以Linux和Mac OS X為目標的勒索軟體分析
【51CTO.com快譯】2016年是勒索軟體危害擴大的一年。網路犯罪者使勒索軟體進一步惡化,成功地將企業或個人使用者的重要資料作為人質來要求更多的贖金。去年最新被確認的勒索軟體截止到2016年9月末已經達到146家族,
瞄準智慧手機使用者的新型勒索軟體威脅已經被確認了。以及,其他的瞄準作業系統的勒索軟體也被製作出來,面向會員們和新加入的網路犯罪者的地下黑市上出售。用於Linux系統的最初被製作出的勒索軟體“Linux.Encoder”是惡意利用存在於Web網頁外掛程式或EC網站平臺“Magento”等軟體中的漏洞,
這些勒索軟體的共同特徵是“瞄準Unix系列”。Unix是使用命令列的多使用者作業系統。使用一元化的檔案系統和Shell、命令語言等簡易且強有力的工具運行多項任務。根據其移植性和程式師的人氣進行普及,
“Linux.Encoder”(上)和“KeRanger”(下)的加密化程式庫的相似點。兩者都利用了提供SSL/TLS加密功能的“ARM mbed TLS”
圖2:“Linux.Encoder”(左)和“KeRanger”(右)的函數名稱的類似點(摘要)。由於兩者都存在相同函數的理論,“KeRanger”有可能是“Linux.Encoder”的另一種寫法。
◆瞄準Unix的勒索軟體處於“基礎工程中”
無論哪個勒索軟體都被視作典型的Windows版勒索軟體的感染手法,
通過對可以說是瞄準Unix系列勒索軟體先驅的勒索軟體進行分析,能夠預測網路犯罪者的瞄準目標以及最終目標。例如,“KeRanger”可加密或消除內置於Mac OS X裡的備份功能“Time Machine”,具備未使用的功能。利用勒索軟體的開原始程式碼製作的“Linux.Encoder”為了修復加密活動的不完善,被多次更新。感染“Linux.Encoder”的Linux伺服器數量很多,
瞄準Unix系列的勒索軟體目前或許還處於實驗階段,但是通過以Linux和Android等、Unix系列OS為物件的其他家族的登場,不知從何處開始產生分歧,為了盡可能地擴大攻擊物件增加受益不知會搭載何種功能越發趨於明朗化。以下是比較有代表性的瞄準Unix系列勒索軟體家族清單。
·KillDisk(RANSOM_KILLDISK.A)
·Rex(RANSOM_ELFREXDDOS.A)
·Encryptor RaaS(RANSOM_CRYPRAAS.B)
·KimcilWare(RANSOM_KIMCIL)
·Svpeng(ANDROIDOS_SVPENG)
·Koler(ANDROIDOS_KOLER)
·Synolocker(RANSOM_SYNOLOCK)
·CryptoTrooper(RANSOM_CRYPTOTROOPER)
·PHP Ransomware(PHP_CRYPWEB)
已經被確認的是2014年Linux版勒索軟體“Synolocker”。關於“CryptoTrooper”和“PHP Ransomware”,與“Linux.Encoder”一樣,
◆Unix系列OS是勒索軟體的狩獵場嗎
但是,Unix系列OS不是勒索軟體那樣粗暴的威脅容易瞄準的平臺。從市場份額和利用人數來看可以說,其區別在於也可由結構引起。例如,類似Linux的Unix系列OS軟體可以從原始檔案或被檢驗的儲存庫進行彙編。另外,即使是在許可過程中,較難得到訪問和加密檔所必需的許可權。反之,Windows用戶帳號控制(UAC)功能,使用標準使用者許可權被限制軟體的使用且不能隨意更改,但是很多時候,程式師容易得到系統的變更許可,而且組織上用戶也容易得到管理者許可權的訪問許可。雖說如此,Unix也不是絕對的安全。可通過遠端執行代碼,利用程序呼叫的漏洞,以及社會工程學的郵件,無論採用哪種方法,都有可能存在索軟體入侵系統的威脅。
雖然瞄準Unix系列的勒索軟體的活動正處於摸索階段,但已被廣泛應用於伺服器、工作站、Web應用程式框架、資料庫、移動設備等領域。考慮到Unix的普遍性,今後安全上可能存在更大的課題。搭載Unix系列OS設備活用於IT服務業、教育、醫療、金融、零售、媒體、製造等各種業界中。例如,Linux系統是大多數主機服務提供者和存儲服務提供者的主流,多數的用戶端需要同時管理各種Web網站。類似資料中心的組織,作為不允許終端的基礎業務操作執行平臺,離不開Unix系列的系統。
◆如何儘量避免被勒索軟體入侵
IT管理者與資訊安全專家不可忽視系統管理的必要性。如果被勒索軟體入侵的話,會出現妨礙公司正常運營、失去信用、利益受損等危害且遠不止於此。
根據許可權限制,限制了程式師對Linux系統的添加更改,可大幅度強化安全。通過定期性的審查與維護,最小化運行中的服務和無效化不必要的服務等的操作可減輕被攻擊的風險。對於被進行了錯誤設定的程式,請使用Linux安全擴展功能。根據該功能,程式師在可訪問檔或互聯網資源的範圍內進行訪問管理控制(MAC)政策,防止非法程式或錯誤構成的程式引起的危害。入侵偵測系統的安裝,持續監視的運行,以及可疑日誌的檢查,對系統的試圖入侵以及實際攻擊的早期檢測起到很大的作用。
最新更新程式的適用使系統保持最新狀態,對重要的企業資產資料進行定期的備份,以及有必要對企業周邊環境進行確認與保護。系統管理者需要對勒索軟體通常使用的可疑檔、應用程式、程式、互聯網活動引起注意。企業和個人使用者需要對閘道、終端、互聯網、以及伺服器全區導入多層次的安全防護手法。
【內容來源】Trend Micro Security Blog
【原標題】「Linux」と「Mac OS X」を狙うランサムウェアの解析から今後の動向を予測
【原連結】http://blog.trendmicro.co.jp/archives/14499
【編輯推薦】
Windows用戶帳號控制(UAC)功能,使用標準使用者許可權被限制軟體的使用且不能隨意更改,但是很多時候,程式師容易得到系統的變更許可,而且組織上用戶也容易得到管理者許可權的訪問許可。雖說如此,Unix也不是絕對的安全。可通過遠端執行代碼,利用程序呼叫的漏洞,以及社會工程學的郵件,無論採用哪種方法,都有可能存在索軟體入侵系統的威脅。雖然瞄準Unix系列的勒索軟體的活動正處於摸索階段,但已被廣泛應用於伺服器、工作站、Web應用程式框架、資料庫、移動設備等領域。考慮到Unix的普遍性,今後安全上可能存在更大的課題。搭載Unix系列OS設備活用於IT服務業、教育、醫療、金融、零售、媒體、製造等各種業界中。例如,Linux系統是大多數主機服務提供者和存儲服務提供者的主流,多數的用戶端需要同時管理各種Web網站。類似資料中心的組織,作為不允許終端的基礎業務操作執行平臺,離不開Unix系列的系統。
◆如何儘量避免被勒索軟體入侵
IT管理者與資訊安全專家不可忽視系統管理的必要性。如果被勒索軟體入侵的話,會出現妨礙公司正常運營、失去信用、利益受損等危害且遠不止於此。
根據許可權限制,限制了程式師對Linux系統的添加更改,可大幅度強化安全。通過定期性的審查與維護,最小化運行中的服務和無效化不必要的服務等的操作可減輕被攻擊的風險。對於被進行了錯誤設定的程式,請使用Linux安全擴展功能。根據該功能,程式師在可訪問檔或互聯網資源的範圍內進行訪問管理控制(MAC)政策,防止非法程式或錯誤構成的程式引起的危害。入侵偵測系統的安裝,持續監視的運行,以及可疑日誌的檢查,對系統的試圖入侵以及實際攻擊的早期檢測起到很大的作用。
最新更新程式的適用使系統保持最新狀態,對重要的企業資產資料進行定期的備份,以及有必要對企業周邊環境進行確認與保護。系統管理者需要對勒索軟體通常使用的可疑檔、應用程式、程式、互聯網活動引起注意。企業和個人使用者需要對閘道、終端、互聯網、以及伺服器全區導入多層次的安全防護手法。
【內容來源】Trend Micro Security Blog
【原標題】「Linux」と「Mac OS X」を狙うランサムウェアの解析から今後の動向を予測
【原連結】http://blog.trendmicro.co.jp/archives/14499
【編輯推薦】