卡巴斯基安全报告:2017年勒索攻击大事件汇总及趋势预测

背景介绍

2017年,不得不提的一件事就是:勒索软件的威胁变得异常显著,甚至可以说是颇为壮观的。

今年爆发了三起全球性的勒索事件,彻底改变了勒索软件的威胁景观,这三起事件可能会被永久的载入网络攻击的历史。这些攻击活动有一些共同点:攻击目标都是企业;都利用了蠕虫和已公布的漏洞进行传播;攻击者会加密受害者的系统或数据,但其真正目标似乎并不是索要赎金(尽管这三次勒索攻击活动给受害者造成的损失已经达到数亿美元)。

推测这些袭击活动的始作俑者不太可能是小偷小摸的勒索小贩,三例攻击中,至少有一个勒索软件带有明显的缺陷,存在一个可以快速关闭的“开关“;有一个是通过感染商业软件进行传播的;两次勒索攻击之间似乎存在一定关联;两次最大的勒索攻击活动的真正目标似乎是破坏数据,所谓“勒索”只是一个障眼法。

2017年,攻击者对勒索软件的兴趣高涨,全球范围内很多企业和工业系统都加入了勒索软件受害者的行列,毫无疑问,这个队列仍在加长,越来越多的有针对性的攻击者开始对这类威胁感兴趣2017年,尽管攻击数量持续增高,但创新有限。

大规模勒索攻击爆发的背后

(一)WannaCry

WannaCry攻击开始于2017年5月12日,当时安全社区观察一件近十年来颇为少见的情景:一场利用蠕虫极速传播的网络攻击。这一次,蠕虫被设计用来在受害者计算机上安装一个被称为“WannaCry”的勒索软件(能够加密被感染系统)。蠕虫主要利用了Shadow Brokers之前公布的两个漏洞利用工具EternalBlue(永恒之蓝)和DoublePulsar进行传播,该蠕虫不仅能够自动搜索并定位被感染机器同一局域网内的其他计算机,还能够自动定位本地网络之外的随机IP范围内的可被利用的计算机,鉴于此,WannaCry得以在短时间内迅速传遍全球各地。

为了感染目标机器,WannaCry利用了一个Windows SMB协议的漏洞,微软方面在2017年3月份已经发布了针对该漏洞的补丁,但事实也证明了,很多机器都未及时修复这一漏洞,因此WannaCry得以迅速蔓延。

感染机器并执行完常规的扩展任务后,WannaCry会加密受害者的一些有价值的数据,并显示出一条关于赎金的提示:不支付赎金的话,就无法解密数据。尽管时候分析师发现了WannaCry的代码中存在一些漏洞,在不支付赎金的情况下,也可以恢复受影响的文件。

WannaCry的影响

这次袭击轰动一时,受害者主要是那些拥有网络化系统的组织或机构,WannaCry也能够渗入嵌入式系统,这些操作系统一般鲜少维护,因此很容易被攻破。攻击者要求受害者使用比特币的形式支付赎金。报告显示,最终受害者的人数可能高达七八十万人。

汽车制造商Renault(雷诺)不得不关闭其在法国最大的工厂,英国的医院因遭遇WannaCry袭击无法正常的治疗病人,其他的受害组织还包括:德国运输巨头Deutsche Bahn,西班牙的电信巨头Telefónica、FedEx(美国联邦快递公司)、日本企业Hitachi和俄罗斯内务部。距离WannaCry最初爆发长达一个月的时间,仍然有组织继续成为WannaCry的受害者,例如日本的本田(被迫关闭了生产设施)、澳大利亚维多利亚州的高速摄像机等。

关于WannaCry的未解之谜

对于企业而言,WannaCry攻击不仅高调,其危害也是毁灭性的。但从勒索(盈利)的角度看待WannaCry,它却是一个失败的案例。勒索袭击越是低调就越容易获利,通过蠕虫大肆传播是不可取的。据不完全估计,因WannaCry备受瞩目的原因,最终近收获了价值55000美元的比特币,这与它的影响规模不成比例。从专业技术角度而言,WannaCry的一些代码在某些方面存在缺陷,并不完善,有人认为是由于该恶意程序还未准备就绪就被传播到了野外,也有一些指标显示,WannaCry似乎与臭名昭著的黑客组织Lazarus有关。

WannaCry攻击的真正目的可能会成为一个永久的待解之谜:是勒索软件处理不当、存在缺陷?还是披着勒索外衣行破坏之实的破坏性攻击?

(二)ExPetr

第二次大规模的袭击活动发生在6月27日,与WannaCry爆发相差只有六周的时间。ExPetr主要通过供应链攻击在乌克兰、俄罗斯和欧洲西部地区的目标机器上进行传播。卡巴斯基的遥测数据显示,有5000多个用户遭遇ExPetr袭击。受害者被要求支付价值约300美元的赎金,同样是使用比特币支付。然而结果证明即使是支付了赎金也无法恢复被加密的文件。

ExPetr是一个复杂的攻击,涉及到好几个入侵指标,其中包括我们熟悉的、经过改进的EternalBlue、EternalRomance漏洞利用工具和DoublePulsar后门程序(用于在组织内部网络内渗透);乌克兰会计软件MeDoc被认为可能被是最初的感染源,攻击者感染了MeDoc会计软件的更新包;袭击中还涉及一个被入侵的乌克兰地区的新闻网站,攻击者借此实施水坑攻击。

更重要的是,ExPetr能够感染受害机器同一局域网内的其他计算机,即使这些计算机都打了补丁。要做到这一点,它可能使用了类似Mimikatz这样的工具收集受感染系统的登录凭据,并利用PsExec 或WMIC在网络内横向运动。

ExPetr采用了两套加密方案:使用AES-128算法加密受害者的文件;然后从离ing一个恶意程序GoldenEye下载并安装一个修改过的Bootloader,这种恶意的Bootloader程序会加密MFT(NTFS文件系统中一项关键的数据结构),阻碍正常的启动过程,向受害者索要赎金。

ExPetr的影响

ExPetr的受害者中包含了一些诸如航运、零售商、广告公司、律师事务所之类的重要组织,例如:航运公司Maersk(马士基)、FedEx(联邦快递公司TNT)和WPP。在, FedEx袭击发生一个月后,TNT的发货仍未完全恢复,使用SMB的客户受害最严重。另一个典型的受害者是消费品巨头Reckitt Benckiser,该公司在短短的45分钟时间内失去了15000台笔记本电脑、2000台服务器和500个计算机系统的控制权,预计损失超过1亿3000万美元。马士基公布因ExPetr的影响导致公司损失了约3亿美元。

关于ExPetr的未解之谜

安全专家们发现ExPetr和BlackEnergy木马的KillDisk组件早期的变种在代码上存在相似之处,(*BlackEnergy以有针对性的攻击乌克兰地区的基础设施而闻名), ExPetr背后的目的和动机仍然是未知的。

(三)BadRabbit

十月下旬,另一个加密的蠕虫病毒BadRabbit出现了。最初的感染源是一些被无损的网站,攻击者诱骗潜在的受害者从这些受感染的网站上下载虚假的Adobe Flash播放器更新。恶意软件一旦在受害者的计算机上被启动,BadRabbit的蠕虫组件就会尝试利用EternalRomance漏洞进行子午复制,并利用一个与ExPetr所使用的相似的横向移动技术在网络内进行传播。大多数ExPetr袭击活动中,记录在案的大多数攻击目标位于俄罗斯、乌克兰、土耳其和德国。

BadRabbit的勒索组件会加密受害者的文件,然后使用合法的DiskCryptor 工具的功能加密整个整个磁盘分区。对BadRabbit样品的代码和使用的攻击技术进行分析,结果显示该恶意软件与ExPetr之间存在着显著的相似性。然而,与ExPetr,不同的是,BadRabbit似乎并不是一个粗暴的雨刮器,攻击者采用的加密方案可以解密受害者的机器。

泄露的漏洞利用工具是新攻击的有效燃料

影子经纪人泄露的那些黑客武器,为今年的网络攻击活动增添了不少的燃料。上文所述的三起勒索袭击的操作者并不是唯一使用这些武器在网络上肆虐的人。

其他的一些不太知名的勒索漏洞也会利用这些工具,例如AES-NI (Trojan-Ransom.Win32.AecHu) 和Uiwix (Trojan-Ransom.Win32.Cryptoff的变种)。从某种意义上讲,这些恶意软件家族是“纯粹”的勒索软件,它们不具备任何蠕虫的能力,即不能自我复制,这就是为什么他们没有得以广泛传播(类似WannaCry那样)的原因。不过,这些恶意软件家族的威胁行为者所利用的漏洞与WannaCry等是相同的。

几个勒索软件家族的主密钥被公布

除了全球性的大规模勒索袭击吸引眼球外,2017年第二季度还出现了一个有趣的趋势:几个掌握了不同加密勒索软件的犯罪集团宣布结束他们的活动,并公布了解密受害者的文件所需的密钥。

2017年第二季度,公开了密钥的勒索软件家族包括:

  • Crysis (Trojan-Ransom.Win32.Crusis);
  • AES-NI (Trojan-Ransom.Win32.AecHu);
  • xdata (Trojan-Ransom.Win32.AecHu);
  • Petya/Mischa/GoldenEye (Trojan-Ransom.Win32.Petr).

在ExPetr爆发后不久,“Petya/Mischa/GoldenEye”的解密密钥就被公布出来了,这可能是“Petya/Mischa/GoldenEye”在表明自己并不支持ExPetr的立场。

Crysis死灰复燃

尽管在2017年5月份,Crysis的解密密钥就被公布出来了,但随后不久它就死灰复燃了。2017年8月份,研究人员开始陆续发现更多的Crysis的新样本新版本的Crysis与之前的样本几乎完全相同,只有很少的差异:新的解密密钥、新电子邮件地址(受害者用此邮件与攻击者进行联系)、新的加密文件的组件,除了这些之外,其他的都保持不变(甚至PE头中的时间戳都是一样的)。对Crysis新旧样品进行深入的分析,最有可能的情况是,新的样品使用了一个hex编辑器对旧样本的二进制文件进行了修改,之所以出现这种情况,可能是因为新Crysis样本的制作者并不具有旧Crysis样本的源代码,因此只能通过简单的逆向工程对其进行修改,使其死而复生,重新用于新一波的攻击活动。

通过RDP进行感染的趋势继续增长

2016年,我们就注意到了勒索攻击中一个新兴的趋势:犯罪分子并没有试图诱骗受害者安装恶意的可执行文件或使用漏洞工具包进行勒索软件的分发,而是求助于另一个感染媒介,即暴力破解目标机器的RDP登录账号和密码,进而达到从互联网上访问目标系统的目的。


*注释:事实上,除了暴力破解之外,暗网中和地下论坛中有很多出售RDP凭据的服务,这一现象在MottoIN之前发布的一些文章中曾多次提到过。


2017年,利用RDP进行感染几乎成了几个勒索软件家族的常用传播方式,包括Crysis、Purgen/GlobeImposter 和 Cryakl。这意味着,对于信息安全专家而言,在考虑网络安全问题时,应当把RDP这个风险考虑在内,严格审计或有效阻止来自企业外部网络的RDP访问。

勒索威胁的数据统计

其实我们都知道,绝对的数字并不能代表一切,它只能从一个侧面反映出一些检测方法或威胁景观演变的趋势,话虽如此,一些明显的趋势还是值得注意的,有利于我们更好的把握整体的安全形势:

  • 2017年,加密勒索软件的创新水平似乎有所下降:只有38个新增的加密勒索软件被关注到,这一数字在2016年是62个。这可能是由于加密勒索软件的模型是相当有限的,恶意软件的开发者越来越难创造出新东西。
  • 2017年出现了更多新的和现有的勒索软件变种: 2017年检测到现有勒索软件和新的变种数量约为96000,2016年这一数字是54000。更多的变种出现,可能反映了针对之前版本的勒索软件的检测方案是有效的,因此攻击者试图混淆他们的勒索软件以逃避检测。
  • 检测到的卡巴斯基实验室客户遭遇勒索攻击的数量相当稳定。事实上,2016存在过一个攻击波峰,而2017年每个月的攻击数量大体一致。总的来说,2017年,约有950000个独特的用户遭到攻击,而2016年这一数字在150万左右。不过,这些数据中包括了加密量和下载量,但看文件被加密的数量的话,2017年的数据与2016年的接近。考虑到许多攻击者开始通过其他方式分发他们的勒索软件(如暴力破解或手动启动等),这个结果是合理的。需要强调的是,这些数字仅代表了卡巴斯基检测到的信息,并不包括许多世界各地的其他计算机安全解决方案的统计结果。通过卡巴斯基的统计,约有727000左右的独立IP地址遭遇了WannaCry的袭击;
  • 尽管有WannaCry、ExPetr 和 BadRabbit这些大规模的勒索攻击,但2017年针对企业的勒索攻击增幅却不大,2017年,超过4%的攻击是针对SMBs。

根据卡巴斯基实验室的年度IT安全调查报告显示:

  • 2017年遭遇勒索攻击的企业中,65%企业称他们失去了的大量甚至所有的数据;而29%的企业表示他们能够解密数据,大量的文件遭遇了毁灭性的破坏,这些数字与2016年的基本一致。
  • 34%的受勒索攻击影响的受害者花费一周的时间能够完全恢复访问,2016年这一数字为29%;
  • 36%的受害者选择支付赎金,但其中17%人最终并没有恢复他们的数据(2016年这两个的数字分别为32%和19%)。

结论:谁有可能成为勒索软件的继承者?

2017年,可以很明显的看到先进的威胁行为者利用勒索软件发起网络攻击,真正的目的是破坏数据,而非经济利益。受害者中,大多数仍然是普通的用户、SMBs和中小企业;攻击者主要利用了一些现有的勒索软件家族的代码或在这些恶意软件的基础上稍作修改。

勒索软件的商业模式开始出现裂缝了?是否有一个更加有利可图的攻击目的,替代了借勒索软件实现谋利的目标?一种可能性是加密数字货币的挖掘。

2018年,卡巴斯基实验室对加密数字货币的威胁预测表明,在有针对性的攻击活动中,安装矿工的趋势有所增加。勒索软件的收益可能非常大但通常是一次性的,而矿工的收益虽小但会可以长久盈利。因此,这可能是勒索软件利用方法发生动荡的原因之一。有一点可以肯定的是,勒索软件不会消失,即使不是一个直接的威胁,也会成为更深层次的攻击活动的伪装。

任重道远,对勒索软件的斗争仍在继续。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/107701.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code