知己知彼:360發佈2017年度勒索軟體分析報告
2017年以來,360互聯網安全中心監測到大量針對普通線民和政企機構的勒索軟體攻擊。勒索軟體已成為對線民直接威脅最大的一類木馬病毒。本章內容主要針對,2017年1月-11月期間,360互聯網安全中心監測到的勒索軟體的相關資料進行分析。
一、勒索軟體的攻擊量
2017年1-11月,360互聯網安全中心共截獲電腦端新增勒索軟體變種183種,新增控制功能變數名稱238個。全國至少有472.5多萬台使用者電腦遭到了勒索軟體攻擊,平均每天約有1.4萬台國內電腦遭到勒索軟體攻擊。
特別說明,2017年截獲的某些勒索病毒,如Cerber病毒,會向某個IP位址段進行群呼,以尋找可能回應的控制伺服器。
下圖給出了勒索軟體1月至11月期間每月攻擊使用者數的情況。從圖中可見,4月攻擊高峰期時的攻擊量為81.1萬,一天之內被攻擊的電腦平均可達2.7萬台。11月是第二個攻擊小高峰,一天之內被攻擊的電腦平均可達3.1萬台。
圖1
2017年四月份發生的大規模勒索軟體攻擊,主要是因為Shadow Brokers(影子經紀人)組織公開了披露美國國家安全局發現的漏洞“永恆之藍”,
10月至11月發生的大規模勒索軟體攻擊,主要是因為在10月份時出現了一種以.arena為尾碼的勒索軟體,11月份時出現了一種以.java為尾碼的勒索軟體。這兩款勒索軟體主要是由攻擊者通過嫺熟的手法入侵伺服器後釋放勒索病毒的。以.arena和.java為尾碼的勒索軟體在10月至11月流行的主要原因有三:
1)攻擊者入侵手段升級導致成功率大幅提高;
2)這兩款勒索軟體成功入侵了大量企業的伺服器;
3)以.arena和.java為尾碼的這兩款勒索軟體都屬於Crysis家族,這個家族每次更換新的私密金鑰都會換一個尾碼(10月份是.arena尾碼,11月份是.Java尾碼)。新出現的.arena和.java替代了.wallet開始流行。
二、勒索軟體的家族分佈
統計顯示,在向360互聯網安全中心求助的勒索軟體受害者中,Cerber、Crysis、WannaCry這三大勒索軟體家族的受害者最多,共占到總量的58.4%。
圖2
結合360互聯網安全中心的大資料監測分析,下圖給出了2017年不同勒索軟體家族在國內的活躍時間分析。特別需要說明的是:“類Petya”勒索病毒(該病毒說明請參考第四章的第二節介紹),雖然在國外發動了大規模的攻擊行為,產生了及其重要影響,但是在國內基本就沒有傳播,所以在下圖中沒有體現這兩個家族。
圖3
三、勒索軟體的傳播方式
360互聯網安全中心監測顯示,駭客為了提高勒索軟體的傳播效率,也在不斷更新攻擊方式,釣魚郵件傳播依然是駭客常用的傳播手段,伺服器入侵的手法更加嫺熟運用,同時也開始利用系統自身的漏洞進行傳播。今年勒索軟體主要採用以下五種傳播方式:
1)伺服器入侵傳播
以Crysis家族為代表的勒索軟體主要採用此類攻擊方式。駭客首先通過弱口令、系統或軟體漏洞等方式獲取用戶名和密碼,再通過RDP(遠端桌面協議)遠端登入伺服器,一旦登錄成功,駭客就可以在伺服器上為所欲為,例如:卸載伺服器上的安全軟體並手動運行勒索軟體。所以,在這種攻擊方式中 ,一旦 伺服器被入侵,安全軟體一般是不起作用的。
2)利用漏洞自動傳播
今年,通過系統自身漏洞進行傳播擴散成為勒索軟體的一個新的特點。上半年震動世界的WannaCry勒索病毒就是利用微軟的永恆之藍(EternalBlue)漏洞進行傳播。駭客往往抓住很多人認為打補丁沒用還會拖慢系統的錯誤認識,從而利用剛修復不久或大家重視程度不高的漏洞進行傳播。如果使用者未及時更新系統或安裝補丁,那麼即便用戶未進行任何不當操作,也有可能在完全沒有預兆的情況下中毒。此類勒索軟體在破壞功能上與傳統勒索軟體無異,都是加密使用者檔勒索贖金。但因為傳播方式不同,導致更加難以防範,需要使用者自身提高安全意識,儘快更新有漏洞的軟體或安裝對應的安全補丁。
3)軟體供應鏈攻擊傳播
軟體供應鏈攻擊是指利用軟體供應商與最終使用者之間的信任關係,在合法軟體正常傳播和升級過程中,利用軟體供應商的各種疏忽或漏洞,對合法軟體進行劫持或篡改,從而繞過傳統安全產品檢查達到非法目的的攻擊類型。
2017年爆發的Fireball、暗雲III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner等後門事件均屬於軟體供應鏈攻擊。而在烏克蘭爆發的類Petya勒索軟體事件也是其中之一,該病毒通過稅務軟體M.E.Doc的升級包投遞到內網中進行傳播。
4)郵件附件傳播
通過偽裝成產品訂單詳情或圖紙等重要文檔類的釣魚郵件,在附件中夾帶含有惡意程式碼的指令檔。一旦使用者打開郵件附件,便會執行裡面的腳本,釋放勒索病毒。這類傳播方式的針對性較強,主要瞄準公司企業、各類單位和院校,他們最大的特點是電腦中的文檔往往不是個人文檔,而是公司文檔。最終目的是給公司業務的運轉製造破壞,迫使公司為了止損而不得不交付贖金。
5)利用掛馬網頁傳播
通過入侵主流網站的伺服器,在正常網頁中植入木馬,讓訪問者在流覽網頁時利用IE或Flash等軟體漏洞進行攻擊。這類勒索軟體屬於撒網抓魚式的傳播,並沒有特定的針對性,一般中招的受害者多數為裸奔用戶,未安裝任何殺毒軟體。
四、勒索軟體攻擊的地域
360互聯網安全中心監測顯示,遭遇勒索軟體攻擊的國內電腦使用者遍佈全國所有省份。其中,廣東占比最高,為14.9%,其次是浙江8.2%,江蘇7.7%。排名前十省份占國內所有被攻擊總量的64.1%。
圖4
2017年勒索軟體攻擊地域分佈如下圖所示。
圖5
五、勒索軟體伺服器分佈
360互聯網安全中心針對最為活躍的部分勒索軟體的C2伺服器功能變數名稱尾碼的歸屬地進行了分析,結果顯示:.com功能變數名稱被使用的最多,約為總量的一半,為48.7%,.net和.org占比分別為3.8%和1.7%。此外,屬於歐洲國家的功能變數名稱最多,占31.9%,其次是亞洲國家4.6%,南美洲國家1.7%,大洋洲國家1.7%,北美洲國家1.3%。
特別值得注意的是,主流的大勒索家族都不再使用C2伺服器加密技術了,但還是有很多小眾勒索家族在使用C2伺服器的加密技術。
圖6
六、勒索軟體攻擊的行業
為更加深入的瞭解各行業勒索軟體遭到攻擊的情況,360威脅情報中心 聯合全國一百餘家政府機構、事業單位和大中型企業的IT管理人員,對各企業遭勒索軟體攻擊情況展開了深入的調查分析。並希望此項研究能夠對更多機構的網路管理者提供有價值的參考資訊。
不同行業政企機構遭受勒索軟體攻擊的情況分析顯示,能源行業是遭受攻擊最多的行業,占比為42.1%,其次為醫療行業為22.8%,金融行業為17.8%,具體分佈如下圖所示。需要說明的是,遭到攻擊多不代表被感染的設備多。攻擊量是通過企業級終端安全軟體的監測獲得的。
圖7
從上圖中,我們知道能源、醫療衛生、金融是遭受勒索軟體攻擊最多的三個行業,那麼究竟是哪些家族對這三個行業發動的攻擊呢?下表分別給出了每個行業遭受勒索軟體攻擊最多的前五個家族,具體如下表所示。可以看出,針對不同行業,攻擊者者所使用的勒索軟體類型是有很大區別的。
表 1 能源、醫療衛生、金融行業遭受勒索攻擊的家族TOP5
七、勒索軟體的攻擊特點
如果說,掛馬攻擊是2016年勒索軟體攻擊的一大特點,那麼2017年,勒索軟體的攻擊則呈現出以下六個明顯的特點:無C2伺服器加密技術流行、攻擊目標轉向政企機構、攻擊目的開始多樣化、勒索軟體平臺化運營、影響大的家族贖金相對少、境外攻擊者多於境內攻擊者。
(一)無C2伺服器加密技術流行
2017年,我們發現駭客在對檔加密的過程中,一般不再使用C2伺服器了,也就是說現在的勒索軟體加密過程中不需要回傳私密金鑰了。
這種技術的加密過程大致如下:
1)在加密前隨機生成新的加密金鑰對(非對稱公、私密金鑰)
2)使用該新生成新的公開金鑰對檔進行加密
3)把新生成的私密金鑰採用駭客預埋的公開金鑰進行加密保存在一個ID檔或嵌入在加密檔裡
解密過程大致如下:
1)通過郵件或線上提交的方式,提交ID串或加密檔裡的加密私密金鑰(該私密金鑰一般駭客會提供工具提取);
2)駭客使用保留的預埋公開金鑰對應的私密金鑰解密受害者提交過來的私密金鑰;
3)把解密私密金鑰或解密工具交付給受害者進行解密。
圖8
通過以上過程可以實現每個受害者的解密私密金鑰都不相同,同時可以避免聯網回傳私密金鑰。這也就意味著不需要聯網,勒索病毒也可以對終端完成加密,甚至是在隔離網環境下,依然可以對檔和資料進行加密。顯然 ,這種技術是針對採用了各種隔離措施的政企機構所設計的。
(二)攻擊目標轉向政企機構
2017年,勒索軟體的攻擊進一步聚焦在高利潤目標上,其中包括高淨值個人、連接設備和企業伺服器。特別是針對中小企業網路服務器的攻擊急劇增長,已經成為2017年勒索軟體攻擊的一大鮮明特徵。據不完全統計,2017年,約15%的勒索軟體攻擊是針對中小企業伺服器發起的定向攻擊,尤以Crysis、xtbl、wallet、arena、Cobra等家族為代表。
客觀的說,中小企業往往安全架構單一,相對容易被攻破。同時,勒索軟體以企業伺服器為攻擊目標,往往也更容易獲得高額贖金。例如:針對Linux伺服器的勒索軟體Rrebus,雖然名氣不大,卻輕鬆從韓國Web託管公司Nayana收取了100萬美元贖金,是震驚全球的永恆之藍全部收入的7倍之多。Nayana所以屈服,是因為超150台伺服器受到攻擊,上面託管著3400多家中小企業客戶的網站。這款勒索病毒的覆蓋面有限,韓國幾乎是唯一的重災區。
(三)針對關鍵資訊基礎設施的攻擊
以WannaCry、類Petya為代表的勒索軟體,則是將關鍵資訊基礎設施作為了主要攻擊目標,這在以往是從未出現過的嚴峻情況。關鍵基礎設施為社會生產和居民生活提供公共服務,保證國家或地區社會經濟活動正常進行,其一旦被攻擊將嚴重影響人們的日常生活,危害巨大。
(四)攻擊目的開始多樣化
顧名思義,勒索軟體自然就是要勒索錢財。但這種傳統認知已經在2017年被打破。以網路破壞、組織破壞為目的的勒索軟體已經出現並開始流行。其中最為典型的代表就是類Petya。與大多數勒索軟體攻擊不同,類Petya的代碼不是為了向受害者勒索金錢,而是要摧毀一切。類Petya病毒的主要攻擊目的就是為了破壞資料而不是獲得金錢。此外,以Spora為代表的竊密型勒索軟體在加密使用者文檔時,還會竊取使用者帳號密碼和鍵盤輸入等資訊,屬於功能複合型勒索軟體。
這些不僅以“勒索”為目的的“勒索軟體”,實際上只是結合了傳統勒索軟體對檔進行加密的技術方法來實現其資料破壞、資訊竊取等其他攻擊目的。相比於勒索金錢,這種攻擊將給對手帶來更大的破壞和更大的威脅。這不僅會引發網路犯罪“商業模式”的新變種,而且會反過來刺激網路保險市場的進一步擴張。
(五)勒索軟體平臺化運營
(六)境外攻擊者多於境內攻擊者
2017年,勒索軟體的攻擊源頭以境外為主。絕大多數的勒索軟體攻擊者基本都是境外攻擊者,國內攻擊者較少,而且國內攻擊者技術水準也相對較低,製作水準也不高。有些國內攻擊者編寫的勒索軟體程式甚至存在很多漏洞,因此也比較容易被破解。比如:MCR勒索病毒,我們可以直接獲取到金鑰從而恢復檔。
產生了及其重要影響,但是在國內基本就沒有傳播,所以在下圖中沒有體現這兩個家族。圖3
三、勒索軟體的傳播方式
360互聯網安全中心監測顯示,駭客為了提高勒索軟體的傳播效率,也在不斷更新攻擊方式,釣魚郵件傳播依然是駭客常用的傳播手段,伺服器入侵的手法更加嫺熟運用,同時也開始利用系統自身的漏洞進行傳播。今年勒索軟體主要採用以下五種傳播方式:
1)伺服器入侵傳播
以Crysis家族為代表的勒索軟體主要採用此類攻擊方式。駭客首先通過弱口令、系統或軟體漏洞等方式獲取用戶名和密碼,再通過RDP(遠端桌面協議)遠端登入伺服器,一旦登錄成功,駭客就可以在伺服器上為所欲為,例如:卸載伺服器上的安全軟體並手動運行勒索軟體。所以,在這種攻擊方式中 ,一旦 伺服器被入侵,安全軟體一般是不起作用的。
2)利用漏洞自動傳播
今年,通過系統自身漏洞進行傳播擴散成為勒索軟體的一個新的特點。上半年震動世界的WannaCry勒索病毒就是利用微軟的永恆之藍(EternalBlue)漏洞進行傳播。駭客往往抓住很多人認為打補丁沒用還會拖慢系統的錯誤認識,從而利用剛修復不久或大家重視程度不高的漏洞進行傳播。如果使用者未及時更新系統或安裝補丁,那麼即便用戶未進行任何不當操作,也有可能在完全沒有預兆的情況下中毒。此類勒索軟體在破壞功能上與傳統勒索軟體無異,都是加密使用者檔勒索贖金。但因為傳播方式不同,導致更加難以防範,需要使用者自身提高安全意識,儘快更新有漏洞的軟體或安裝對應的安全補丁。
3)軟體供應鏈攻擊傳播
軟體供應鏈攻擊是指利用軟體供應商與最終使用者之間的信任關係,在合法軟體正常傳播和升級過程中,利用軟體供應商的各種疏忽或漏洞,對合法軟體進行劫持或篡改,從而繞過傳統安全產品檢查達到非法目的的攻擊類型。
2017年爆發的Fireball、暗雲III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner等後門事件均屬於軟體供應鏈攻擊。而在烏克蘭爆發的類Petya勒索軟體事件也是其中之一,該病毒通過稅務軟體M.E.Doc的升級包投遞到內網中進行傳播。
4)郵件附件傳播
通過偽裝成產品訂單詳情或圖紙等重要文檔類的釣魚郵件,在附件中夾帶含有惡意程式碼的指令檔。一旦使用者打開郵件附件,便會執行裡面的腳本,釋放勒索病毒。這類傳播方式的針對性較強,主要瞄準公司企業、各類單位和院校,他們最大的特點是電腦中的文檔往往不是個人文檔,而是公司文檔。最終目的是給公司業務的運轉製造破壞,迫使公司為了止損而不得不交付贖金。
5)利用掛馬網頁傳播
通過入侵主流網站的伺服器,在正常網頁中植入木馬,讓訪問者在流覽網頁時利用IE或Flash等軟體漏洞進行攻擊。這類勒索軟體屬於撒網抓魚式的傳播,並沒有特定的針對性,一般中招的受害者多數為裸奔用戶,未安裝任何殺毒軟體。
四、勒索軟體攻擊的地域
360互聯網安全中心監測顯示,遭遇勒索軟體攻擊的國內電腦使用者遍佈全國所有省份。其中,廣東占比最高,為14.9%,其次是浙江8.2%,江蘇7.7%。排名前十省份占國內所有被攻擊總量的64.1%。
圖4
2017年勒索軟體攻擊地域分佈如下圖所示。
圖5
五、勒索軟體伺服器分佈
360互聯網安全中心針對最為活躍的部分勒索軟體的C2伺服器功能變數名稱尾碼的歸屬地進行了分析,結果顯示:.com功能變數名稱被使用的最多,約為總量的一半,為48.7%,.net和.org占比分別為3.8%和1.7%。此外,屬於歐洲國家的功能變數名稱最多,占31.9%,其次是亞洲國家4.6%,南美洲國家1.7%,大洋洲國家1.7%,北美洲國家1.3%。
特別值得注意的是,主流的大勒索家族都不再使用C2伺服器加密技術了,但還是有很多小眾勒索家族在使用C2伺服器的加密技術。
圖6
六、勒索軟體攻擊的行業
為更加深入的瞭解各行業勒索軟體遭到攻擊的情況,360威脅情報中心 聯合全國一百餘家政府機構、事業單位和大中型企業的IT管理人員,對各企業遭勒索軟體攻擊情況展開了深入的調查分析。並希望此項研究能夠對更多機構的網路管理者提供有價值的參考資訊。
不同行業政企機構遭受勒索軟體攻擊的情況分析顯示,能源行業是遭受攻擊最多的行業,占比為42.1%,其次為醫療行業為22.8%,金融行業為17.8%,具體分佈如下圖所示。需要說明的是,遭到攻擊多不代表被感染的設備多。攻擊量是通過企業級終端安全軟體的監測獲得的。
圖7
從上圖中,我們知道能源、醫療衛生、金融是遭受勒索軟體攻擊最多的三個行業,那麼究竟是哪些家族對這三個行業發動的攻擊呢?下表分別給出了每個行業遭受勒索軟體攻擊最多的前五個家族,具體如下表所示。可以看出,針對不同行業,攻擊者者所使用的勒索軟體類型是有很大區別的。
表 1 能源、醫療衛生、金融行業遭受勒索攻擊的家族TOP5
七、勒索軟體的攻擊特點
如果說,掛馬攻擊是2016年勒索軟體攻擊的一大特點,那麼2017年,勒索軟體的攻擊則呈現出以下六個明顯的特點:無C2伺服器加密技術流行、攻擊目標轉向政企機構、攻擊目的開始多樣化、勒索軟體平臺化運營、影響大的家族贖金相對少、境外攻擊者多於境內攻擊者。
(一)無C2伺服器加密技術流行
2017年,我們發現駭客在對檔加密的過程中,一般不再使用C2伺服器了,也就是說現在的勒索軟體加密過程中不需要回傳私密金鑰了。
這種技術的加密過程大致如下:
1)在加密前隨機生成新的加密金鑰對(非對稱公、私密金鑰)
2)使用該新生成新的公開金鑰對檔進行加密
3)把新生成的私密金鑰採用駭客預埋的公開金鑰進行加密保存在一個ID檔或嵌入在加密檔裡
解密過程大致如下:
1)通過郵件或線上提交的方式,提交ID串或加密檔裡的加密私密金鑰(該私密金鑰一般駭客會提供工具提取);
2)駭客使用保留的預埋公開金鑰對應的私密金鑰解密受害者提交過來的私密金鑰;
3)把解密私密金鑰或解密工具交付給受害者進行解密。
圖8
通過以上過程可以實現每個受害者的解密私密金鑰都不相同,同時可以避免聯網回傳私密金鑰。這也就意味著不需要聯網,勒索病毒也可以對終端完成加密,甚至是在隔離網環境下,依然可以對檔和資料進行加密。顯然 ,這種技術是針對採用了各種隔離措施的政企機構所設計的。
(二)攻擊目標轉向政企機構
2017年,勒索軟體的攻擊進一步聚焦在高利潤目標上,其中包括高淨值個人、連接設備和企業伺服器。特別是針對中小企業網路服務器的攻擊急劇增長,已經成為2017年勒索軟體攻擊的一大鮮明特徵。據不完全統計,2017年,約15%的勒索軟體攻擊是針對中小企業伺服器發起的定向攻擊,尤以Crysis、xtbl、wallet、arena、Cobra等家族為代表。
客觀的說,中小企業往往安全架構單一,相對容易被攻破。同時,勒索軟體以企業伺服器為攻擊目標,往往也更容易獲得高額贖金。例如:針對Linux伺服器的勒索軟體Rrebus,雖然名氣不大,卻輕鬆從韓國Web託管公司Nayana收取了100萬美元贖金,是震驚全球的永恆之藍全部收入的7倍之多。Nayana所以屈服,是因為超150台伺服器受到攻擊,上面託管著3400多家中小企業客戶的網站。這款勒索病毒的覆蓋面有限,韓國幾乎是唯一的重災區。
(三)針對關鍵資訊基礎設施的攻擊
以WannaCry、類Petya為代表的勒索軟體,則是將關鍵資訊基礎設施作為了主要攻擊目標,這在以往是從未出現過的嚴峻情況。關鍵基礎設施為社會生產和居民生活提供公共服務,保證國家或地區社會經濟活動正常進行,其一旦被攻擊將嚴重影響人們的日常生活,危害巨大。
(四)攻擊目的開始多樣化
顧名思義,勒索軟體自然就是要勒索錢財。但這種傳統認知已經在2017年被打破。以網路破壞、組織破壞為目的的勒索軟體已經出現並開始流行。其中最為典型的代表就是類Petya。與大多數勒索軟體攻擊不同,類Petya的代碼不是為了向受害者勒索金錢,而是要摧毀一切。類Petya病毒的主要攻擊目的就是為了破壞資料而不是獲得金錢。此外,以Spora為代表的竊密型勒索軟體在加密使用者文檔時,還會竊取使用者帳號密碼和鍵盤輸入等資訊,屬於功能複合型勒索軟體。
這些不僅以“勒索”為目的的“勒索軟體”,實際上只是結合了傳統勒索軟體對檔進行加密的技術方法來實現其資料破壞、資訊竊取等其他攻擊目的。相比於勒索金錢,這種攻擊將給對手帶來更大的破壞和更大的威脅。這不僅會引發網路犯罪“商業模式”的新變種,而且會反過來刺激網路保險市場的進一步擴張。
(五)勒索軟體平臺化運營
(六)境外攻擊者多於境內攻擊者
2017年,勒索軟體的攻擊源頭以境外為主。絕大多數的勒索軟體攻擊者基本都是境外攻擊者,國內攻擊者較少,而且國內攻擊者技術水準也相對較低,製作水準也不高。有些國內攻擊者編寫的勒索軟體程式甚至存在很多漏洞,因此也比較容易被破解。比如:MCR勒索病毒,我們可以直接獲取到金鑰從而恢復檔。