻辑隔离网络缺乏内网分隔管理:采取逻辑隔离的网络,很多都存在内部子网之间边界不清的问题。这一方面表现为很多不同功能的网络设备完全没有任何隔离措施——如前述的某些大型政企机构自建的家属区、饭店、网吧等的网络与办公网没有隔离;另一方面则表现为尽管子网之间有相互隔离,但由于配置不当导致措施不够有效。
3) 隔离网内电脑不打补丁情况严重:电脑不打补丁,是永恒之蓝勒索蠕虫能够大范围攻击内网设备的根本原因。而政企单位内部隔离网络中的设备不打补丁的情况实际上非常普遍,但原因却是多种多样的。

我们不妨先来看看永恒之蓝相关的几个关键时间点:

永恒之蓝关键事件对应的时间点

也就是说,永恒之蓝勒索蠕虫在爆发之前,我们是有58天的时间可以布防的,但因为很多政企单位在意识、管理、技术方面存在一些问题,导致平时的安全运营工作没有做到位,才会在永恒之蓝来临之际手忙脚乱。

对于为何有大量的政企机构不给内网电脑打补丁这个具体问题,我们也一并在这里进行一个归纳总结。具体如下:

1) 认为隔离措施足够安全

很多机构管理者想当然的认为隔离的网络是安全的,特别是物理隔离可以100%的保证内网设备安全,因此不必增加打补丁、安全管控和病毒查杀等配置。

2) 认为每月打补丁太麻烦

在那些缺乏补丁集中管理措施的机构,业务系统过于复杂的机构,或者是打补丁后很容易出现异常的机构中,此类观点非常普遍。

3) 打补丁影响业务占带宽

很多带宽资源紧张或是内网设备数量众多的机构都持这一观点。有些机构即便是采用了内网统一下发补丁的方式,仍然会由于内网带宽有限、防火墙速率过低,或补丁服务器性能不足等原因,导致内部网络拥塞,进而影响正常业务。

4) 打补丁影响系统兼容性

因为很多机构内部的办公系统或业务系统都是自行研发或多年前研发的,很多系统早已多年无人维护升级,如果给内网电脑全面打补丁,就有可能导致某些办公系统无法再正常使用。

5) 打补丁可能致电脑蓝屏

这主要是因为某些机构内部电脑的软硬件环境复杂,容易出现系统冲突。如主板型号过老,长期未更新的软件或企业自用软件可能与微软补丁冲突等,都有可能导致电脑打补丁后出现蓝屏等异常情况。

综上所述,很多政企机构不给隔离网环境下的电脑打补丁,也并不都是因为缺乏安全意识或怕麻烦,也确实有很多现实的技术困难。但从更深的层次来看,绝大多数政企机构在给电脑打补丁过程中所遇到的问题,本质上来说都是信息化建设与业务发展不相称造成的,进而导致了必要的安全措施无法实施的问题。所以,企业在不断加强网络安全建设的同时,也必须不断提高信息化建设的整体水平,逐步淘汰老旧设备,老旧系统,老旧软件。否则,再好的安全技术与安全系统,也未必能发挥出最好的,甚至是必要的作用。

第四章 勒索软件攻击与响应典型案例

一、 永恒之蓝攻击与响应典型案例

永恒之蓝来势汹汹,在最为关键的72小时内,所有政企单位都在争分夺秒:已经感染的要控制风险扩散,尚未感染的要加固防线避免感染。

(一) 某大型能源机构的应急响应处置方案

  • 场景回顾

2017年5月12日14:26,360互联网安全中心发现安全态势异常,启动黄色应急响应程序,安全卫士在其官方微博上发布永恒之蓝紧急预警。5月13日凌晨1:23’,360安全监测与响应中心接到某大型能源企业的求助,反映其内部生产设备发现大规模病毒感染迹象,部分生产系统已被迫停产。360安全监测与响应中心的安全服务人员在接到求助信息后,立即赶往该单位总部了解实际感染情况。

  • 疫情分析

初步诊断认为:WannaCry病毒已在该机构全国范围内的生产系统中大面积传播和感染,短时间内病毒已在全国各地内迅速扩散,但仍处于病毒传播初期;其办公网环境、各地业务终端(专网环境)都未能幸免,系统面临崩溃,业务无法开展,事态非常严重。

进一步研究发现,该机构大规模感染WannaCry的原因与该机构业务系统架构存在一定的关联;用户系统虽然处于隔离网,但是存在隔离不彻底的问题;且存在某些设备、系统的协同机制通过445端口来完成的情况。

  • 处置方案

安服人员第一时间建议全网断开445端口,迅速对中招电脑与全网机器进行隔离,形成初步处置措施。随后,针对该企业实际情况,制定了应急处置措施,提供企业级免疫工具并开始布防。该企业在全国范围内针对该病毒发送紧急通知,发布内部应急处理和避免感染病毒的终端扩大传播的公告。

5月16日,病毒蔓延得到有效控制,染毒终端数量未继续增长,基本完成控制及防御工作。整个过程中,该企业和安全厂商全力协作配合,监控现场染毒情况、病毒查杀情况,最终使病毒得到有效控制。

(二) 某全国联网机构的应急响应处置方案

  • 场景回顾

5月13日上午9:00许,某大型政府机构接到安全厂商(360)工作人员打来的安全预警电话。在全面了解“永恒之蓝”病毒的爆发态势后,总局领导高度重视,立刻提高病毒应对等级。随机,安全公司在该机构的驻厂人员立即对该政府机构进行现场勘测。

  • 疫情分析

检测结果显示:该机构在各地都布置了防火墙设备,并且445端口处于关闭状态,而且统一在全国各地布置了终端安全软件,但是仍有终端电脑存在未及时打补丁情况。尽管该机构尚未出现中毒电脑,但是系统仍然存在安全隐患、有重大潜在风险。

  • 处置方案

应急指挥小组与安全公司驻厂工作人员协同明确应对方案:首先,优先升级总局一级控制中心病毒库、补丁库,确保补丁、病毒库最新;随后,开始手动升级省级二级控制中心,确保升级到最新病毒库和补丁库;对于不能级联升级的采用远程升级或者通知相关管理员手动更新;进一步对系统内各终端开展打补丁、升级病毒库、封闭端口工作。
最终,在病毒爆发72小时之内,该机构未出现一起感染事件。

(三) 某市视频监控系统应急响应处置方案

  • 场景回顾

5月13日凌晨3:00许,360安全监测与响应中心接到某单位(市级)电话求助,称其在全市范围内的的视频监控系统突然中断了服务,大量监控设备断开,系统基本瘫痪。安服人员第一时间进行了远程协助,初步判断:猜测可能是监控系统的服务器遭到攻击感染了勒索病毒,进而感染了终端电脑,建议立即逐台关闭Server服务,并运行免疫工具,同时提取病毒样本进行分析。

  • 疫情分析

安服人员现场实地勘察后发现:确实是该视频监控系统的服务器中招了,罪魁祸首正是WannaCry,并且由于服务器中招已经使部分办公终端中招。溯源分析显示,“永恒之蓝”先在一台视频网络服务器上发作,然后迅速扩散,导致该市局视频专网终端及部分服务器(大约20多台)设备被病毒感染,数据均被加密,导致大量监控摄像头断开连接。断网将对当地的生产生活产生重要影响。

  • 处置方案

安服人员首先在交换机上配置445端口阻塞策略;其次,分发勒索病毒免疫工具,在未被感染的终端和服务器上运行,防止病毒进一步扩散;另外,对于在线终端,第一时间推送病毒库更新和漏洞补丁库;由于部分被加密的服务器在被感染之前对重要数据已经做了备份,因此对这些服务器进行系统还原,并及时采取封端口、打补丁等措施,避免再次感染。

至5月16日,该机构的视频监控系统已经完全恢复正常运行,13日凌晨被感染的终端及服务器以外,没有出现新的被感染主机。

(四) 某大企业提前预警紧急处置避免感染

  • 场景回顾

5月13日,某单位信息化部门工作人员看到了媒体报道的永恒之蓝勒索蠕虫事件。虽然该单位内部尚未发现感染案例,但考虑到自身没有全面部署企业级安全管理软件,所以对自身安全非常担忧。5月14日上午8:00,该单位紧急打电话向360安全监测与响应中心求助。

  • 疫情分析

安服人员现场实际勘测后发现:该机构实际上已经部署了防火墙、上网行为管理等网关设备,但是内部没有使用企业级安全软件,使用的是个人版安全软件。所以难以在很短的时间内摸清内部感染情况。

  • 处置方案

在安服人员协助下,该单位开始进行全面的排查,并采取必要的防护措施。在NGFW设备上开启控制策略,针对此次重点防护端口445、135、137、138、139进行阻断;同时,将威胁特征库、应用协议库立即同步至最新状态;在上网行为管理设备中更新应用协议库状态,部署相应控制策略,对“永恒之蓝勒索蠕虫”进行全网阻塞。

在病毒爆发72小时之内,该机构未出现一起感染事件。但是,在第一时间该机构无法准确判断自己的实际感染情况,造成恐慌。经过此次事件,该机构已经充分认识到企业级终端安全管理的重要性。

(五) 某新能源汽车厂商的工业控制系统被勒索

  • 场景回顾

2017年6月9日,某新能源汽车制造商的工业控制系统开始出现异常。当日晚上19时,该机构生产流水线的一个核心部分:动力电池生产系统瘫痪。这也就意味着所有电动车的电力电机都出不了货,对该企业的生产产生了极其重大的影响。该机构紧急向360安全监测与响应中心进行了求助。

实际上,这是永恒之蓝勒索蠕虫的二次突袭,而该企业的整个生产系统已经幸运的躲过了5月份的第一轮攻击,却没有躲过第二次。监测显示,这种第二轮攻击才被感染情况大量存在,并不是偶然的。

  • 疫情分析

安服人员现场实际勘测发现:该机构的工业控制系统已经被WannaCry感染,而其办公终端系统基本无恙,这是因其办公终端系统上安装了比较完善的企业级终端安全软件。但在该企业的工业控制系统上,尚未部署任何安全措施。感染原因主要是由于其系统存在公开暴露在互联网上的接口。后经综合检测分析显示,该企业生产系统中感染WannaCry的终端数量竟然占到了整个生产系统电脑终端数量的20%。

事实上,该企业此前早已制定了工业控制系统的安全升级计划,但由于其生产线上的设备环境复杂,操作系统五花八门(WinCE终端、WinXP终端及其他各种各样的终端都会碰到),硬件设备也新老不齐(事后测试发现,其流水线上最老的电脑设备有10年以上历史),所以部署安全措施将面临巨大的兼容性考验,所以整个工控系统的安全措施迟迟没有部署。

  • 处置方案

因该厂商的生产系统中没有企业级终端安全软件,于是只能逐一对其电脑进行排查。一天之后也仅仅是把动力电池的生产系统救活。此后,从6月9日开始一直到7月底差不多用了两个月时间,该企业生产网里中的带毒终端才被全部清理干净。经过此次事件,该机构对工业控制系统安全性更加重视,目前已经部署了工控安全防护措施。经过测试和验证,兼容性问题也最终得到了很好的解决。

二、 混入升级通道的类Petya勒索病毒

  • 病毒简介

类Petya病毒是2017年全球流行并造成严重破坏的一类勒索软件。具体包括Petya病毒,NotPetya病毒和BadRabbit病毒(坏兔子)三种。从纯粹的技术角度看,类Petya病毒的三个子类并不属于同一木马家族,但由于其攻击行为具有很多相似之处,因此有很多安全工作者将其归并为一类勒索软件,即类Petya病毒。

Petya病毒主要通过诱导用户下载的方式进行传播。病毒会修改中招机器的MBR(主引导记录,Master Boot Record)并重启设备。重启后,被感染电脑中MBR区的恶意代码会删除磁盘文件索引(相当于删除所有文件) ,导致系统崩溃和文件丢失。

NotPetya主要通过永恒之蓝漏洞进行初次传播。破坏方式同Petya相同(具体实现上的技术细节略有不同)。其后期版本还会通过局域网弱口令或漏洞进行二次传播。2017年6月底爆发在乌克兰、俄罗斯多个国家的勒索软件攻击事件,实际上就是NotPetya的攻击活动。由于其行为与Petya及其类似,因此一开始被很对人误认为是Petya病毒攻击。由于NotPetya存在破坏性删除文件的行为,因此,即便支付了赎金,数据恢复的可能性也不大。关于NotPetya的真实攻击目的,目前业界也还有很多不同的看法。

BadRabbit主要通过诱导用户下载进行初次传播。会通过一般的勒索软件常用的不对称加密算法加密用户文件,并修改MBR导致用户无法进入系统。同时,还会通过局域网弱口令或漏洞进行二次传播。

  • 场景回顾

2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模“类Petya”勒索病毒袭击,该病毒远程锁定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

  • 疫情分析

根据事后的分析,此次事件在短时间内肆虐欧洲大陆,在于其利用了在乌克兰流行的会计软件M.E.Doc进行传播。这款软件是乌克兰政府要求企业安装的,覆盖率接近50%。更为严重的是,根据安全机构的研究,M.E.Doc公司的升级服务器在问题爆发前接近三个月就已经被控制。也就是说,攻击者已经控制了乌克兰50%的公司的办公软件升级达三个月之久。类Petya攻击只是这个为期三个月的控制的最后终结,目的就是尽可能多的破坏掉,避免取证。至于在之前的三个月当中已经进行了什么活动,已无法得知了。

三、 服务器入侵攻击与响应典型案例

(一) 某关键基础设施的公共服务器被加密

  • 病毒简介

勒索病毒是个舶来品,无论是英文版的勒索信息,还是比特币这一赎金交付方式,都透漏着浓浓的国际化味道。而最近,360威胁情报中心却发现一款国产化的勒索病毒。该病毒为国内黑客制造,并第一次以乐队名字MCR命名,即称该病毒为MCR勒索病毒。该病毒在2017年7月底首次出现,采用python语言编写。

该病毒加密文件后,文件扩展名会变为“.MyChemicalRomance4EVER”。而扩展名中的“My Chemical Romance”,其实是源自一支美国新泽西州的同名朋克乐队。该乐队成立于2002年,十一年后的2013年宣告解散。朋克这种充满了叛逆与不羁的音乐风格向来深受年轻人的喜爱。
该勒索软件的特点是:在加密的文件类型列表中,除了大量的文档类型外,还包括有比特币钱包文件和一些较重要的数据库文件。而另一个更大的特点则是,该木马不同于以往的勒索软件使用不对称加密算法,而是采用了AES对称加密算法,并且用于加/解密的密钥则是硬编码在脚本中的:“MyChemicalRomance4EVER_tkfy_lMCR”中。因为使用对称加密算法,并且密钥可以从脚本中获得。所以在不支付赎金的情况,被加密的文件资料也可以比较容易的被解密恢复。

  • 场景回顾

2017年8月5日,某公共服务系统单位的工作人员在对服务器进行操作时,发现服务器上的Oracle数据库后缀名都变为了“.MyChemicalRomance4EVER”,所有文件都无法打开。该IT人员怀疑自己的服务器被勒索软件进行了加密,因此向360安全监测与响应中心进行求助。

  • 疫情分析

安全人员现场勘测发现,该公共服务系统感染的是MCR勒索病毒。该病毒名字起的很“朋克”,但传播方式却颇为老套,即伪装成一些对广大网民比较有吸引力的软件对外发布,诱导受害者下载并执行。比如我们现场截获并拿来分析的这个样本,就自称是一款叫做“VortexVPN”的VPN软件。除此之外,还有类似于PornDownload、ChaosSet、BitSearch等,基本都是广大网友都懂得的各种工具软件。

而与众不同的是,这款病毒竟然是用Python语言编写了木马脚本,然后再打包成一个.exe的可执行程序。首先,木马会判断自身进程名是否为systern.exe。如果不是,则将自身复制为C:\Users\Public\systern.exe并执行。之后,木马释放s.bat批处理脚本,关闭各种数据库和Web服务及进程。接下来,就是遍历系统中所有文件并加密且留下勒索信息了。当然,为了避开敏感的系统文件,代码有意避开了“C:\Documents and Settings”和“C:\Windows”两个目录。最终木马会调用系统的wevtutil命令,对系统日志中的“系统”、“安全”和“应用程序”三部分日志内容进行清理,并删除自身,以求不留痕迹。

  • 处置方案

安服人员发现该勒索软件程序写的有漏洞,可直接利用360解密工具恢复数据。因此,在未向黑客支付一分钱的前提下,360帮助该单位成功的恢复了所有被加密的文件。建议该企业员工:不要从不明来源下载程序;安装杀毒软件并开启监控;更不要相信所谓外挂、XX工具、XX下载器一类的程序宣称的杀软误报论。

(二) 某云平台服务上托管的服务器被加密

  • 病毒简介

2016年2月,在国外最先发现的一款能够通过Java Applet传播的跨平台(Windows、MacOS)恶意软件Crysis开始加入勒索功能,并于8月份被发现用于攻击澳大利亚和新西兰的企业。Crysis恶意软件甚至能够感染VMware虚拟机,还能够全面收集受害者的系统用户名密码,键盘记录,系统信息,屏幕截屏,聊天信息,控制麦克风和摄像头,现在又加入了勒索功能,其威胁性大有取代TeslaCrypt和对手Locky勒索软件的趋势。

Crysis勒索软件的可怕之处在于其使用暴力攻击手段,任何一个技能娴熟的黑客都可以使用多种特权升级技术来获取系统的管理权限,寻找到更多的服务器和加密数据来索取赎金。主要攻击目标包括Windows服务器(通过远程爆破RDP账户密码入侵)、MAC、个人PC电脑等。该勒索软件最大特点是除了加密文档外,可执行文件也加密,只保留系统启动运行关键文件,破坏性极大。

  • 场景回顾

2017年10月15日,某云平台服务商,发现托管在自己机房的用户服务器上的数据均被加密,其中包含大量合同文件、财务报表等文件都无法打开。该IT人员怀疑自己的服务器被勒索软件进行了加密,因此向360安全监测与响应中心进行求助。

  • 疫情分析

安服人员现场实际勘测发现:该机构的公共服务器被暴露在公网环境中,并且使用的是弱密码;黑客通过暴力破解,获取到该服务器的密码,并使用远程登录的方式,成功的登录到该服务器上。黑客在登陆服务器后,手动释放了Crysis病毒。

  • 处置方案

因其服务器上存储着大量重要信息,其对企业发展产生至关重要的作用,所以该机构选择支付赎金,成功恢复所有被加密的文档。下图为该机构支付赎金的解密过程示意图。

(三) 江苏某大型房地产企业服务器被加密

  • 病毒简介

GlobeImposter病毒最早出现是在2016年12月份左右,第一个版本存在漏洞,可解密,但后期版本只能支付赎金解密。2017年5月份出现新变种,7、8月初进入活跃期。该病毒从勒索文档的内容看跟Globe家族有一定的相似性。

  • 场景回顾

2017年7月12日,某大型房地产企业发现自己的服务器上数据库被加密,该企业的IT技术人员担心受到责罚,隐瞒实际情况未上报。10月18日,该企业领导在查询数据时,发现服务器上的数据均已经被加密,且长达数月之久,意识到自己内部员工无法解决此问题,于是向360安全监测与响应中心进行求助。

  • 疫情分析

安全厂商人员实际勘测发现:攻击者主要是使用带有恶意附件的邮件进行钓鱼攻击。受害者在点击了附件中的VBS脚本文件,即GlobeImposter病毒后,VBS脚本文件负责从网络上下载勒索软件,通过rundll32.exe并带指定启动参数进行加载。样本执行后在内存中解密执行,解密后才是真正的功能代码。该勒索软件会对系统中的文件进行扫描,对磁盘上指定类型的文件进行加密,被样本加密后的文件后缀为.thor。样本加密文件所使用的密钥为随机生成,加密算法为AES-CBC-256,用样本内置的RSA公钥,通过RSA-1024算法对随机生成的AES加密密钥进行加密处理。

  • 处置方案

由于距离加密时间太久,黑客密钥已经过期,被加密的数据和文件无法恢复,给该企业造成了大量的财产损失。

(四) 某市政务系统的服务器被加密

  • 病毒简介

CryptON病毒最早出现在2016年12月,该病毒是一系列Cry9,Cry36,Cry128,Nemsis等勒索病毒的统称,早期版本可通过对比加密和未加密的文件来暴力运算破解获取解密密钥,后期版本无法解密。

  • 场景回顾

2017年11月26日,某市政务系统被发现其服务器上的数据库、业务系统不能使用,文件内容无法存储,所有文件都打不开了。该机构紧急向360安全监测与响应中心进行求助。

  • 疫情分析

安服人员现场勘测发现:该系统感染的勒索软件为CryptON病毒。攻击者首先使该机构的IT运维人员的电脑感染木马程序,之后在IT人员登录服务器时窃取了账号和密码,再通过窃得的帐号密码远程登录到服务器上,最后释放勒索软件。

  • 处置方案

由于CryptON病毒的不可解性,要想恢复数据文件,只能支付赎金。该机构在得知只有支付赎金才能解密的情况下,放弃了数据恢复,直接重装了系统,并加强了对运维人员电脑的监控与管理。

(五) 某知名咨询公司的两台服务器被加密

  • 场景回顾

2017年11月,某知名咨询公司发现其服务器上所有文件被加密,怀疑自己感染了勒索病毒,紧急向360安全监测与响应中心进行求助。

根据该企业IT人员介绍:被锁定的服务器一共有两台,一台是主服务器,存储了大量该咨询公司为国内外多家大型企业提供咨询服务的历史资料,十分珍贵;而另一台是备份服务器,主要是出于安全考虑,用于备份主服务器资料。两台设备同时被锁,意味着备份数据已不存在;同时,目前只要将U盘插入服务器,U盘数据也会被立即加密。在发现服务器中毒后,他们已经对当日与服务器连接过的所有办公终端进行了排查,未发现有任何电脑的中毒迹象。

  • 疫情分析

安服人员现场勘测发现:该企业未曾部署过任何企业级安全软件或设备,其服务器上安装的是某品牌免费的个人版安全软件,所有200余台办公电脑安装的也都是个人版安全软件,且未进行过统一要求。中招服务器升级了5月份的漏洞补丁,后续月份的补丁都没有升级过;同时,其内部办公终端与服务器之间也没有进一步的安全防护措施,仅仅靠用户名和密码来进行验证。

经确认,该公司两台服务器感染的勒索软件为Crysis的变种,文件被加密后的后缀名为为.java,目前这个勒索软件无解。这个家族有一个特点就是针对的都是服务器,攻击的方式都是通过远程桌面进去,爆破方式植入。而之所以会发生U盘插入后数据全部被加密的情况,是因为服务器上的勒索软件一直没有停止运行。

  • 处置方案

在安服人员的远程指导下,该企业IT人员首先断开了服务器的网络链接;随后卸载了服务器上已经安装的安全软件。这一步的处置措施还是十分必要的,因为一旦安全软件发挥作用杀掉了勒索软件,那么对于已经感染勒索软件的电脑来说,有可能导致勒索软件被破坏,被加密的数据无法恢复。

因被加密的两台服务器上存储着该企业及其重要的资料,且无其他备份。所以该企业在得知无法解密的情况下,选择向攻击者支付赎金,进而文件恢复。

特别的是,攻击者显然是对该企业的网络服务系统进行了长期、细致的研究,同时攻击主服务器和备份服务器是经过精心设计和周密考虑的。

第五章 2018年勒索软件趋势预测

2017年,勒索软件的攻击形式和攻击目标都已经发生了很大的变化。本章将给出我们对2018年勒索软件攻击趋势的预测。

一、 整体态势

(一) 勒索软件的质量和数量将不断攀升

2017年勒索软件在暗网上获得规模性增长,相关产品销售额高达623万美元,是2016年的25倍,而一款DIY勒索软件售价从50美分到3000美元不等,中间价格一般在10.5美元左右。2017年7月,根据谷歌、加州大学圣地亚哥分校和纽约大学坦登工程学院的研究人员联合发布的一份报告显示,在过去两年,勒索软件已迫使全球受害者累计支付了超过2500万美元的赎金。

无论对制作者还是使用者而言,影响广泛、物美价廉、门槛低获利快的勒索软件都是当前比较“靠谱”的获利方式,因此,制作者会不断采用新的技术来提升勒索软件的质量,使用者则会通过使用更多数量的勒索软件来广开财路。

(二) 勒索软件会越来越多的使用免杀技术

成功进驻系统并运行是敲诈勒索的前提。因此,为了获得更大的经济利益,在勒索软件的制作、传播过程中,首先要做的就是“自我保护”,即躲避杀毒软件的查杀。以Petrwrap为例,它在6月底在欧洲引发大面积感染,俄罗斯、乌克兰、波兰、法国、意大利、英国及德国也被其感染。但根据《黑客新闻》6月27日报道,最近的VirusTotal扫描显示,61款杀毒软件当中只有16款能够成功检测到该病毒。

在各界充分认识到勒索软件引发的可怕后果的前提下,攻击者必然会在2018年趁热打铁,充分利用这种担心和恐慌获取更多的赎金,不断使用更新的技术和更多的变种来突破杀毒软件的防线将成为必然。

二、 攻击特点

(一) 勒索软件的传播手段将更加多样化

相比于个人受害者,组织机构更有可能支付大额赎金,而感染更多设备从而给组织机构造成更大的损失是提升赎金支付可能性的重要手段。因此,除了通过更多的漏洞、更隐蔽的通道进行原始传播,勒索软件的自我传播能力也将会被无限的利用起来,类似WannaCry、类Petya、坏兔子等以感染的设备为跳板,然后利用漏洞进行横向移动,攻击局域网内的其他电脑,形成“一台中招,一片遭殃”的情况将会在2018年愈演愈烈。针对各企业对于软件供应链的管理弱点,通过软件供应链通道进行原始传播在未来一年有很大概率被再次利用。

(二) 勒索软件的静默期会不断延长

震惊全球的WannaCry的大规模爆发开始于5月12日(星期五)下午,周末正好是组织机构使用电脑的低峰期,这给安全厂商和组织机构应急处置以免蠕虫快速扩散提供了足够的缓冲时间,也让攻击者失去了获得更多赎金的可能。

为了避免“亏本”,获得更多的赎金,未来的勒索软件会在获得更多“勒索筹码”之前尽可能隐蔽自己,一边延长自己的生命周期,一边选择合适的时间发作,让安全厂商合组织机构“措手不及”。

事实上,“永恒之石”病毒就是很好的佐证,它采用了7个被影子经纪人黑客团伙放出的据称是NSA开发的漏洞利用工具,被称为可突然袭击的“世界末日”级蠕虫。一旦进入系统,它会下载Tor的私有浏览器,发送信号到其隐藏服务器,然后进入等待状态,24小时内没有任何动作,之后服务器便会响应,开始下载和自我复制动作。目前为止,“永恒之石”依然静静地传播和感染更多计算机中,有鉴于其隐秘本质,有多少台电脑已经被“永恒之石”感染尚未可知,它会被武器化成什么样子也还不明朗。

三、 攻击目标

(一) 勒索软件攻击的操作系统类型将越来越多

目前,绝大多数勒索软件攻击的都是Windows操作系统,但针对MacOS的勒索软件MacRansom已经出现在暗网中;针对Linux服务器的勒索软件Rrebus也已经造成了巨大的损失;针对安卓系统的勒索软件也在国内网络中出现。但这也许只是开始,越自认为“安全”、越小众的系统,防护能力可能越弱,一旦被攻破,支付赎金的可能性也就越大,因此,勒索软件不会放过任何一个系统。

(二) 勒索软件定向攻击能力将更加突出

2017年影响面最大的两个勒索软件,WannaCry(永恒之蓝)攻击者收到的赎金可能不足15万美元,类Petya的攻击者更是只拿到可怜的11181美元赎金,但针对Linux服务器的勒索软件Rrebus看似名不见经传,却轻松从韩国Web托管公司Nayana收取100万美元赎金,仅此一家缴纳的赎金就是永恒之蓝从全球获得赎金的7倍之多。

由此可见,针对特定行业、关键业务系统的敲诈勒索更容易成功,更容易获得高额赎金,这将让以敲诈勒索为核心目的的攻击者逐渐舍弃华而不实的广撒网式攻击,将重心转移到发动更有针对性的定向攻击。

四、 造成损失

(一) 经济损失与赎金支付都将持续升高

安全意识培训公司KnowBe4曾估测:WannaCry的大规模爆发,在其前4天里,就已经造成了10亿美元的经济损失。而随着勒索软件技术的进一步成熟和平台化,勒索软件的攻击也将会更加频繁,攻击范围更加广泛,造成的经济损失也会不断攀升。

美国网络安全机构Cybersecurity Ventures在2017年5月发布的报告中预测,2017年勒索软件攻击在全球造成的实际损失成本将达到 50 亿美元,预计2019年的攻击损失可能升至115亿美元。而相关数据还显示,勒索软件在2015年给全球造成的实际损失仅为3.25亿美元。

以类Petya勒索病毒为例,根据全球各地媒体的相关报道,仅仅是它给4家全球知名公司造成的经济损失就已经远超10亿美金,如下表所示。

知名企业遭到的重大损失情况

经济损失的不断提高也将促使更多的政企机构向攻击者支付赎金。预计到2018年,攻击者在不断提升勒索软件自身能力的同时,也将进一步锁定风险承受能力较差的攻击目标实施攻击,并在加密数据基础上使用更多的威胁方式,例如不支付赎金就将关键信息公开在互联网上等,迫使组织机构不得不缴纳高额的赎金。

鉴于很多组织机构即便承受巨额损失也没有交纳赎金,将来攻击者还可能会开展“针对性服务”,让感染者支付其“能力范围内”的赎金。例如攻击者就与Nayana进行了漫长的谈判,将赎金从最初的440万美元降至100万美元,才出现了2017年的单笔最高赎金事件。

所以,未来迫不得已支付赎金的政企机构中招者会越来越多,也会出现更多类似韩国Web托管公司Nayana支付100万美元赎金的大户,攻击者获得的赎金总额必将持续升高。

(二) 通过支付赎金恢复文件的成功率将大幅下降

对于中招的组织机构而言,在尝试各种方式解密被勒索软件加密的数据无果后,即便想要通过支付赎金的方式来解决问题,其成功率也将大幅下降。其主要原因倒不是勒索者的信用会快速下降,而是很多现实的网络因素可能会大大限制你支付赎金恢复文件的成功率。

首先,你可能“没钱可付”,绝大多数的勒索软件均以比特币为赎金支付方式,但9月底比特币在中国已经全面停止交易了。

其次,你也可能“来不及付”,交纳赎金一般是有时间限制的,一般为1-2天,但国产勒索病毒Xiaoba只给了200秒的反应时间。

第三,你即便通过各种方式支付了赎金,也可能“无法提供付款证明”给攻击者,因为很多勒索软件要求受害者向特定邮箱发送支付证明,黑客才会为其解锁,但越来越多的邮件供应方无法忍受攻击者通过其平台非法获利,而会第一时间将其邮箱关停。

第六章 勒索软件防御技术新趋势

一、 个人终端防御技术

(一) 文档自动备份隔离保护

文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。

鉴于勒索软件一旦攻击成功往往难以修复,而且具有变种多,更新快,大量采用免杀技术等特点,因此,单纯防范勒索软件感染并不是“万全之策”。但是,无论勒索软件采用何种具体技术,无论是哪一家族的哪一变种,一个基本的共同特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征,通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,就可以在相当程度上帮助用户挽回勒索软件攻击的损失。

文档自动备份隔离技术就是在这一技术思想的具体实现,360将其应用于360文档卫士功能模块当中。只要电脑里的文档出现被篡改的情况,它会第一时间把文档自动备份在隔离区保护起来,用户可以随时恢复文件。无论病毒如何变化,只要它有篡改用户文档的行为,就会触发文档自动备份隔离,从而使用户可以免遭勒索,不用支付赎金也能恢复文件。

360文档卫士的自动备份触发条件主要包括亮点:一、开机后第一次修改文档;二、有可疑程序篡改文档。当出现上述两种情况时,文档卫士会默认备份包括Word、Excel、PowerPoint、PDF等格式在内的文件,并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式。比如电脑里的照片非常重要,就可以把jpg等图片格式加入保护范围。

此外,360文档卫士还集合了“文件解密”功能,360安全专家通过对一些勒索软件家族进行逆向分析,成功实现了多种类型的文件解密,如2017年出现的“纵情文件修复敲诈者病毒”等。如有网友电脑已不慎中招,可以尝试通过“文档解密”一键扫描并恢复被病毒加密的文件。

(二) 综合性反勒索软件技术

与一般的病毒和木马相比,勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击,已经成为一种主流的技术趋势。

下面就以360安全卫士的相关创新功能来分析综合性反勒索软件技术。相关技术主要包括:智能诱捕、行为追踪、智能文件格式分析、数据流分析等,具体如下。

智能诱捕技术是捕获勒索软件的利器,其具体方法是:防护软件在电脑系统的各处设置陷阱文件;当有病毒试图加密文件时,就会首先命中设置的陷阱,从而暴露其攻击行为。这样,安全软件就可以快速无损的发现各类试图加密或破坏文件的恶意程序。

行为追踪技术是云安全与大数据综合运用的一种安全技术。基于360的云安全主动防御体系,通过对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改则立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击,能够主动防御最新出现的勒索病毒。

智能文件格式分析技术是一种防护加速技术,目的是尽可能的降低反勒索功能对用户体验的影响。实际上,几乎所有的反勒索技术都会或多或少的增加安全软件和电脑系统的负担,相关技术能否实用的关键就在于如何尽可能的降低其对系统性能的影响,提升用户体验。360研发的智能文件格式分析技术,可以快速识别数十种常用文档格式,精准识别对文件内容的破坏性操作,而基本不会影响正常文件操作,在确保数据安全的同时又不影响用户体验。

数据流分析技术,是一种将人工智能技术与安全防护技术相结合的新型文档安全保护技术。首先,基于机器学习的方法,我们可以在电脑内部的数据流层面,分析出勒索软件对文档的读写操作与正常使用文档情况下的读写操作的区别;而这些区别可以用于识别勒索软件攻击行为;从而可以在“第一现场”捕获和过滤勒索软件,避免勒索软件的读写操作实际作用于相关文档,从而实现文档的有效保护。

二、 企业级终端防御技术

(一) 云端免疫技术

如本报告第三章相关分析所述,在国内,甚至全球范围内的政企机构中,系统未打补丁或补丁更新不及时的情况都普遍存在。这并非是简单的安全意识问题,而是多种客观因素限制了政企机构对系统设备的补丁管理。因此,对无补丁系统,或补丁更新较慢的系统的安全防护需求,就成为一种“强需求”。而云端免疫技术,就是解决此类问题的有效方法之一。这种技术已经被应用于360的终端安全解决方案之中。

所谓云端免疫,实际上就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户电脑做防护或打补丁;对于无法打补丁的电脑终端,免疫工具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵;除此之外,云端还可以直接升级本地的免疫库或免疫工具,保护用户的电脑安全。

需要说明的事,云端免疫技术只是一种折中的解决方案,并不是万能的或一劳永逸的,未打补丁系统的安全性仍然比打了补丁的系统的安全性有一定差距。但就当前国内众多政企机构的实际网络环境而诺言,云端免疫不失为一种有效的解决方案。

(二) 密码保护技术

针对中小企业网络服务器的攻击,是2017年勒索软件攻击的一大特点。而攻击者之所以能够渗透进入企业服务器,绝大多数情况都是因为管理员设置的管理密码为弱密码或帐号密码被盗。因此,加强登陆密码的安全管理,也是一种必要的反勒索技术。

具体来看,加强密码保住主要应从三个方面入手:一是采用弱密码检验技术,强制网络管理员使用复杂密码;二是采用反暴力破解技术,对于陌生IP的登陆位置和登陆次数进行严格控制;三是采用VPN或双因子认证技术,从而使攻击者即便盗取了管理员帐号和密码,也无法轻易的登陆企业服务器。

第七章 给用户的安全建议

一、 个人用户安全建议

对于普通用户,我们给出以下建议,以帮助用户免遭勒索软件的攻击。

养成良好的安全习惯:

1) 电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2) 使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和IE、Flash等常用软件打好补丁,以免病毒利用漏洞自动入侵电脑。
3) 尽量使用安全浏览器,减少遭遇挂马攻击的风险。
4) 重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5) 不要浏览来路不明的色情、赌博等不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。
7) 不要轻易打开后缀名为js 、vbs、wsf、bat等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,应先扫毒后打开。
8) 电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
9) 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。

采取及时的补救措施:

10) 安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务申请赎金赔付,以尽可能的减小自身经济损失。

二、 企业用户安全建议

1) 提升新兴威胁对抗能力。传统基于合规的防御体系对于勒索软件等新兴威胁的发现、检测和处理已经呈现出力不从心的状态。而通过对抗式演习,从安全的技术、管理和运营等多个维度出发,对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验,可以持续提升企业对抗新兴威胁的能力。
2) 及时给办公终端和服务器打补丁修复漏洞,包括操作系统以及第三方应用的补丁。
3) 如果没有使用的必要,应尽量关闭不必要的常见网络端口,比如:445、3389等。
4) 企业用户应采用足够复杂的登录密码登陆办公系统或服务器,并定期更换密码。
5) 对重要数据和文件及时进行备份。
6) 提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,如有远程家中办公电脑也需要定期进行病毒木马查杀。

完整报告:

http://zt.360.cn/1101061855.php?dtid=1101062360&did=490927082

作者:360互联网安全中心

 

 

分享:

相关文章

写一条评论

 

 

0条评论