專題報告 | 流行勒索病毒分析總結(jié)（上）

本篇報告內(nèi)容較長，將分為上下兩篇發(fā)布，本文為上篇。

目錄

1. 概述

2. 背景

3. 勒索軟件發(fā)展歷程

3.1 PC Cyborg(第一款勒索軟件)

3.2 非對稱加密

3.3 加密貨幣興起

3.4 RaaS

3.5 雙重破壞

4. 勒索軟件TTPS

4.1 傳播

4.2 橫向移動

4.3 擴大影響（上篇結(jié)束于此）

5.常見勒索軟件

5.1 Sodinokibi/Revil（下篇開始于此）

5.2 Crysis/Dharma

5.3 Globelmposter

5.4 Buran

5.5 NetWalker

6. 勒索軟件的趨勢

7. 勒索軟件響應(yīng)措施

7.1 感染跡象

7.2 應(yīng)急處理

7.3 加密數(shù)據(jù)處理

8. 日常防范

9. 附錄

1

概述

信息安全 (Information Security)，意為保護(hù)信息及信息系統(tǒng)不受侵害。主要保護(hù)計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。從層面的概念來看，計算機硬件可以看作是物理層面，軟件可以看做是運行層面，然后就是數(shù)據(jù)層面。從屬性的概念來看，破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機密性。隨著當(dāng)代網(wǎng)絡(luò)技術(shù)的高速發(fā)展和人們對所面臨問題理解程度的日益加深，信息安全已是當(dāng)今眾多互聯(lián)網(wǎng)領(lǐng)域的突出問題之一。

在眾多信息安全風(fēng)險中，居首位者當(dāng)屬網(wǎng)絡(luò)攻擊。無論是公司還是組織，都隨時可能成為網(wǎng)絡(luò)攻擊的對象。而每年網(wǎng)絡(luò)犯罪所帶來的經(jīng)濟損失也與日俱增。綜合以往，我們從攻擊對象和利益最大化的角度來看，影響最大也最惡劣的當(dāng)屬勒索軟件攻擊。一旦公司、企業(yè)的資產(chǎn)如數(shù)據(jù)庫、服務(wù)器等被加密甚至被破壞，所造成的損失不可估量。如果是公共設(shè)施和服務(wù)被勒索，如醫(yī)院、交通部門被竊密、勒索，不僅會對我們的生活造成影響，甚至可能威脅到我們的生命。

近期，我們整合流行的勒索家族、梳理歷史上著名的攻擊事件，對勒索軟件的發(fā)展歷史進(jìn)行回顧，對勒索軟件的加密流程和傳播途徑進(jìn)行深入探討，對勒索軟件今后的發(fā)展趨勢進(jìn)行暢想，并對被勒索攻擊后應(yīng)急處置流程進(jìn)行分享，使讀者對勒索攻擊事件有新的整體把握，更好地應(yīng)對此類網(wǎng)絡(luò)攻擊。

2

背景

勒索軟件，又稱勒索病毒，是一種特殊的惡意軟件，又被歸類為“阻斷訪問式攻擊”（denial-of-access attack）。勒索軟件與其他病毒最大的不同在于攻擊手法和中毒方式，部分勒索軟件僅是單純地將受害者的電腦鎖起來，而也有部分勒索軟件會系統(tǒng)性地加密受害者硬盤上的文件。所有的勒索軟件都會要求受害者繳納贖金以取回對電腦的控制權(quán)，或是取回受害者根本無從自行獲取的解密密鑰以解密文件。

勒索軟件通常透過木馬病毒的形式傳播，將自身偽裝為看似無害的文件，如利用郵件等社會工程學(xué)方法欺騙受害者點擊鏈接下載，另外也可能與許多其他蠕蟲病毒一樣利用軟件的漏洞在聯(lián)網(wǎng)的電腦間傳播。

勒索攻擊事件頻繁發(fā)生，且在數(shù)量上逐年增多。勒索軟件如此盛行的背后是巨大利益的驅(qū)動。2020年，全球因勒索軟件造成的總損失高達(dá)25萬億美元，高額的收益讓更多的犯罪者趨之若鶩，而以往諸如 GandCrab 勒索病毒，不僅高調(diào)宣布僅僅一年就獲得超過20億美元的贖金，并且已成功兌現(xiàn)。諸如此類事件的推波助瀾，加劇了勒索事件的爆發(fā)。

另一方面，即使沒有任何編程經(jīng)驗的人借助 RaaS 平臺也可以制作分發(fā)勒索病毒，這也讓更多犯罪者鋌而走險。

另外，勒索軟件一般采用加密貨幣進(jìn)行交易，加密貨幣由于其本身的特殊性，很難被第三方監(jiān)管，更難以追蹤和溯源，導(dǎo)致執(zhí)法人員很難抓到犯罪者。

從1989年歷史上已知的第1款勒索軟件 PC Cyborg 出現(xiàn)到現(xiàn)在的廣泛流行，勒索軟件經(jīng)歷了漫長的發(fā)展歷程。從非對稱加密算法的應(yīng)用，加密貨幣的興起，到勒索軟件即服務(wù)（Raas， Ransomware as a service）概念和雙重破壞技術(shù)的出現(xiàn)，勒索軟件在技術(shù)和理論層面不斷革新，使其在當(dāng)前仍具有強勁的發(fā)展勢頭和極大的破壞力。

3

勒索軟件發(fā)展歷程

3.1 PC Cyborg（第一款勒索軟件）

時間追溯到1989年，當(dāng)時大多數(shù)人并沒有接觸過電腦，并且信息傳輸也是通過軟盤進(jìn)行傳遞。這時一位哈佛大學(xué)博士學(xué)位的生物學(xué)家約瑟夫·波普 （Joseph Popp） 開發(fā)了一款軟件，并且他向世界衛(wèi)生組織艾滋病會議的參加者分發(fā)了20,000張受到感染的磁盤，并且以"艾滋病信息-入門軟盤"命名。當(dāng)軟盤被插入電腦，就會顯示以下消息：

該勒索信息要求用戶必須在巴拿馬的郵政郵箱向 PC Cyborg Corporation 發(fā)送189美元，以解鎖訪問權(quán)限。這就是已知的歷史上第一款勒索病毒，"AIDS" 木馬，也被稱為 PC Cyborg。

從原理上來講，該病毒通過替換受害者計算機上的 Autoexec.bat 文件，在計算機每次啟動時運行，一旦運行次數(shù)達(dá)到90，該病毒將會隱藏目錄并利用簡單的對稱加密技術(shù)加密 C 盤的文件。雖然現(xiàn)在看來該軟件無論是復(fù)雜程度還是加密算法都不值一提，但是它卻象征著計算機犯罪的一個新分支——勒索軟件的興起。

3.2 非對稱加密

All knowledge is, in the final analysis, history.  All sciences are, in the abstract,mathematics. All methods of acquiring knowledge are, essentially, throughstatistics. 

—— C. R. Rao，數(shù)學(xué)家、統(tǒng)計學(xué)家（在終極的分析中，一切知識都是歷史；在抽象的意義下，一切科學(xué)都是數(shù)學(xué)；在理性的基礎(chǔ)上，所有的判斷都是統(tǒng)計學(xué)）。

公開密鑰密碼學(xué)（英語：Public-key Cryptography）也稱非對稱式密碼學(xué)（英語：Asymmetric Cryptography）是密碼學(xué)的一種算法，它需要兩個密鑰：一個是公開密鑰，另一個是私有密鑰；公鑰用作加密，私鑰則用作解密。使用公鑰把明文加密后所得的密文，只能用相對應(yīng)的私鑰才能解密并得到原本的明文，最初用來加密的公鑰不能用作解密。由于加密和解密需要兩個不同的密鑰，故被稱為非對稱加密；不同于加密和解密都使用同一個密鑰的對稱加密。公鑰可以公開，可任意向外發(fā)布；私鑰不可以公開，必須由用戶自行嚴(yán)格秘密保管。

1996年，Adam L. Young 和 Moti M. Yung 兩個密碼學(xué)家發(fā)出警告，非對稱加密算法將會用于勒索事件。十年之后，也就是2006年，做為第一個利用非對稱加密(RSA)手法加密的惡意家族 Archiveus 發(fā)布。該病毒會對文檔目錄進(jìn)行加密，并要求受害者必須在特定的 Web 站點上購買商品才能獲得用于解密文件的密碼。之后出現(xiàn)的 Krotten 、GPcode 和 Cryzip、等勒索軟件也開始使用非對稱加密算法進(jìn)行文件加密。即使到了現(xiàn)在，假如受害者被一個使用2048位RSA加密算法的勒索軟件加密文件，在不知道私鑰的情況下，利用當(dāng)前世界上最大、 最好的超級計算機進(jìn)行暴力破解，需要的時間也長達(dá)80年。因此如果一旦文件被加密，在當(dāng)前計算機計算能力有限的情況下，基本不可能無損解密數(shù)據(jù)。要么舍棄數(shù)據(jù)，要么交錢解密，無法自行解密的二選一窘境下，勒索的成功率大大提高。

3.3 加密貨幣興起

2008年，以比特幣為首的加密貨幣進(jìn)入歷史的舞臺，因為其獨特的特性引起攻擊者的關(guān)注，例如比特幣所具有的 POW 共識機制和雙重的 sha256 區(qū)塊哈希算法保證了絕對的去中心化、匿名和隱私等特性，另外根據(jù) Coin Center 研究部主任 Peter Van Valkenburgh 的觀點：作為一種電子貨幣，很容易開發(fā)出自動要求付款的軟件。黑客能夠輕松地查看公共區(qū)塊鏈以驗證受害者是否已經(jīng)付款，并且可以在收到付款的同時自動執(zhí)行將受害者所需要的文件或者密鑰發(fā)送給受害者的操作，這些特性導(dǎo)致加密貨幣成為在勒索事件的首選貨幣。

2011年開始，使用加密貨幣進(jìn)行交易的勒索軟件開始瘋狂增長，基本每個季度的勒索樣本數(shù)量都在成倍的增加。截至到現(xiàn)在，根據(jù)區(qū)塊鏈分析公司最新的統(tǒng)計報告，2020年勒索軟件支付的贖金占加密貨幣總交易金額的7%左右。同比相較于2019年，這一比例增長了311%。

基于加密貨幣的匿名性和隱私性，導(dǎo)致很難被第三方進(jìn)行監(jiān)管，相關(guān)執(zhí)法部門也幾乎不太可能溯源到發(fā)動勒索攻擊者的真實身份。在很長一段時間之內(nèi)，勒索軟件和加密貨幣還會保持緊密聯(lián)系，并且不會有很大改善。

3.4 RaaS

2015年，為了尋求勒索軟件收益的最大化，攻擊者創(chuàng)建了一種全新的服務(wù)模式，勒索軟件即服務(wù) (RaaS) ，該模式借鑒軟件即服務(wù)（SaaS）的模型。

勒索軟件即服務(wù)是一個惡意軟件銷售商-客戶通過訂閱模式進(jìn)行盈利的模型。首先犯罪分子編寫完成勒索軟件之后，通過類似會員的方式將其出售或出租給意圖發(fā)動攻擊的客戶或者想要加盟進(jìn)行分成的分銷商，并且提供有關(guān)如何使用該軟件發(fā)動勒索攻擊的技術(shù)知識和相關(guān)步驟的教程，甚至提供可視化軟件進(jìn)行實時監(jiān)控查看當(dāng)前攻擊狀態(tài)。這種模型犯罪分子通過不同的"客戶"可以輕松攻擊那些自己無法接觸到的新的受害者，擴大收益。一旦攻擊成功，其贖金會按照一定比例分成給銷售商、編碼者、攻擊者等各方。相比之前的單一模式的攻擊，這種多層代理的攻擊模型讓勒索軟件更容易傳播。即使是攻擊者自身沒有高超的技術(shù)或者昂貴的設(shè)備，也可以通過低價購買和下載勒索軟件，輕而易舉的發(fā)起勒索攻擊。

2015年中期，第一個 RaaS 服務(wù)在暗網(wǎng)中悄然誕生：

Tox 勒索軟件套件作為 RaaS 服務(wù)開始投入銷售，該工具包提供各種反分析反檢測功能。攻擊者只需要提供幾個自定義字段就可以開發(fā)出一個自定義的勒索軟件，其易用性之高，讓不同水平的攻擊者瞬間涌入勒索事件的行列。

雖然 Tox 勒索軟件套件不久就被封禁，但是不同的 RaaS 服務(wù)如雨后春筍般層出不窮，勒索攻擊的事件進(jìn)一步增多。

2020年新型Raas平臺：

3.5 雙重破壞

竊密軟件一般具有隱匿性，通過執(zhí)行竊取受害者密碼或者文件信息。而勒索軟件具有暴力性，會直接加密用戶文件。當(dāng)這兩種不同類型家族發(fā)生碰撞，會發(fā)生什么樣的火花。

當(dāng)前，勒索軟件日益猖狂的同時，人們的防范意識也越來越強。即時備份成為越來越多的企業(yè)、公司的標(biāo)準(zhǔn)操作。即使被勒索，只要恢復(fù)備份即可。當(dāng)用戶認(rèn)為備份數(shù)據(jù)之后就可以高枕無憂時，一種新的勒索形式讓人們再次陷入被動泥潭。

2019年初， Megacortex 勒索病毒借助 Emotet 僵尸網(wǎng)絡(luò)進(jìn)行傳播。在留下的勒索信中，不僅加密用戶文件，同時還竊取了用戶信息，如果不繳納贖金，則公開用戶文件。

緊接2019下半年開始，針對政企的勒索病毒大量增加，勒索的同時竊取了受害者信息，這不僅對企業(yè)經(jīng)濟造成損失，而且對企業(yè)聲譽和用戶隱私的造成更大影響?；陔p重的壓力之下，受害企業(yè)往往只能繳納贖金，即時止損。

4

勒索軟件 TTPs

勒索軟件不同于其他蠕蟲或者木馬等惡意軟件，大部分勒索軟件具有暴力性，不需要考慮隱藏自身等行為，但危害程度相對與其他惡意軟件有過之而無不及。我們對惡意軟件的討論，主要集中在投遞、橫向傳播以及攻擊特點方面。對于那些我們目前還無法無損解密的情況，我們著重講解其傳播特性，為以后的預(yù)防打下基礎(chǔ)。

4.1 傳播

勒索軟件的傳播其主要方式為垃圾郵件、漏洞利用、RDP 弱口令，如下圖：

4.1.1 垃圾郵件

垃圾郵件 ( junk Mail 或 Email spam ) 是濫發(fā)電子消息中最常見的一種，指的就是不請自來，未經(jīng)用戶許可就塞入信箱的電子郵件。

垃圾郵件也是惡意軟件(無論是勒索病毒還是蠕蟲木馬)最主要的傳播方式之一。攻擊者為了提高惡意軟件的傳播率和提高自身隱秘性，通常會通過 Necurs 、 Rustock等大型僵尸網(wǎng)絡(luò)進(jìn)行郵件的分發(fā)，全球計算機網(wǎng)絡(luò)中每天都會有數(shù)以萬計的垃圾郵件在用戶之間傳播。其中大部分都包含惡意軟件附件或者有害的釣魚鏈接。這不僅浪費用戶正常的工作時間，還大大增加了網(wǎng)絡(luò)資源的浪費。

垃圾郵件結(jié)構(gòu)多為一封攜帶附件的電子郵件，郵件內(nèi)容多為交貨收據(jù)、退稅單或票證發(fā)票，然后提示受害者必須打開附件才能收到貨物或收取款項，誘惑受害者運行附件內(nèi)容，其附件多為 Word文檔、 JavaScript 腳本文件或者偽裝后的可執(zhí)行文件。如果受害者沒有一定的計算機知識，很容易誤認(rèn)為這個文件是正常的，直接運行后導(dǎo)致計算機文件被勒索或者被攻擊者遠(yuǎn)程控制。除了垃圾郵件之外，如果對指定政企單位進(jìn)行勒索攻擊，通常會采用發(fā)送釣魚郵件，其內(nèi)容相比垃圾郵件多為實時消息或者與其單位相關(guān)的話題，如利用2020新冠等話題進(jìn)行定向攻擊，如下就是一個典型的垃圾郵件。

4.1.2 RDP/弱口令

遠(yuǎn)程桌面協(xié)議 (RDP: Remote Desktop Protocol) 主要用于用戶遠(yuǎn)程連接并控制計算機，通常使用3389端口進(jìn)行通信。當(dāng)用戶輸入正確的用戶密碼，則可以直接對其遠(yuǎn)程電腦進(jìn)行操作，這為攻擊者提供了新的攻擊面。只要擁有正確的憑證，任何人都可以登錄該電腦。故攻擊者可以通過工具對攻擊目標(biāo)進(jìn)行端口掃描，如果用戶開啟了3389端口，并且沒有相關(guān)的防范意識，使用弱密碼如123456，攻擊者可以進(jìn)行遠(yuǎn)程連接并通過字典嘗試多種方式組合，暴力破解用戶名密碼。一旦擁有登錄權(quán)限，就可以直接投放勒索病毒并進(jìn)一步橫向滲透擴大影響面。

下圖展示了2020年度最新排名前十的弱密碼:

4.1.3 漏洞利用

漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未被授權(quán)的情況下訪問或破壞系統(tǒng)。

漏洞利用與時間息息相關(guān)，如果攻擊者利用 0day 進(jìn)行攻擊，那么相關(guān)的系統(tǒng)或者組件是極其危險的。但是在以往的勒索事件中，大多數(shù)攻擊者一般采用成熟的漏洞利用工具進(jìn)行攻擊，如永恒之藍(lán)、RIG 、GrandSoft 等漏洞攻擊包等。如果用戶沒有及時修復(fù)相關(guān)漏洞，很可能遭受攻擊。

在過去的一年里，受疫情影響，很多人開始居家辦公，由于工作方式的轉(zhuǎn)化促進(jìn)了遠(yuǎn)程辦公工具的興起，進(jìn)而導(dǎo)致了遠(yuǎn)程工具相關(guān)漏洞利用攻擊事件的顯著增加，除了傳統(tǒng)的 office 漏洞（如 CVE 2012-0158、CVE 2017-11882 等），一些新的漏洞利用攻擊也頻繁出現(xiàn)，如 CVE-2019-19781、CVE-2019-11510 等。

4.2 橫向移動

一旦勒索軟件進(jìn)入用戶環(huán)境，為了盡可能擴大影響，很可能不會直接進(jìn)行加密，而是通過感染機進(jìn)行滲透其他機器、權(quán)限提升或者竊取更有價值的憑證。通過橫向移動攻擊如果可以拿到域控權(quán)限，從而獲取控制域環(huán)境下的全部機器。無論是贖金額度還是勒索成功率都會大大提高。

其主要方式包括:

1. 使用如 PsExec 等工具

如 WastedLocker 勒索軟件通過入侵系統(tǒng)后，會通過 psexec 等命令進(jìn)行橫向滲透，尋找價值較高的系統(tǒng)并進(jìn)行加密
psexec -s \\<HOSTNAME>|<IP_ADDRESS> cmd

2. 通過 WMI 命令完成

如 Conti 勒索軟件在通過 wmic 遠(yuǎn)程執(zhí)行命令，收集域密碼哈希，進(jìn)行橫向滲透，利用 IPC$ 或者默認(rèn)共享如 makop 通過遍歷共享資源進(jìn)行加密

3. 利用永恒之藍(lán)等漏洞

如著名的 WanaCry 勒索病毒通過永恒之藍(lán)漏洞和445端口進(jìn)行內(nèi)網(wǎng)傳播。

4.3 擴大影響

正如之前所說，當(dāng)前的勒索軟件不在是功能單一的勒索，而是聯(lián)合其他惡意軟件如僵尸網(wǎng)絡(luò)、竊密木馬等一起發(fā)動攻擊。通過對用戶敏感數(shù)據(jù)進(jìn)行竊取，從而進(jìn)行勒索。而且對目標(biāo)的攻擊更加具有針對性，所利用的工具也大都為定制化工具。如 Nozelesn 勒索軟件利用 Emotet 僵尸網(wǎng)絡(luò)進(jìn)行傳播、Locky 勒索軟件通過 Necurs 僵尸網(wǎng)絡(luò)傳播垃圾郵件進(jìn)行分發(fā)、Ruyk 利用 Trickbot 木馬進(jìn)行傳播并竊取用戶信息。

- To be continued -

本篇為“專題報告 | 流行勒索病毒分析總結(jié)“ · 上篇，下篇將于下期發(fā)布，敬請持續(xù)關(guān)注。

━ ━ ━ ━ ━

關(guān)于微步在線研究響應(yīng)團隊

微步情報局，即微步在線研究響應(yīng)團隊，負(fù)責(zé)微步在線安全分析與安全服務(wù)業(yè)務(wù)，主要研究內(nèi)容包括威脅情報自動化研發(fā)、高級 APT 組織&黑產(chǎn)研究與追蹤、惡意代碼與自動化分析技術(shù)、重大事件應(yīng)急響應(yīng)等。

微步情報局由精通木馬分析與取證技術(shù)、Web 攻擊技術(shù)、溯源技術(shù)、大數(shù)據(jù)、AI 等安全技術(shù)的資深專家組成，并通過自動化情報生產(chǎn)系統(tǒng)、云沙箱、黑客畫像系統(tǒng)、威脅狩獵系統(tǒng)、追蹤溯源系統(tǒng)、威脅感知系統(tǒng)、大數(shù)據(jù)關(guān)聯(lián)知識圖譜等自主研發(fā)的系統(tǒng)，對微步在線每天新增的百萬級樣本文件、千萬級 URL、PDNS、Whois 數(shù)據(jù)進(jìn)行實時的自動化分析、同源分析及大數(shù)據(jù)關(guān)聯(lián)分析。微步情報局自設(shè)立以來，累計率先發(fā)現(xiàn)了包括數(shù)十個境外高級 APT 組織針對我國關(guān)鍵基礎(chǔ)設(shè)施和金融、能源、政府、高科技等行業(yè)的定向攻擊行動，協(xié)助數(shù)百家各個行業(yè)頭部客戶處置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻擊我國證券和高科技事件、海蓮花長期定向攻擊我國海事/高科技/金融的攻擊活動、OldFox 定向攻擊全國上百家手機行業(yè)相關(guān)企業(yè)的事件。

內(nèi)容轉(zhuǎn)載與引用

1. 內(nèi)容轉(zhuǎn)載，請微信后臺留言：轉(zhuǎn)載+轉(zhuǎn)載平臺+轉(zhuǎn)載文章

2. 內(nèi)容引用，請注明出處：以上內(nèi)容引自公眾號“微步在線研究響應(yīng)中心”

點個"在看"再走吧~

↓↓↓