2017十大信息泄露事件
纵观2017年,网络安全防线多次面临勒索病毒的重大打击。本文通过分析勒索病毒的常见传播方式,对2017年勒索病毒的新趋势进行了预测,为流行用户和企业用户提供了安全建议。0×1 概述
纵观2017年,网络安全防线多次面临勒索病毒的重大打击。2017年5月WannaCry勒索病毒的发作被认为是迄今为止最严重的勒索病毒事件。至少有150个国家和30万用户被招募,造成80亿美元的损失。未来,勒索病毒将继续活跃,6月Petya勒索病毒席卷欧洲许多国家,政府机构、银行和企业受到大规模攻击。10月份Bad Rabbit包括乌克兰和俄罗斯在内的东欧公司(坏兔子)勒索软件导致东欧坠落。
勒索病毒及其变种的频仍泛起,也严重威胁到通俗用户的上网平安。凭据腾讯电脑管家检测到的巧取豪夺病毒显示,2017整年总计已发现巧取豪夺病毒样本数目在660万个,平均每月检测到巧取豪夺病毒数目近55万个。Q3岑岭四季度检测病毒,检测量为180万。
本文通过分析勒索病毒的常见传播方式,清点2017年重大勒索病毒问题,预测2018年勒索病毒传播的新趋势,为流行用户和企业用户提供安全建议。
0×2勒索病毒七种传播方式
犯罪黑客要求招聘人员通过文件加密或屏幕锁定支付一定数额的赎金,其中文件加密是最常见的勒索方式。犯罪黑客经常行使RSA、AES加密算法对文件进行加密,除非获得相应的密钥,否则很难通过第三方自行解密。
勒索病毒不仅能加密文件,而且具有广泛的传播限制。常见的勒索病毒家族,如Cerber、Locky、GlobeImposter等系列,通过挂马、钓鱼邮件等多种流传方式,往往能在短时间内到达数十万,甚至上百万的流传量级,而且无显着的地域限制。另外较为常见的有针对服务器的XTBL家庭倾向于行使各种缺陷,提出勒索攻击。
1. 邮件附件流传
通过电子邮件附件传播的勒索病毒通常伪装成用户经常查看的文件,如信用卡消费清单、产品订单等。恶意代码隐藏在附件中。当用户打开时,恶意代码将首先执行并释放病毒。邪恶的黑客经常通过电子邮件将携带病毒的文件分批发送给企业、大学、医院和其他单位。主要文件通常保留在这些单元的计算机中。一旦恶意加密,支付赎金的可能性远远超过流行的个人用户。
2. 网站挂马流传
网站挂马是在获得网站或网站服务器的部门或所有权后,将恶意代码插入网页,主要是一些IE等待浏览器的缺陷行使代码。当用户接到悬挂页面时,如果系统以前没有修复恶意代码中的缺陷,计算机将执行相关的恶意代码。
病毒也可以行使已知的软件缺陷进行攻击,如行使Flash、PDF当软件出现缺陷时,将带有恶意代码的文件添加到网页中。当用户使用带有缺陷的软件打开文件时,计算机将执行恶意代码并下载病毒。
3. 入侵服务器
通过远程登录攻击服务器。由于部门服务器将使用弱密码远程登录,罪犯可以暴力破解远程登录密码,并手动下载和操作勒索病毒。即使服务器安装了安全软件,罪犯也可以手动退出。
4. 传播行使系统的缺陷
5月发作的WannaCry就是行使Windows传播系统缺陷,传播系统缺陷的特点是被动中毒:即使用户没有接触到恶意网站,也不打开病毒文件。传播系统缺陷的蠕虫病毒也会扫描网络中的其他缺陷PC主机,只要主机没有补丁,就会被攻击。
5. 网络共享文件
一些小局限性流传的巧取豪夺病毒将通过共享文件流传,犯罪黑客将病毒上传到网络共享空间、云盘、QQ群、BBSBBS等,以共享的方式发送给特定的人,然后诱使他们下载和安装。此外,邪恶的黑客还经常提醒用户毒品软件会发生误报,需要在运行前退出毒品软件,以避免对安全软件的检查。
6. 软件供应链传播
病毒制造商在用户安装和升级正常软件时植入勒索病毒常软件的安装和升级服务植入勒索病毒。这种传播方式行使了用户与软件供应商之间的信托关系,乐成绕过了传统安全产品的追逐和拦截,传播方式加倍隐藏。以前侵袭过世界Petya勒索病毒是通过威胁勒索病毒Medoc流传软件更新服务。
7. 文件熏染流传
传播熏染病毒的特征,如PolyRansom由于行使熏染病毒的特点,在加密用户的所有文档后弹出勒索信息,PE类文件被熏染后有能力熏染其他文件,所以如果用户携带该文件(U当磁盘、网络上传等。)运行到其他计算机时,计算机的文件也会被所有熏染加密。
0×3 勒索病毒两次大规模攻击
1. WannaCry勒索病毒
1) 事项还原
2017年5月12日,WannaCry蠕虫通过MS17-010缺陷在全球范围内发生,大量的计算机被熏染。蠕虫熏染计算机后,会将勒索病毒植入计算机,导致计算机文件大量加密。
2) 熏染历程剖析
a) mssecsvc.exe行为
i. 开关
病毒在网络上设置开关,当内陆计算机能够乐成接见时http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com退出过程,不再进行流传熏染。现在该域名已被平安公司接受。
ii. 蠕虫行为
通过建立服务启动,每次城市启动。
从病毒本身读取MS17_010破绽行使代码,playload分为x86和x64两个版本。
建立两个线程,分为扫描内网和外网IP,最先举行蠕虫流传熏染。
对公网随机ip扫描熏染地址445端口。
对于局域网,直接扫描当前计算机所在的网段进行熏染。
熏染过程,实验毗邻445端口。
如果毗邻乐成,将对地址实验进行破绽攻击和熏染。
iii. 释放敲诈者
b) tasksche.exe行为(敲诈者)
解压释放大量敲诈模块和配置文件,解压密码为WNcry@2ol7
首先关闭指定程序,防止一些主要文件因被占用而无法熏染。
遍历磁盘文件,避免目录包含以下字符:
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
计算机管家推出了反挖掘保护功能
同时,还制止了熏染病毒释放的说明文件。
病毒加密流程图
遍历磁盘文件,加密以下178种扩展文件
.doc,.docx,.xls,.xlsx,.ppt,.pptx,.pst,.ost,.msg,.eml,.vsd,.vsdx,.txt,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.jpeg,.jpg,.docb,.docm,.dot,.dotm,.dotx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.edb,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der
程序中内置两个RSA 2048公钥用于加密,一个包含配对私钥,用于演示可以解密的文件,另一个是真正加密的密钥,程序中没有配对私钥。
病毒自然有一个256字节的密钥,并复制一个RSA2048加密,RSA程序中内置公钥。
组织文件头,包括标志、密钥大小、RSA加密密钥、文件细节等信息。
使用CBC模式AES加密文件内容,将文件内容写入组织好的文件头后,保留为扩展.WNCRY将原始文件随机填写,然后删除,以防止数据恢复。
所有文件加密后,释放说明文件,弹出勒索界面,提醒用户向指定的比特币钱包地址支付数百美元,程序中硬编码三个比特币钱包地址。
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
2. Petya
1) 事项还原
2017年6月27日晚,Petya勒索病毒发作,许多欧洲国家,特别是乌克兰、政府机构、银行和企业,包括乌克兰副总理的计算机。病毒作者要求受害者支付复解密钥之前支付300美元的比特币。
2) 熏染过程分析
i. 写MBR
0~0x21病毒保留在风扇区域MBR原始和微内核代码数据MBR加密保留在第一位0x22扇区。
ii. 加密文件
遍历分区
要加密的文件类型
文件加密历程
iii. 传播方式
可以通过治理共享在局域网中传播,然后通过wmic实现远程下令执行。
C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"
c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" \"c:\windows\perfc.dat\" #1
通过EternalBlue和EternalRomance破绽流传。
在程序发动攻击之前,实验获得可攻击性IP地址列表:
依次获取:已确立TCP毗邻的IP、内陆ARP缓存的IP以及局域网中存在的服务器IP地址。网络完成这些地址后,将进一步攻击。
0×4 2018年勒索病毒五大形势分析
1. 破绽行使或成为勒索病毒新的传播方式
2017年多次大规模发作的勒索病毒主要以钓鱼邮件为传播渠道。随着网民安全意识的提高,钓鱼邮件传播的成功率较前几年有所下降。由于缺陷行使具有较强的自传播能力,可以在短时间内传播,可能在2018年更受邪恶黑客的青睐。
2. 与平安软件的匹敌将不断升级
随着平安软件对勒索病毒免疫力的不断提升,平安软件逐渐形成了对主流勒索病毒的多维防御,勒索病毒需要进一步加强与平安软件的匹配,以提高熏蒸和染色的成功率。这种匹配可能反映在传输渠道的多样性上,也可能反映在样本上做更多的免杀匹配。
3. 攻击目的越来越准确
2017年下半年,勒索病毒的攻击目的呈现出明显的准确性趋势,工作人员和企业用户愿意成为邪恶黑客的攻击目的。这类用户往往有更多的主要文件,加密后,他们倾向于支付解密赎金。
4. 勒索病毒成本低,摩擦热特性
随着勒索病毒技术细节的公然,部门勒索软件代码被放在暗网上售卖,勒索病毒的制作成本泛起连续降低趋势。此外,整个2017年多个系列的勒索病毒连续活跃,间或泛起小局限流传的勒索病毒,例如“希特勒”、“WannaSmile等等。为了实现更大的局限性传播,这种勒索病毒通常利用万圣节、圣诞节等节日和社会热点。2018年,随着生产成本的降低,可能会出现更受欢迎的勒索病毒。
5. 国内勒索病毒首先活跃
犯罪黑客通常使用全中文勒索提醒界面,用于国内用户量身定制的国内勒索病毒。个人经验要求通过微信和支付宝直接支付赎金。在中国,与其他语言版本的勒索病毒相比,国内勒索病毒更有可能招募赎金。2017年出现的主要国内勒索病毒有云龙和云龙xiaoba等等,2018年可能会出现更多的国产勒索病毒。
0×5 平安建议
1. 企业用户
企业用户是勒索病毒的重灾区
1) 加密企业服务器上的文件
流传方式:行使弱口令远程登录、系统或软件破绽等
解决方案:实时给服务器安全补丁,停止使用弱密码,关闭不必要的端口
2) 办公机械加密文件
流传方式:向企业邮箱发送钓鱼邮件
解决方案:公司电子邮件增强了对钓鱼电子邮件的阻挡,提醒员工不要轻易打开来历不明的电子邮件,并保持安全软件的运行状态。
2. 个人用户
个人用户需要小心来源不明的电子邮件,保持安全软件运行状态,实时修复计算机缺陷,养成优越的互联网习惯,不使用插件等病毒高发工具。
3. 使用文档守护者2.0等专用工具
腾讯电脑管家推出的文档守护者2.0,基于管家的安全防御系统,通过系统指导、边界防御、内陆防御、执行珍惜、重写珍惜、备份等环节,建立完整的防御计划,珍惜用户的文档不被加密和勒索。除了支持外Bad Rabbit除了已知的430多种勒索病毒免疫外,还可以提供阻挡和备份未知勒索病毒的能力,进一步确保文件的安全。
(腾讯电脑管家文档守护者2.0防御系统)
用户在腾讯电脑管家12.9文档守护者可以在版本工具箱的文档分类中找到,开盘文档可以自动备份。同时,可以通过实时监控日志查看计算机文档的状态、类型和修改行为记录。在窗口页面上,腾讯计算机管家还将实时转动数据、内陆备份文档数量、风险等级和机器监控,让用户了解当前文档的安全状态。
新勒索病毒的赎金方式实际上是银行卡