黑客业务

       

2018年4月，勒索病毒月报

2017年5月12日WannaCry蠕虫行使永恒之蓝的缺陷在全球范围内大规模发作至今已有一周年。这个故事是回顾过去的WannaCry及“永恒之蓝”行使事宜，深入剖析勒索病毒整体攻击趋势、流传方式，剖析产业链，展望其生长趋势，并针对小我私家/企业用户提供建议措施。            

   去年5月12日， WannaCry蠕虫在全球范围内发生了巨大的攻击，引发了互联网行业的生化危机。借助永恒蓝的高风险缺陷WannaCry在几个小时内影响近150个国家，一些政府机关、大学、医院电脑屏幕被染色成红色，导致政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受前所未有的损害，勒索病毒也引起了前所未有的关注。

   

       

   

   争相行使永恒之蓝的破绽    

   

   WannaCry能瞬间走红的基本原因是Shadow Brokers(影子经纪人)黑客组织公开了美国国家平安局控制的缺陷武器:永恒之蓝。WannaCry此前，勒索病毒长期长一段时间内都是零星的，影响的限制很小。当勒索病毒插入高危缺陷时，会立即引发影响全球的蠕虫病毒风暴。

   

   一年后，随着永恒之蓝的破绽逐渐修复，WannaCry事情似乎已经逐渐平息，但事与愿违——勒索病毒仍然烟雾弥漫。大量企业用户、医疗机构和教育机构的业务系统遭到勒索病毒的攻击，损失惨重。

   

   和WannaCry蠕虫流行的永恒蓝缺陷在过去一年中被病毒木马行使。许多病毒作者行使永恒蓝缺陷挖掘，窃取银行卡信息，建立僵尸网络，仍然巧妙地加密文件。以下是一年中行使永恒蓝攻击的典型事项。

   

       

   

   其中WannaMiner 在局域网中行使永恒蓝色的缺陷进行攻击和传播，将吸毒机构建成强大的僵尸网络，并支持内部网络自更新，以便长期隐藏在用户电脑中以挖掘门罗币牟利。

   

   中招者除CPU和GPU由于病毒在内网流传过程中通过病毒，占用率飙升至近100%，机械性能显著下降。SMB举行核心攻击，内网计算机系统将莫名其妙地死于蓝屏。该病毒在短时间内影响了近600家企业的3万多台计算机，一度影响了许多企业的正常办公。

   

   永恒之蓝的行使不仅出现在常见的网络犯罪活动中，也出现在部门内APT组织被纳入自己的武器库。Fancy Bear2017年7月，幻想熊组织利用这一缺陷入侵至少9家中东和欧洲餐馆。该组织旨在通过控制此类场所的网络系统进一步窃取部门用户的隐私信息。

           WannaCry最近动态            

   根据腾讯御见威胁情报中心的监控，在过去的一年里，通过平安厂商的围剿，WannaCry蠕虫攻击在短时间内迅速下降后变得稳定，但并失。直到今天，WannaCry还在继续流传。这意味着，WannaCry病毒变种仍有一定的活力。

   

   WannaCry变种概况    

   

   WannaCry蠕虫仍有中断和连续的活动，主要原因是变种不断涌现。调查该部门的病毒变种可以看出，与第一代病毒相比，其熏蒸模式和模块组成部门没有太大变化。

   

   WannaCry变体的传播方式仍然依赖于 永恒的蓝色缺陷工具包，攻击并在缺陷网络中传播。目的机械被攻击后，将从攻击机下载WannaCry木马熏染，并将自己作为攻击机再次扫描互联网等局域网机械，形成蠕虫熏染的快速扩散。

   

   变种模块主要由母吸模块、敲诈模块、解密程序等部门组成。部门变种将修改母图标，添加虚假签名、外壳、修改发布攻击模块名称、修改比特币钱包收集地址等。

   

   WannaCry攻击地域    

   

   考察WannaCry根据最近的攻击地区，最近受影响最严重的地区是广西和浙江，然后是江苏和湖北。这与以往勒索病毒主要攻击北京、上海、广州和深圳的行为有显著差异。总体而言，主要原因是北京、上海、广州、深圳有许多高科技产业，网络安全预防意识相对较高，安全应急响应能力也较强。

   

   在WannaCry在攻击初期，大多数企业实时修复了缺陷安装补丁，采取了安全补救措施，从而消除了病毒繁殖的环境。最终导致WannaCry在随后的攻击中，变种的主要目的不再是北京、上海、广州等信息产业相对繁荣的地方，而是扩散到防御能力相对较弱的地区。

   

       

   

   受WannaCry攻击的行业    

   

   通过考察WannaCry最近攻击行业可以看出，学校、传统产业和政府机构都是WannaCry攻击的主要行业群体。其中，学校攻击占35%，其次是传统工业和政府机构。主要原因是这些机构长期依赖互联网提供的基础设施服务，但相对缺乏专业的安全运维服务。因此，整体安全防御能力较弱，容易被病毒入侵。

   

   医疗机构对勒索病毒的危害相对明显。2018年，许多医疗机构的服务器被勒索病毒加密，导致公共服务机构业务瘫痪，患者感觉强烈。

   

       

   

   受WannaCry漫衍的攻击系统    

   

   最近的调查WannaCry攻击的操作系统数据显示，主要攻击的操作系统是Windows 7系统，其次是Windows 10，Windows 8和Windows XP，从侧面也反映了当前国内环境操作系统的比例。

   

       

   

   勒索病毒整体攻击趋势    

   

   由于2017年数字硬币的全球大发作，在过去的一年里，勒索病毒索病毒的活跃成员WannaCry在比特币等区块链资产价格飙升和巨大利益的诱惑下，这位著名选手GlobeImposter，Crysis，BTCWare以勒索家族为代表的高度活跃。

   

   详见《以Windows 或成为勒索病毒的新趋势

   

   https://s.tencent.com/research/report/466.html。

   

   越来越多的勒索病毒家族具有勒索序言和多样化传播的特点，成为近年来最严重的网络安全威胁之一。根据分析，进入2018年后，服务器勒索攻击显著增加，企业用户数据价值远高于私人用户，招聘后更倾向于支付赎金，这也表明勒索病毒的攻击已逐渐从广泛的网络转变为高价值目的。

   

       

   

   从勒索攻击目的行业来看，医疗、教育、政府机构和金融占勒索攻击目的的一半以上。其中，经过分析，教育行业大多是学生电脑，导致教育占比较高。

   

   医疗、政府机构和金融是勒索者攻击的最爱。在这些行业，尤其是医疗行业，一旦数据加密，影响正常运营将造成更严重的损失，因此更倾向于支付赎金。

   

       

   

   勒索病毒的传播方式加倍多样化    

   

   随着勒索病毒的日益成熟，其传播方式也趋于完善，各家族勒索病毒的传播方式逐渐具有自身的特点。总结勒索病毒的主要传播方式如下：

   

   1.邮件附件流传    

   

   代表家庭:Locky、Cerber、GlobeImposter......

   

   通过电子邮件附件传播的勒索病毒通常伪装成用户经常查看的文件，如信用卡消费清单、产品订单等。恶意代码隐藏在附件中。当用户打开时，恶意代码将首先执行并释放病毒。

   

   邪恶的黑客经常通过电子邮件将携带病毒的文件分批发送给企业、大学、医院和其他单位。主要文件通常保留在这些单位的计算机上。一旦恶意加密，支付赎金的可能性远远超过了流行的个人用户。

       
   

   2.网站挂马流传    

   

   代表家庭:Cerber、GandCrab.....

   

   网站挂马是在获得网站或网站服务器的部门或所有权后，将恶意代码插入网页，主要是一些IE等待浏览器的缺陷行使代码。

   

   用户系统以前没有修复恶意代码中行使的缺陷，电脑将执行相关恶意代码。

   

   3.入侵服务器    

   

   代表家庭:Crysis、GlobeImposter.....

   

   对服务器的攻击主要是通过暴力破解远程登录权限。由于部门服务器未能实时修复安全缺陷，并通常使用相同的密码或弱密码进行远程登录。黑客会以各种手段入侵企业服务器，然后手动卸载或关闭杀毒软件，然后下载勒索病毒运行。

       
   

   4.传播行使系统的缺陷    

   

   代表家庭:WannaCry、Satan.....

   

   WannaCry，Satan就是行使Windows传播系统缺陷，传播系统缺陷的特点是被动中毒：即使用户没有接触到恶意网站，也不打开病毒文件。传播系统缺陷的蠕虫病毒也会扫描网络中的其他缺陷PC主机，只要主机没有补丁，就会被攻击。

   

   5.网络共享文件    

   

   代表家族:暂时主要由国产勒索病毒外挂辅助，绿色软件工具携带。

“全能挖矿木马”挖矿泄密DDoS攻击样样干

   

   一些小局限性流传的巧取豪夺病毒将通过共享文件流传，犯罪黑客将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等，以共享的方式发送给特定群体，然后诱使其下载安装。

   

   此外，犯罪黑客经常编造杀毒软件误报，运行前需要退出杀毒软件等理由，诱使受害者关闭杀毒软件后运行。

       
   

   6.软件供应链传播    

   

   代表家庭:Petya

   

   病毒制造商通过入侵软件开发、分发和升级服务环节，将病毒混合到产品组件中。当用户正常安装和升级软件时，通过入侵和强制软件下载站和升级服务器，勒索病毒。

   

   这种传播方式行使了用户与软件供应商之间的信托关系。乐成绕过了传统安全产品的追逐和切断。传播方式加倍隐藏，危害更严重。以前侵袭过世界Petya勒索病毒是通过威胁勒索病毒Medoc流传软件更新服务。

   

   7.文件熏染传播    

   

   代表家庭:PolyRansom

   

   PolyRansom由于熏染病毒的特性，勒索信息在加密用户的所有文档后弹出PE类文件被熏染后有能力熏染其他文件，所以如果用户携带该文件（U当磁盘、网络上传等。)运行到其他计算机时，计算机的文件也会被所有熏染加密。

   

   勒索病毒产业链    

   

   勒索病毒在独自成长后，也首先逐渐出现产业链，角色分工明确，完整的勒索攻击过程可能涉及勒索病毒作者、勒索、传播渠道、代理、受害者五个角色，每个角色的详细分工如下：

   

   勒索病毒作者：努力编写和制作勒索病毒，这与安全软件的免杀相匹配。通过在暗网或其他地下平台上销售病毒代码，接受病毒定制，或销售病毒生成器，与勒索者互相帮助，获得份额。

       
   

   勒索者：从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通过自定义病毒勒索信息后获得自己的专属病毒，与勒索病毒作者举行收入分成。

   

   流通渠道商：辅助勒索者传播勒索病毒，最熟悉的是僵尸网络，例如Necurs、Gamut，这两个僵尸网络发送全球97%的钓鱼邮件。

   

   署理：假设受害者可以解密勒索病毒加密文件，勒索者提出赎金的50%甚至更低，但实际上与勒索者互相帮助，赚取差价。

   

   受害者：不幸通过各种勒索病毒传播渠道招募的受害者，如果主要文件加密，请联系代理人或勒索人支付赎金解密文件。

       
   

   其中，中心代理的角色在勒索病毒攻击中出乎意料，跟踪代理也让人真的花了心思。

   

   ①    首先，在搜索勒索病毒解密信息时，许多公司可以在搜索效果主页上支持勒索病毒解密。请注意，这些人还购买了搜索引擎广告。

       
   

   ②    在这些小公司的官方网站上，我们可以看到各种勒索病毒家族的解密，包括流行的Locky、Cerber、Crysis、GlobeImposter、GandCrab家族等。

   

       

   

   ③    然而，众所周知，除非勒索病毒有逻辑缺陷或获得理解密钥，否则几乎不可能用当前的计算能力解密。

   

   ④    接到深圳某公司的反馈反馈后，该公司的几台服务器中庭勒索病毒。公司联系解密公司解密后，解密公司只能使用公司的外网ip信息给出了内网中毒服务器IP以及每个分区的解密钥。这不禁让人怀疑解密公司是否与勒索者有关。

   

   ⑤    现在国内外各大平安公司都解密不了。为什么云云之多的小公司能解密？怀疑冒充受害者联系解密公司，发送GlobeImposter家庭加密的文件测试是否可以解密，越是发送了解密文件。

       
   

   ⑥    GlobeImposter家庭加密的文件将在文件末尾附加一段ID为了标记受害者，勒索者可以依据ID找到相应的密钥进行解密。所以在文件的末尾ID随机修改后，发送给解密公司解密时，解密公司花了几天时间没有解密效果，示意文件有问题。为什么要修改它ID之后解密公司能判断文件有问题吗？这使得人们首先怀疑解密公司和勒索者之间的关系。

       
   

   ⑦    当我们再次联系勒索者并表达我们作为中心代理人的意愿时，勒索者立即回复，表示可以接受代理人，价格为50%。与此同时，勒索者还亲密地提供了如何在中国购买比特币的教程。陌生人可以通过联系代理获得50%的优惠价格，信任专业代理的解密公司可以获得双倍的廉价价格。

       
   

   ⑧    在这方面，我们基本上可以得出结论，这种解密公司实际上是勒索者的代理，使国内用户不方便购买数字硬币和相对便宜的价格，吸引受害者联系解密，在此期间赚取差价。根据解密公司官方网站上的公开记录，解密公司可以通过作为勒索中心代理获得一个月的收入300W人民币。

       
   

   勒索病毒的趋势    

   

   WannaCry发作至今已有一年，第一代WannaCry自病毒生长以来，各种变化基本没有太大变化，平安厂商提供的早期解决方案仍能有效防御。虽然云，但WannaCry余毒仍然存在，在未来很长一段时间内仍将对政府和企业的部门构成一定的安全威胁。一旦病毒成功攻击，除非实时备份业务系统，否则结果往往难以逆转。

   

   永恒蓝缺陷补丁虽然已经公布了很长时间，但仍有部门用户未能完成修复，因此未来使用缺陷举行的各种网络病毒木马攻击将继续发生。随着勒索病毒的产业链、工艺细节的公开、代码的开源、病毒生成器的出现，勒索病毒的生产成本将逐渐降低，这将进一步促进未来勒索病毒的攻击趋势。

   

   1、    勒索病毒与平安软件的匹敌加剧    

   

   随着平安软件对勒索病毒解决方案的成熟和完善，勒索病毒加倍难以入侵用户计算机，病毒传播者将不断升级匹配的工艺解决方案。

   

   2、    勒索病毒的传播场景多样化    

   传统的勒索病毒流传主要以钓鱼邮件为主，勒索病毒更多行使了高危破绽（如永恒之蓝）、鱼叉游戏攻击，或水坑攻击等方式流传，大大提高了入侵乐成率。以GandCrab例如，家庭勒索病毒同时行使了四种方式：钓鱼邮件、水坑攻击、网页挂马和缺陷。
   

   3、    勒索病毒攻击目的转向企业业用户    

   

   大多数私人电脑可以使用安全软件来修复缺陷。当被勒索病毒攻击时，私人用户往往会放弃数据并恢复系统。企业用户倾向于支付赎金，而无需实时备份来恢复数据。因此，越来越多的攻击是针对政府机关、企业、医院和学校的。

   

   4、    勒索病毒更新迭代加速    

   

   以GandCrab比如第一代后台被平安公司入侵后，一周内就公布了GandCrab2，现在已升级到3.0版本。病毒早期发布时存在缺陷，使平安公司能够解密加密文件，随后更新的版本无法解密。

   

   5、    勒索病毒加密目的升级    

   

   传统勒索病毒加密的目的基本上是基于文件。现在越来越多的勒索病毒将测试加密数据库文件、加密磁盘备份文件，甚至加密磁盘指导区。一旦加密，用户将无法访问系统，这将比加密更有害，更有可能迫使用户支付赎金。

   

   平安建议    

   

   个人用户：    

   

   1.    不要点击来源不明的邮件附件。

   

   2.    不使用外挂等病毒高发点的工具。

   

   3.    保持腾讯电脑管家等平安软件的运行状态，实时修复系统破绽，实时阻挡病毒风险。

   

   4.    建议使用文档守护者定期备份主要文件和数据(数据库等数据)。-【文档】-【文档守护者】，全心全意珍惜文档安全。

       
   

   对企业用户：    

   

   1. 只需关闭445、135、139等不必要的端口，就可以设置3389端口的白名单，只允许白名单中的白名单IP毗邻上岸。

   

   2. 关闭不必要的文件共享。如有必要，请使用ACL与强密码珍爱限制接见权，禁止匿名接见共享文件夹。

   

   3、 接受高强度密码，停止使用弱密码，并定期更换密码。建议服务器密码使用高强度和不规则的密码，并强制每个服务器使用不同的密码处理。

   

   4. 对无互联网需求的服务器/工作站内接收设置响应控制，防止可连接外网服务器作为跳板进一步攻击其他服务器。

   

   5、 定期非内陆备份主要文件和数据(数据库等数据)。

   

   6. 在终端/服务器部署专业的安全防护软件，Web服务器可以考虑部署在腾讯云等具有专业安全防护能力的云服务中。

   

   7.建议在全网安装皇家终端安全管理系统（https://s.tencent.com/product/yd/index.html）。皇家终端安全管理系统具有终端杀毒统一控制、修复缺陷统一控制、战略控制等综合安全管理效果，可以帮助企业管理者全面了解、管理企业内部网络安全状态，珍惜企业安全。

   

       

   

   8. 建议企业用户使用御界高级威胁检测系统（https://s.tencent.com/product/gjwxjc/index.html）。皇家高级威胁检测系统依托基于行为保护和智能模型的两大焦点能力，可以有效检测未知威胁，通过分析企业内外网络边界的网络流量，感知缺陷的行使和攻击。

       
   

Bondat蠕虫联手GandCrab3勒索病毒来袭