进化:勒索软件的前世今生
作者:星期一, 七月 25, 20160

2005年起,勒索软件便成为了最普遍的网络威胁。公开信息统计,过去11年来,勒索软件感染数量比数据泄露事件数量还多,分别是7694件和6013起。

640-2

勒索软件一直以来走的是两种不同的技术路线:加密和锁定。基于加密的勒索软件是真的加密受害者的文件、目录、硬盘等等。而基于锁定的勒索软件则只是锁定设备,让用户无法登录,常见于安卓系统中。

新一代勒索软件融合了高级分发与开发技术,比如预置基础设施以便简单而广泛地分发新变种,利用加壳器确保难以逆向等等。另外,离线加密方法也越来越多地被勒索软件加以利用,比如微软的CrytoAPI之类合法系统功能就常被勒索软件征用,省去了对命令与控制(C2)通信的需求。

Solutionary的安全工程和研究团队成员特伦斯对这些年的勒索软件焦点事件及其进化过程进行了回顾。

“艾滋”木马(AIDS)

640-3

第一款勒索软件病毒——AIDS木马,是哈佛学生约瑟夫·L·波普在1989年创造的。2万份受感染的软盘被分发给了世卫组织国际艾滋大会的参加者手中。该木马的主要武器是对称加密。解密工具没花多少时间就修复了文件名,但这一举动激发了随后近乎30年的勒索软件攻击。

Archievus

640-4

在首款勒索软件散布17年后,另一款勒索软件被发布了。很不幸,新勒索软件比前者难清除得多,是勒索软件历史上第一款使用了RSA加密的。Archievus木马会将系统中“我的文档”里面的所有文件都加密,需要用户从指定网站购买密钥才可以解密文件。Archievus也是首款已知的使用非对称加密的勒索软件。

2011年的无名木马

640-5

相隔5年,主流匿名支付服务让黑客利用勒索软件秘密敛财更加容易了。产品相关的勒索软件木马在同年开始成为主流。一款模仿Windows产品激活通知让用户重新激活系统的木马就是诈骗用户的勒索软件。该软件提供虚假在线激活选项,但用户无法通过这个选项激活产品,只能按照引导去拨打一个国际电话。勒索软件宣称该号码是免费的,但呼叫实际上一接通便被搁置,让用户在遭受勒索软件感染之余还要承担高额国际长途话费。

Reveton

640-6

名为Reveton的勒索软件木马开始席卷欧洲。该款勒索软件基于Citadel木马,宣称受感染计算机被用于非法活动,想解锁系统,用户就得使用匿名预付现金服务的代金券支付罚款。在一些变种里,计算机屏幕会播放摄于该计算机摄像头的视频,制造“罪犯”在被记录的假象。此事件后不久,涌现了一股“基于警方”的勒索软件风潮,其中包括有Urausy和Tohfy。

在美国也发现了Reveton的新变种,宣称需要使用MoneyPak卡向FBI支付200美元罚款。

Cryptolocker

640-7

2013年9月是勒索软件历史上的一个转捩点,因为CryptoLocker诞生了。CryptoLocker是第一款通过被控网站下载或伪装客户投诉电邮附件进行传播的加密型恶意软件。由于威胁行为人利用了现有的 GameOver Zeus僵尸网络基础设施,CrytoLocker的扩散非常迅速。2014年的Tovar行动暂时遏制了 GameOver Zeus 木马,CryptoLocker便开始盯上分发和支持所用的点对点基础设施进行传播。

CryptoLocker利用AES-256算法加密带特定后缀名的文件,然后用C2服务器上产生的2048比特RSA密钥来加密该AES-256密钥。C2服务器建在Tor网络中。这让解密万分困难,因为攻击者将RSA公钥保存在了他们的C2服务器上。使用CryptoLocker的黑客会威胁受害者说,如果没在3天内收到赎金,私钥就会被删除。

Cryptodefense

640-8

2014年,CryptoDefense,一款使用Tor和比特币潜藏踪迹,利用2048比特RSA加密的勒索软件,发布了。CryptoDefense采用了Windows内置CryptoAPI加密接口,私钥存在受感染计算机的明文文本中——不幸的是,此一漏洞却没能立即被发现。

CryptoDefense的作者很快又推出了改进版——CryptoWall。与CryptoDefense不同,CryptoWall不将加密密钥存放在用户能接触到的地方了。因为利用了Cutwail僵尸网络垃圾邮件发送,CryptoWall成为了广泛传播的勒索软件,其目标主要针对美国。

CryptoWall通过Angler一类漏洞利用工具包分发,是Upatre行动最终下载的载荷。其数个活跃行动都是由通过唯一ID追踪它们的威胁行为人操控的。CryptoWall展示了恶意软件开发中的进步之处,它能通过加入注册表键值和将自身复制到自启动文件夹来在系统中长期驻留。

2015年,网络威胁联盟针对一次全球性的CryptoWall行动发布了一份报告,这次行动需要包括4层以上的基础设施才能操作,但敛取了3.25亿美元财富。

Sypeng和Koler

640-9

Sypeng可谓是首款基于安卓的勒索软件,它可以锁定受害者屏幕,显示FBI处罚警告消息。通过短信发送的虚假 Adobe Flash 更新是Sypeng的传播途径。价值200美元的MoneyPak卡是其索要的赎金。

Koler与Sypeng极其相似,也利用了虚假“警方”处罚和MoneyPak。Koler可被认为是第一款“锁定蠕虫”——它包含自我繁殖技术,会向手机联系人列表里的所有人发送定制消息,让他们访问特定URL,下载自身并锁定受害者的系统。

CTB-Locker和SimplLocker

640-10

与之前的其他变种都不一样,CTB-Locker直接与位于Tor网络中的C2服务器进行通信,丝毫不使用由代理、僵尸网络、多个比特币钱包等组成的多层基础设施。它也是第一款开始删除Windows影子卷的勒索软件。2016年,CTB-Locker进行了升级,专门针对网站。

SimplLocker同样是在2014年被发现的。因为它不是简单地锁定设备不让用户登录,而是加密文件和目录,SimplLocker也被认为是第一款“基于加密”的安卓移动设备勒索软件。

LockerPin

640-11

去年9月,美国开始流传一款侵略性的安卓勒索软件。ESET安全研究人员发现这是第一款能真正重置手机PIN码,永久锁定设备的恶意软件。该恶意软件被命名为LockerPin,能修改受感染设备的PIN码,留给受害者一个永远锁屏的手机。LockerPin要求500美元才帮受害者解锁。

勒索软件即服务(RaaS)始于2015年。此类服务通常包含用户友好的勒索软件工具包,可在黑市上买到。价格在1000到3000美元之间,卖家会从买家收益中抽取10%到20%的抽成。通常认为,Tox是首先出现且散布最广的RaaS工具包。

TeslaCrypt

640-12

TeslaCrypt同样出现于2015年,因为其开发者推出了约4个版本,有可能成为持续性威胁。它先是通过Angler漏洞利用工具包分发,然后逐渐采用了其他工具投放。TeslaCrypt使用AES-256加密文件,然后用RSA-4096加密AES私钥。Tor匿名网络里的C2域被用来进行数据支付和载荷投放。其基础设施包含多个层级,包括代理服务器。TEslaCrypt自身便十分先进,包含有能在受害机器上长期驻留、自我修复的各种功能。2016年,TeslaCrypt作者将其主解密密钥交给了ESET。

LowLevel04和Chimera

640-13

LowLevel04勒索软件在2015年被发现,针对的是远程桌面和终端服务。与其他勒索软件行动不同,攻击是由攻击者手动完成,先远程潜入服务器,在手动分发勒索软件前映射出内部系统和驱动器。此案例中,攻击者删除了应用、安全日志和系统日志。

Chimera在2015年年末被发现。这是第一款“doxing”勒索软件,受害人的敏感或私密文件会被威胁要被发布到公网上。Chimera使用了BitMessage的P2P通信协议进行C2通信。最后发现,这些C2服务器其实就是Bitmessage节点。

RAnsom32和7ev3n

640-14

Ransom32是首款用JavaScript写成的勒索软件。该恶意软件自身体积非常之巨大,足有22MB。它的NW.js脚本可以执行其他用C++或Delphi写成的勒索软件所拥有的功能。Ransom32被认为是游戏改变者——因为它理论上可跨平台使用,Linux、Mac OSX和Windows都不能幸免。

7ev3n为公众所知只是近几个月的事。它要求的赎金高达13比特币,可以说是索要赎金最高的勒索软件了。7ev3n不仅仅是加密然后勒索,它还会捣毁Windows系统。该恶意软件的作者是特别专注于确保7ev3n能摧毁修复被加密文件的任何可能性。7ev3n-HONE$T随后被发布出来,降低了赎金要求,添加了一些效率功能。

LOcky

640-15

2016年,EDA2和 Hidden Tear 的作者在GitHub上公布了源代码,宣称是为了研究意图。发现了此代码的人迅速复制并对代码进行了定制修改,造成了勒索软件变种的大爆发。

同年,臭名昭著的Locky出现。通过泛滥的网络钓鱼和利用早已覆盖全球的Dridex基础设施,Locky开始流传开来。由于肯塔基、加利福尼亚、堪萨斯和国外的多家医院均遭感染,Locky登上了多家报纸头条。威胁行为人马上发现,感染医疗保健必备设施的相关系统会带来巨大收益,因为多家医院都立即支付了赎金。于是,针对医疗保健行业的带勒索软件下载钓鱼电邮攻击趋势抬头。

SamSam

640-16

SamSam,或者说SAMAS勒索软件是专门针对JBoss服务器的。在利用漏洞安装SamSam之前,威胁行为人先利用JexBoss工具侦察JBoss服务器。与其他勒索软件不同,SamSam包含了一个信道,可供攻击者通过一个 .onion 网站与受害者直接实时联系。

KeRanger

640-17

首款“官方” Mac OSX 勒索软件,KeRanger发现于2016年,通过OSX的BT传输客户端传播。该勒索软件使用了MAC开发证书签名,可以绕过苹果的GateKeeper安全软件。

Petya

640-18

Petya流传于2016年,通过Drop-Box投放,能重写受感染机器的主引导记录(MBR),然后加密物理硬盘驱动器自身。在加密硬盘的时候还会显示假冒的CHKDISK屏显。如果其索要的431美元赎金未在7天之内收到,赎金金额还会翻倍。Petya后来还进行了升级,包含了第二个载荷,也就是Mischa勒索软件变种,该变种并不加密硬盘。

Maktub

640-19

Maktub同样发现于2016年,且其开发者还试图创建极端复杂的变种。它还是第一款利用Crypter(加壳器)加密自身源代码的勒索软件。Maktub没有使用C2服务器进行密钥检索和存储,而是使用了 Windows CryptoAPI进行离线加密。

Jigsaw

640-20

Jigsaw的勒索通告使用了《电锯惊魂》系列电影里的Jigsaw角色(拼图杀人狂)。如果150美元的赎金未被支付,它将会每60分钟删除一份文件。另外,如果受害者试图终止该进程,或者重启机器,它就会马上删除1000份文件。

CryptXXX

640-21

2016年5月底,CryptXXX是散布最严重的最新勒索软件变体。研究人员称,鉴于感染过程中的相似足迹,该勒索软件与Reveton有关联。CryptXXX通过多种漏洞利用工具包进行传播,主要是Angler,但通常会在Bedep感染后发现CryptXXX的踪迹。其包含的功能有,但不局限于:反沙箱技术、鼠标活动监测、定制C2通信协议、Tor赎金支付。

ZCryptor

640-22

微软发布了一篇文章详细描述了一款名为ZCryptor的新型勒索软件变体。除了其前辈们都有的加密文件、添加注册表项确保驻留等功能,ZCryptor还可以被理解为首款“加密蠕虫”。它通过垃圾邮件传播,有自繁殖技术,能感染外部设备和网络中的其他系统,加密每台机器和共享硬盘。

勒索软件的“未来”

640-23

专家预测,2016年还将继续见证更多新变种的诞生。这些变种中,有可能只有少数,会在其作者和网络黑帮的努力下带来严重影响。勒索软件的作者在延续开发周期,升级已有变种,或制作新变种的同时,加强软件弹性和驻留能力的额外功能也将成为勒索软件的标配。

带有这些功能的变种,如果结合广泛的基础设施和匿名网络及支付服务,将会是全球噩梦。随着威胁行为人试图确保花费较少精力却带来更多收入,不远的将来还将包含进繁殖技术丝毫不出乎预料。近期的变种开始利用加壳器加密自身源码就昭示着,勒索软件作者已经知道有研究人员试图逆向他们的“作品”了。这些逆向工程和分析的结果将有助于勒索软件开发者改进他们自己的勒索软件变种。

似乎离线加密,那些不需要C2基础设施来创建、维护和分发私钥、公钥的勒索软件变种,将会继续在基于Windows的勒索软件中看到,攻击者们会大量利用微软的内置功能。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章