在线一区高清,久久久久久噜噜噜久久久精品,激情五月综合色婷婷一区二区

中新網(wǎng)安安全研究院2016年12月安全報(bào)告

對(duì)某"鎖屏"勒索軟件的分析

一. 概述

Ransomware（勒索軟件）是通過(guò)網(wǎng)絡(luò)勒索金錢(qián)的常用方法，繼木馬已經(jīng)形成制作和播種、流量交易、虛擬財(cái)產(chǎn)套現(xiàn)等諸多環(huán)節(jié)的黑色產(chǎn)業(yè)鏈之后，最為普遍的網(wǎng)絡(luò)攻擊行為，會(huì)對(duì)用戶(hù)的文件、應(yīng)用程序、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)造成不可挽回的損失，大部分的受害者選擇乖乖繳納贖金。

根據(jù)安全機(jī)構(gòu)的監(jiān)測(cè)數(shù)據(jù)顯示，在被稱(chēng)為“勒索軟件之年”的2016年，截獲的勒索軟件數(shù)量高達(dá)22144個(gè)，同比2015年增加了62%。新的勒索軟件家族則增長(zhǎng)了748%，呈現(xiàn)出爆發(fā)態(tài)勢(shì)，其中影響較大的包括數(shù)量最龐大的locky勒索家族、破壞主引導(dǎo)（MBR）的PETYA勒索軟件、不斷更新升級(jí)的Cerber勒索軟件等等。

二. 利益驅(qū)動(dòng)傳播

所有的網(wǎng)絡(luò)攻擊行為都是以利益為驅(qū)動(dòng)，勒索軟件也不例外，但是正是由于其傳播方便、命中率高、用戶(hù)基本無(wú)解的特性，在犯罪分子的助推下勢(shì)頭日益猖獗，簡(jiǎn)單分析原因如下：

1. 受害者受感染的途徑具有多樣性，包括：電子郵件鏈接、郵件附件、網(wǎng)站漏洞、社交媒體平臺(tái)、缺乏抵御能力的業(yè)務(wù)應(yīng)用以及用于實(shí)現(xiàn)離線感染的USB驅(qū)動(dòng)。

2. 大規(guī)模的電子郵件感染成本低廉，投入回報(bào)比例驚人，屬于高利潤(rùn)行業(yè)。

3. 一些公司并未對(duì)文件進(jìn)行加密或者沒(méi)有做好從攻擊中恢復(fù)文件的準(zhǔn)備，讓勒索軟件有機(jī)可趁，與其花重金研究解密方案，相比起來(lái)支付勒索費(fèi)來(lái)得更便宜，也更為簡(jiǎn)單。

4. 出現(xiàn)了像比特幣這種越來(lái)越隱蔽的支付方案，使用得攻擊者逃避法律責(zé)任更有把握。

三. 狐貍vs好獵手

在辦公郵箱中收到了一封廣告郵件，其中附件中有一些宣傳性文件，并且?jiàn)A帶了一個(gè)名稱(chēng)為“新建文本文檔.txt.exe”的惡意文件，考慮到Windiows7之后的操作系統(tǒng)特性，用戶(hù)默認(rèn)情況下是無(wú)法看到exe后綴的，加上攻擊者將可執(zhí)行文件改成了TXT文件的圖標(biāo)，而很多人的健忘會(huì)產(chǎn)生想驗(yàn)證一下文件是否還需要，從而提升了點(diǎn)擊文件的成功率。

四. 勒索的本質(zhì)

簡(jiǎn)單地說(shuō)，樣本運(yùn)行后會(huì)修改當(dāng)前用戶(hù)的賬號(hào)和密碼為一個(gè)QQ賬號(hào)（可以理解為暗黑客服），并且講全盤(pán)的文檔文件進(jìn)行加密，最后下載一個(gè)木馬后門(mén)程序，然后等待客戶(hù)聯(lián)系并交納贖金。

五. 惡意軟件的品控

該樣本來(lái)自病毒網(wǎng)站，樣本名稱(chēng)為”華夏聯(lián)盟”，用戶(hù)迷惑用戶(hù)，樣本具體是修改當(dāng)前用戶(hù)的賬號(hào)來(lái)通過(guò)勒索的，會(huì)留下有一個(gè)QQ賬號(hào)用于受害者聯(lián)系。

1.樣本會(huì)獲取當(dāng)前的賬戶(hù)，然后修改賬戶(hù)名稱(chēng)和密碼，用戶(hù)名修改為“加QQ10xxx90xx8",密碼“107289”。

2.對(duì)于躲過(guò)殺軟，樣本使用大量無(wú)效干擾指令，動(dòng)態(tài)加載殺菌敏感函數(shù)，遍歷目標(biāo)主機(jī)中的殺毒軟件，使用多種對(duì)抗殺軟的查殺手段，最終的木馬文件采用多次內(nèi)存解密形成，注入系統(tǒng)白名單中。執(zhí)行一系列操作。

a.區(qū)段加密，修改入口，運(yùn)行自身代碼段

加密前：

解密后：

b.內(nèi)存解密出木馬文件

c.對(duì)抗殺毒的啟發(fā)式查殺：

d.偽裝自身，一旦發(fā)現(xiàn)存在殺毒軟件，便會(huì)讀取系統(tǒng)進(jìn)程”csrss.exe”的進(jìn)程信息，將其中的一些關(guān)鍵字段替換木馬進(jìn)程自己的進(jìn)程結(jié)構(gòu)信息，達(dá)到欺騙殺毒軟件的目的。

3.對(duì)于加密方面，樣本使用的是RSA和隨機(jī)數(shù)結(jié)合的加密方式，首先樣本會(huì)隨機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)，并用RSA對(duì)其加密，加密后的結(jié)果作為本機(jī)的特定密鑰。對(duì)于加密文件，用的是隨機(jī)數(shù)加密的，不同的文件產(chǎn)生不同的隨機(jī)數(shù)進(jìn)行加密，并將每個(gè)文件對(duì)應(yīng)的隨機(jī)數(shù)用上面產(chǎn)生的特定密鑰加密，保存在加密的文件中，同時(shí)用RSA公鑰加密本機(jī)密鑰，其結(jié)果也存在加密文件中。這種加密的好處就是保證每個(gè)文件加密密鑰不同并且每臺(tái)計(jì)算機(jī)的專(zhuān)有密鑰不同，就算暴力破解出其中一組隨機(jī)數(shù)也只能解密一個(gè)文件，只有獲得RSA私鑰才能恢復(fù)所有文件。

4.樣本流程

首先用存儲(chǔ)在文件中的RSA公鑰加密一組隨機(jī)數(shù)，作為本機(jī)特定密鑰：

然后再產(chǎn)生對(duì)于每個(gè)加密文件的隨機(jī)數(shù)，用其對(duì)文件加密，獲得本機(jī)密鑰，使用該密鑰去加密每個(gè)文件對(duì)應(yīng)的唯一隨機(jī)數(shù)。

六. 文件還有沒(méi)有救

文件還有沒(méi)有救從分析中可以看出目標(biāo)主機(jī)的密碼被改成了107289，輸入密碼107289后，計(jì)算機(jī)是可以打開(kāi)的。

至于被加密的文件，非常遺憾，由于作者用的是RSA公鑰結(jié)合隨機(jī)數(shù)來(lái)生成加密文件使用的初始密鑰，除非使用其提供的私鑰，否則是沒(méi)辦法解密的，在此之前，盡量維持現(xiàn)場(chǎng)，可以看出，攻擊者們?yōu)榱舜_保口袋里可以收到錢(qián)，都會(huì)使用比較穩(wěn)妥的加密方式，比起某些黑客資料的竊取，更像是強(qiáng)盜行為，也印證了所有受害用戶(hù)中自行恢復(fù)文件的占比不到一半的原因。

七. 追根溯源

勒索軟件作者留下QQ作為贖金支付聯(lián)系方式，顯然是不夠明智的，僅僅是通過(guò)社工的方法就挖掘到了大量信息，必定是難逃法眼。

軟件作者的法律意識(shí)相當(dāng)?shù)。诰W(wǎng)絡(luò)上進(jìn)行了公開(kāi)宣傳, 一些資深受害者也是提供了比較詳實(shí)的信息，非常有助于案情的調(diào)查。

作者的業(yè)務(wù)領(lǐng)域也是非常廣泛，除了在軟件開(kāi)發(fā)領(lǐng)域有一技之長(zhǎng)，對(duì)滲透攻防也有一定的見(jiàn)解，從某個(gè)被黑主頁(yè)中可以看出，此人曾經(jīng)隸屬于某安全紅客聯(lián)盟團(tuán)隊(duì)。

整理一下所有信息：此人自稱(chēng)黑客，行騙多年。真實(shí)姓名為陳x旭，常用的郵箱和支付寶賬號(hào)為107289xx78@qq.com,手機(jī)號(hào)1558xx48334（四川達(dá)州中國(guó)聯(lián)通），住在廣東廣州，天蝎座, 經(jīng)常出入許多安全論壇，活躍在一些黑客團(tuán)體中。

八. 殺軟能否提供足夠保障？

筆者將樣本上傳到VirusTotal上，僅有23%的殺軟識(shí)別出其具有惡意性質(zhì)，而其余的用戶(hù)可能會(huì)很可能遭受其迫害。事實(shí)上筆者近期使用一個(gè)遠(yuǎn)程控制木馬樣本，僅僅是通過(guò)加殼操作，就在VirusTotal上對(duì)所有殺毒軟件引擎持續(xù)了一個(gè)月的免殺時(shí)間。

九. 新的威脅趨勢(shì)

向移動(dòng)端蔓延

從最早的“艾滋病信息木馬”到最近出現(xiàn)的Locker勒索軟件，二十幾年的時(shí)間里，雖然勒索軟件的新家族層出不窮，但主要的勒索方式仍以綁架用戶(hù)數(shù)據(jù)為主。隨著Android平臺(tái)的日益普及，面向移動(dòng)終端的勒索軟件也日漸增多;

贖金支付方式更難溯源

隨著比特幣的廣泛應(yīng)用，以比特幣代為贖金支付形式的勒索軟件也逐漸多了起來(lái)，比起傳統(tǒng)的需要銀行等可信第三方機(jī)構(gòu)的交易方式來(lái)說(shuō)更為快捷和難以溯源追蹤，并且有效減少了偽裝身份的成本。

物聯(lián)網(wǎng)也變成勒索媒介

ESET高級(jí)研究員史蒂芬·科布認(rèn)為“物聯(lián)網(wǎng)設(shè)備的不安全性和勒索軟件的日益普及促使網(wǎng)絡(luò)罪犯在物聯(lián)網(wǎng)領(lǐng)域竊取不義之財(cái)”。隨著智能設(shè)備和物聯(lián)網(wǎng)向公網(wǎng)開(kāi)放日益普遍，從以物聯(lián)網(wǎng)設(shè)備作為DDoS攻擊載體開(kāi)始，逐漸也會(huì)受到勒索軟件等其他攻擊方式的青睞，物聯(lián)網(wǎng)在快速布局的同時(shí)忽略了安全防范措施，加之很多物聯(lián)網(wǎng)的真實(shí)使用者對(duì)網(wǎng)絡(luò)上的威脅基本不了解，將來(lái)很可能會(huì)通過(guò)某個(gè)通用漏洞大規(guī)模暴發(fā)。

數(shù)據(jù)庫(kù)也不能幸免

Victor Gevers在2016年12月27日發(fā)現(xiàn)一些裸奔的MongoDB用戶(hù)的數(shù)據(jù)被黑客刪除并發(fā)推引起了互聯(lián)網(wǎng)的注意，黑客把數(shù)據(jù)庫(kù)里的數(shù)據(jù)都刪除了，并留下一張warning的表，里面寫(xiě)著如果想“贖”回?cái)?shù)據(jù)，就給0.2比特幣（按近期比特幣的市價(jià)約等于200$）到xxxxx地址。雖然此次MongoDB的暴發(fā)是因?yàn)槠渖矸蒡?yàn)證的松散性（數(shù)據(jù)庫(kù)可以不設(shè)置登陸口令的情況下進(jìn)行連接）其他公網(wǎng)中開(kāi)放服務(wù)的數(shù)據(jù)庫(kù)雖然設(shè)置了口令，但仍然有大量弱口令的存在，仍然需要時(shí)時(shí)警惕。

十. 如何避免？

為了預(yù)防此類(lèi)攻擊，必須對(duì)技術(shù)領(lǐng)域的相關(guān)平臺(tái)進(jìn)行重大改進(jìn)，以確保平臺(tái)的安全性，盡管這些改進(jìn)措施會(huì)顯著增加產(chǎn)品成本。此外，必須加快相關(guān)立法，以確保關(guān)鍵基礎(chǔ)設(shè)施的安全、支持那些最佳的行業(yè)實(shí)踐，同時(shí)要確保這些規(guī)定能被嚴(yán)格遵守。使用恰當(dāng)?shù)臄?shù)據(jù)保護(hù)策略可防止被勒索軟件攻擊。這一條很重要，因?yàn)椴](méi)有免費(fèi)在線解密工具幫助您解密文件，所以，您需要從備份中對(duì)其進(jìn)行恢復(fù)操作，以避免向犯罪分子支付勒索費(fèi)。不過(guò)，最好的方法仍然是在您的基礎(chǔ)設(shè)施中部署多重安全防御層，確保在出現(xiàn)風(fēng)險(xiǎn)時(shí)，終端用戶(hù)能夠監(jiān)測(cè)到。最近的一次調(diào)查顯示，在遭受勒索軟件攻擊的受害者中，能夠從備份中恢復(fù)全部數(shù)據(jù)的占比不到一半。這很大程度上是因?yàn)橛脩?hù)采用了錯(cuò)誤的備份配置，或是備份文件在IT部門(mén)發(fā)現(xiàn)感染文件前就被進(jìn)行了加密處理。此外，在恢復(fù)或加密過(guò)程中，您還可能會(huì)因?yàn)槭韬觯瑢?dǎo)致敏感數(shù)據(jù)泄露給外來(lái)方，將自己暴露在進(jìn)一步的經(jīng)濟(jì)損失風(fēng)險(xiǎn)中。

1. 需要從人員的安全意識(shí)培訓(xùn)入手，降低人為引入的威脅。(勒索軟件大多通過(guò)釣魚(yú)郵件方式撒網(wǎng)，用戶(hù)不小心接收打開(kāi)后中招。所以，提高用戶(hù)的安全意識(shí)很重要。從源頭上進(jìn)行的防護(hù))

2. 做好數(shù)據(jù)備份與持續(xù)更新，在關(guān)鍵時(shí)刻可以發(fā)揮作用。(備份需要3-2-1的原則：至少3份拷貝，存放在2個(gè)地方（異地備份），1個(gè)離線備份。事實(shí)上，還出現(xiàn)過(guò)這種“意外”，個(gè)別用戶(hù)做了備份，卻是在線的，結(jié)果也被勒索軟件一起給加密了)

3. 保證操作系統(tǒng)更新到最新的版本，降低受攻擊的可能性。

4. 應(yīng)用防病毒、未知威脅檢測(cè)等技術(shù)對(duì)勒索軟件進(jìn)行檢測(cè)與防護(hù)。

在线视频不卡一区二区_日韩黄色片在线_亚洲一区在线免费_尤物国产精品

安全服務(wù)

通用網(wǎng)絡(luò)安全產(chǎn)品

專(zhuān)業(yè)網(wǎng)絡(luò)攻擊防護(hù)安全產(chǎn)品

重要關(guān)鍵基礎(chǔ)設(shè)施

重要信息系統(tǒng)

重要公共服務(wù)

安全報(bào)告

研究機(jī)構(gòu)

服務(wù)中心

關(guān)于我們

關(guān)于我們

行業(yè)視角

研究機(jī)構(gòu)

安全報(bào)告