by cloudfall
on 2月 24, 2019

勒索软件,特别是加密型勒索软件,已迅速成为世界各地的组织所面临最大的网络威胁之一……

Executive Summary

勒索软件这种犯罪商业模式已被证实为网络罪犯创造了十分可观的收益,除此之外还对受影响的组织造成了巨大的运营伤害。可是它多半与受害者无关,其跨越了全球并影响了所有主要的垂直行业。小型组织、大型企业、乃至个人家庭用户都是潜在的目标。几十年来,勒索软件千态万状的存在着。然而,在过去的几年中,犯罪分子已经完善了这些攻击的关键组成部分,这也导致了新的恶意软件家族的激增, 使得攻击技术更加有效, 并吸引了新的恶意参与者来开展这些有利可图的计划。

  • 勒索软件对于财务的影响是巨大的,估计的金额虽有所不同,但是总成本在数十亿美元。
  • 勒索软件是少数几个网络犯罪商业模式中的一种,他们会用同一攻击来伤害世界500强企业,当地沿街的餐馆亦或是你的奶奶。
  • 比特币是这计划得以成功的助推器。勒索赎金早期所依赖的支付方式已经被关闭或是被迫规范起来,但是比特币不受中央机构管辖也没有法律可以对此采取行动。
  • 最初,勒索攻击的对象主要是对于windows系统。但是对手已开始将目标扩展到其他平台,例如Mac OSX操作系统。
  • 除非世界各地的组织采取预防的思维方式和停止支付赎金来取回他们的数据,否则这个犯罪计划将继续威胁所有互联网连接的设备。

自从最初该报告创建以来,勒索运营商的业务蒸蒸日上。在2016年,人们还认为未被检测的勒索的变种大约小于100个,而如今勒索变种少则150个,多则几百个。在犯罪手法方面,主要的犯罪手法还是保持不变的,比如利用钓鱼和工具包等常见的攻击载体来索要赎金。这导致比特币的价值也有了非常大的提升。甚至于在2017末的某个时候点,还短暂地超过每一枚比特币可兑换1.9万美元。当你了解了低成本就能有效攻击和赎金价值的迅速高涨,那么对于勒索攻击的事例呈指数形式高度增长,也就不那么令人惊奇了。当然勒索攻击的盛行和影响也没有被大家所忽视。例如在2017年所发生的多起攻击事件,虽然在表面上看起来是典型的索要赎金型攻击,但其动机与一般索要赎金型攻击相关的利润驱动目标是完全不同。尽管这些袭击中支付的实际赎金规模比较小,但是它们所造成的破坏和不稳定却远比单纯的金钱损失影响更大,正如人们常说的“这是一个模仿的世界”,而现在,我们的对手已经察觉到如何从利润动机方面和用一些欺骗性的主题来进行有效的勒索式攻击。这是一个可预见的现实场景,我们应该准备更多的类似于这种的攻击方案。虽然基于我们过去几年的观察,未来看上去显得十分可怕,但是事实上这些攻击都是可以被预防的。这很难概念化的讲出来,尤其是考虑到我们每天都要面对着勒索的猛攻。然而对手们既没有使用我们以前没有见过的技术, 也没有从根本上不同的工具来攻击它们。如果有的话,我们也能理解对手所部署的各种战术、技术和程序,可是与往常一样, 挑战只在于将情报和理解转化为可付诸行动的结果。

Preparation

  • 备份与恢复:以便于在遭受勒索攻击后,成功恢复数据。
  • 网络共享访问控制:为了阻止勒索软件的传播,审查网络共享的使用,以确保写入访问受限于最小数量的用户和系统。

Prevention

  • 电子邮件和可执行控件:勒索软件通常以携带Windows®可执行文件的电子邮件消息开始。网络安全设备,例如下一代防火墙,可以在这些文件穿越网络时识别它们,还能应该阻止或隔离它们。
  • 未知的恶意软件预防:基于签名的检测系统用来检测新的恶意软件已被证明是不可靠的。应使用未知恶意软件预防系统来增强网络安全设备。
  • 端点控制:虽然基于网络的安全设备有时对攻击事件是盲目的,但是基于端点的控件是可以在恶意文件开始执行之前停止执行。

Response

  • 了解威胁:在某些情况下,安全厂商已经找到了解密文件而不去支付赎金的方法。你可以在你的系统找到勒索赎金所遗留下来的一些信息,或是使用智能系统来识别一些勒索信息。
  • 为最坏的情况做准备:以支付赎金的方式取回文件应该是最后的手段。如果你决定了支付赎金,你就应该准备好及时付款。

Introduction

索要赎金的观念并不是一个新概念。纵观人类历史,索要赎金一直是一种常见的手段,从古罗马到海盗时代,再到现代的恐怖主义绑架。如今,网络犯罪分子能够很容易地展开高效率的赎金攻击,从而产生利润,并利用最初用来保护我们系统加密技术将数字资源作为人质。短短几年,勒索就从一个小范围的攻击到一个普遍的威胁,影响着网络的大大小小,各个方面。

为了更好地理解赎金制度的现状,我们必须考察赎金制度从其卑微的起源到今天的发展过程。它的起源向我们揭示了当今最棘手的密码问题之一,它是如何产生的?又是什么驱使网络攻击者走向它?以及我们能够做些什么来更好地保护我们的数据?

Defining Ransomware

当大多数人今天讨论勒索时, 他们会想到加密勒索, 它在一个被破坏的系统上识别有价值的数据并对其进行加密, 防止受害者访问它, 除非此人向攻击者付款。虽然加密勒索是最常见也是最成功的一种勒索, 但它并不是唯一的一个。重要的是要记住, 勒索不是一个单一的恶意软件家族, 而是一个犯罪的商业模式, 在其中恶意软体被用来持有价值的东西索要赎金。

要执行成功的勒索攻击,参与者必须能够做到以下几点: 

1. 控制系统或设备。这可能是单台计算机、移动电话或任何其他能够运行软件的系统。大多数勒索攻击从攻击者开始使用社会工程学诱使用户打开附件或在其 web 浏览器中查看恶意链接。这允许攻击者将恶意软件安装到系统上并进行控制。

2. 阻止所有者访问它。这可能是通过加密、锁定屏幕甚至是简单的恐吓策略来实现的, 如本报告后面所述。

3.提醒受害者该设备已被勒索赎金,表明支付的方法和金额。虽然这一步看起来很明显,但必须记住,攻击者和受害者经常说不同的语言,还生活在世界的不同地区,并且拥有非常不同的技术能力。

4. 接受来自设备所有者的付款。如果攻击者无法收到付款, 最重要的是在不成为执法目标的情况下这样做, 否则前三步骤就会被浪费掉。

5. 在收到付款后, 返回对设备所有者的完全访问权限。虽然攻击者在接受付款和不返回设备时可能会获得短暂的成功, 但这将破坏该计划的有效性。当他们不相信他们的贵重物品会归还时, 就没有人会去付赎金。

< 如果攻击者在这些步骤任何中的一步失败,则该方案就不会成功。虽然赎金的概念已经存在了几十年,但是所需的技术和手法,例如可靠的加密和解密,所需要完成得所有这些大规模的措施直到几年前才真正的得以实施。

        虽然部署在当前新一代加密勒索攻击中的恶意软件不算特别复杂, 但它已被证实非常有效,它不仅为犯罪成员创收, 而且还防止受到影响的组织会继续正常运作。每个星期都有新的头条新闻显示, 无论是大型还是小型组织都会受到这些威胁的影响, 诱使新的攻击者展开活动, 开始发起自己的勒索活动。 >

Ransomware History

想象一下,我们回到1989。芝加哥的“看远点”是广告牌100中最受欢迎的,你刚刚买了一个全新的486DX系统,它运行在33兆赫。目前有一个全球性的艾滋病毒/艾滋病流行病,其中只有美国到目前为止已记录了100000例病例。你是一名艾滋病研究人员,刚刚收到一家名为“PC Cyborg公司”的邮件“AIDS信息介绍软盘”,里面有一张5.25英寸的软盘。艾滋病是基于一系列的问题。突然,在你的计算机系统在第九十启动之后,你会看到这个屏幕:

“艾滋病”勒索消息


众所周知,“艾滋病”病毒被认为是计算史上首次记录的勒索软件恶意软件。约瑟夫·波普博士是积极参与艾滋病研究的进化生物学家,他策划了一项计划,利用虚构的“PC网络公司”作为封面,向90多个国家分发包含他的艾滋病木马程序的20000张软盘。直到今天,波普的动机还不清楚——他的律师在审理波普时争辩说,他计划把赎金收入捐赠给进一步的艾滋病研究,也许是为了表现出他是个罗宾汉式的人物。然而《卫报》的新闻出版物提供了证据,表明波普可能是因为拒绝接受世界卫生组织的职位而受到激励的。无论在哪种情况下,波普所完成的都将为未来的勒索软件作者提供基础。 

       波普和他的艾滋病特洛伊木马在一个互联网时代甚至是电子邮件的时代更让受害者吃惊。事实上,一旦波普被捕,就没有法律来处理这类案件——检察官甚至不得不依靠1968盗窃法案试图对他采取行动。波普的战术在当时是相当复杂的,但是有几个缺陷还是会被揭露,网络罪犯将会学习并解决优化成今天的密码勒索赎金。

       波普最初的社会工程攻击是很聪明的,他利用了一个众所周知且诱人的文化话题作为诱惑。正如人们所期望的那样,木马本身已经在一个调查的幌子中使用了诱饵应用程序。然而在后台,AIDS用恶意指令替换了启动脚本AUTOEXEC.BAT,随后在受害者主机的第90次启动时,呈现了赎金屏幕,并使用自定义加密算法对所有文件目录和文件名进行加密。弹出的赎金屏幕要求通过汇票或出纳支票支付189美元,并将其发送到巴拿马的P.O.盒子,以换取解密密钥。艾滋病木马的未来分析将揭示几个关键缺陷: 

  • 文件系统本身未加密。只有文件名和目录名被加密。因此,所有的文件仍然存在于受害主机在非加密的空间,但无法访问。 
  • 对称加密用于加密文件名和目录名。这意味着用于加密的密钥与解密所用的密钥相同,并嵌入到恶意软件本身中。 
  • 支付系统对用户是不友好的。当用户向巴拿马一个未知的P.O.信箱发送出纳支票或汇票,以此希望将解密密钥送回,首先是耗时的,其次还缺乏保证其能够工作的保障。

< 由于艾滋病特洛伊木马的先天缺陷, 在最初的恐慌之后不久, 安全分析人员能够创建两个文件恢复工具: AIDSOUT 和 CLEARAIDS。然而, 损害已经形成;一个意大利研究组织报告说, 由于感染了艾滋病木马,导致他们损失了10年的研究。此外公布这些缺陷的分析,也成为促进工业部的一份研究报告, 其详细说明了如何使用非对称加密技术, 特别是使用公钥基础结构, 可以显著提高艾滋病木马的功效和未来的加密勒索。 >

Branches of Ransomware

       2005年,赎金软件恶意软件分为两种形式:误导性应用——也称为所谓的“恐慌软件”——以及密码赎金软件的演进。在这个时间段内,由于进入门槛的降低和功能的简化,警戒软件将成为主要的赎金工具。“ScReSube”这听起来像:使用恶意策略的恶意软件或类似行为的形式。比如,将计算机系统不存在问题进行侵略式通知,据称也可以通过简单支付30-90美元来解决该问题。

恐吓软件的示例

      这些应用是相当简单的, 有时甚至都没有应用。恐吓软件的制作者利用任何可能的战术, 他们可以勒索钱, 无论是多么简单的工具, 像是合法的系统工具, 横幅广告, 图像, 甚至连简单的弹出窗口。这时的互联网仍然是一个新的概念。大众由于缺乏教育, 意识和不良制作的网页设计, 分发各种形式的恐吓软件变得十分广泛。然而, 这种勒索的风格最终会变得更令人讨厌, 它不是真正的威胁, 因为实际上没有任何的价值被劫持为人质, 也不允许任何数字资源被拒绝。在这个时代, 支付系统仍然相当不成熟, 这使得受害者尝试付款都有一定的挑战性。

       当恐慌软件迅速蔓延,并快速成为互联网上日益增多的用户一大麻烦时,有关密码赎金的二次开发已经正在进行。在2005年中旬,人们发现了一个名为“GPCode”或“PGPCoder”的密码赎金软件家族,其主要目标是针对俄罗斯组织,并被认为源自一位俄罗斯作者。在最初的迭代中,恶意软件声称使用PGP加密来拒绝对文件的访问,但是对恶意软件的分析很快发现实际的加密模型是作者定制的,并且非常脆弱。 

        GP 代码的初始变体使用了许多与现代加密恶意软件一起使用的策略, 针对具有特定扩展名的文件, 试图在受害者主机上形成持久性, 并生成一个有用的文本文件, 其中包含关于如何通过支付200美元或100 (现已失效) 电子黄金或自由储备数字货币的赎金来恢复文件的使用。然而不幸的是, 对于 GP Code 的作者, 由于自定义加密模型薄弱, 研究人员能够很容易地破解加密, 并创建和共享解密工具。然而, 作者将继续发展 GP Code ,在未来的五年里, 每次迭代演变, 修复缺陷, 使其任务变得更有效。

      新的GPCode变体试图通过将加密文件写入新位置并删除原始文件来更有效地拒绝用户访问他们的文件。这种策略被证明是无效的,因为一个简单的“未删除”或文件恢复实用程序将允许受害者恢复他们的文件。GPCode的最后一次迭代被证明是现代密码赎金的原型,使用RSA-1024和AES-256作为加密算法,并在物理机上覆盖任何被加密的文件。 使用 RSA 1024 引入了一个不对称加密模型, 以前的变体使用对称加密。在这个模型中, 它不是为恶意软件内的文件嵌入加密密钥, 而是为每个感染生成一个新的对称密钥。然后, 它使用嵌入式 RSA 公钥对对称密钥进行加密, 这样只有攻击者的私钥才能解密它。加密模型的变体将由随后几年后的大多数勒索为其进行部署。

       虽然GPCONG背后的犯罪分子成功地解决了勒索攻击的主要挑战之一,但很少有人遵循这一线索。相反,对手会继续部署和发展他们的软件攻击,移动到一个非正式的区域称为假反病毒或FAKEAV。从升级的角度来看,这是以前SCARE软件的一个自然步骤。对从前的SCARE软件变体和其他误导性应用程序的间谍软件进行大量关注,对手试图通过主动地在受害者主机上显示关于潜在恶意软件问题的警报和通知来利用特定的恐惧。

       攻击者继续引起普通互联网用户的恐惧、不确定性和疑虑,他们只是简单地修改了之前的恐吓软件信息,以基于对恶意软件的恐惧来敲诈用户。在2008到2009年间,FAKEAV是迄今为止在外所看到的最丰富的恶意软件类型。随着FAKEAV的发展,网络罪犯开始使用任何有必要的手段来加载他们的恶意软件到系统里,因为任何受感染的计算机都可以为他们产生收入。他们的策略包括将有效负载加载到攻击工具包中,使用SEO操作将用户从他们的合法搜索重新定向到为恶意软件分发而设置的恶意站点,钓鱼电子邮件、横幅、弹出广告、浏览器工具栏等等一些。然而,除了具有攻击性的通知和作为主要麻烦之外,FakeAV和其他恐吓软件变种一般不会伤害受害者或其组织。可是糟糕的是这些应用程序非常麻烦,非常的烦人,它们位于后台,并且会持续不断地提醒用户错误报告。 

        在恐吓软件和FakeAV 时代, 一些组织采取了多种法律行动, 他们想停止这项活动, 包括Microsoft®和美国。联邦贸易委员会。这些行动可能会导致使用恐吓软件的减速和结束。此外世界各地的执法机构开始向银行施加压力, 要求他们关闭一直参与处理与恐吓软件有关的赎金的商户网关。这也将导致许多新兴的互联网货币交易组织因欺诈和大量信用卡拒付的指控而倒闭。       

        然而,随着2011至2012年“Locker”赎金的推出,最知名的恐慌式勒索赎金将迎来一场最后的欢呼。Locker和之前的恐吓软件非常相似,依靠恐惧、不确定性和怀疑来向受害者勒索金钱。然而,他们不同之处在于,他们会十分反对受害者进入他们的家园系统。且没有文件受到影响,但是受感染的用户会收到一个表面上合法的图像,声称它来自执法机构或其他组织,并观察到受害人进行非法活动。 

 Locker勒索的一个例子

图 3: Locker勒索的一个例子

      只要一个简单的付款将恢复对受害者的系统的访问, 所有文件将完好无损, LOCKER也会被删除。locker风格的勒索变种是一个相当有效的点,以至于有个人直接当地自首, 因为他确实在他的电脑上执行了非法活动。 这种类型的勒索在吓唬人们打开他们的钱包方面非常有效, 幸运的是补救并不困难。很简单的解决方案, 例如执行系统还原、引导到安全模式和删除持久性机制,或者以后使用由安全供应商创建的自由工具, 允许直接删除恶意软件。Locker勒索是这个分支的最后一波, 敌人在此之后开始改变他们的战术, 似乎在问自己: “我们能做些什么来更有效的敲诈?这个问题的答案在2013年被揭晓了, 随后我们要开始介绍CryptoLocker了。

CryptoLocker

     在2013下旬, 互联网上的报告开始出现在某种基于加密的恶意软件感染基于 Windows 的系统. 这种恶意软件将被称为 “CryptoLocker”, 并被证明是一个领先的百万美元加密勒索行业。

        CryptoLocker的独特之处在于,作者和操作者似乎热切地研究了以前赎金工具的变种和样式,并试图弥补以前暴露的缺陷。它也被证明是战术上的转变。在CryptoLocker发布之前,网络犯罪分子普遍使用的赎金软件几乎都是恐吓软件,这里面并没有对数字资产(GPCode之外)造成实际损害。这也是攻击者行动的根本转变,它表明他们将继续探索和升级,以达到实现利润的目标。CryptoLocker没有使用特别复杂的策略;它实际上与先前的赎金软件变体共享类似的分发模型,主要依赖于带有可移植可执行附件的钓鱼攻击。有时还会额外的加一层,试图混淆通过双扩展来伪装真实的.exe扩展。CryptoLocker的运营商通常依靠社会工程和缺乏用户意识来吸引潜在的受害者来启动恶意软件本身,尽管有也有一些传播通过GAMOVER宙斯僵尸网络。 

      一旦在系统上运行, CryptoLocker就能从以前的经验教训中展示其真实的能力和功效。首先, 它将自己安装到用户的配置文件文件夹中。接下来, 它将添加一个注册表项以在启动时运行以保持持久性。然后, 它将尝试与命令和控制服务器通信, 以生成 RSA-2048 密钥对并将公钥发送回受害者主机。由于每个密钥对都是唯一的, 并且无法检索用于解密的私钥, 因为它驻留在命令和控制服务器上, 所以使用了非常强大的非对称加密模型被证明了非常有效。

        RSA-1024, 使用的 GP 代码, 已经证明是不能通过蛮力来解决这一点。此外, 命令和控制服务器使用基于伪随机数生成器的域生成算法, 这使得跟踪或阻止命令和控制通信变得更具挑战性, 直到算法逆向工程在生成唯一密钥对后, 将在受影响的主机上开始加密, 以业务相关的文档文件为目标, 而不是整个文件系统。加密成功后, 将出现一个通知, 表明用于解密的私钥将被销毁, 如果在一定的时间内没有支付赎金,是会导致数据永远丢失。 

CryptoLocker倒计时

       通过MayPayk或更知名的替代品,使用比特币支付已经成为可能。在这段时期,比特币日益变得普及,加上它作为密码货币的固有功能,无疑是对CryptoLocker操作员产生吸引力。这是一种相对简单、可靠和半匿名的支付方式,不与任何可能会被关闭或没收资金的组织或政府挂钩。在CryptoLocker处于野蛮生长的那一年,支持该方案的攻击者产生了大约42000比特币(约2700万美元)的估计收入。

      在这一点上,CryptoLocker背后的网络犯罪分子不仅通过威胁他们的数据会永久丢失,以此来掠夺受影响用户的恐惧,还通过加密来主动拒绝对受害者数据的访问。直截了当地说,袭击者不再使用恐吓策略,而是对受害者采取行动。然而,由于战术的转变我们也引入了新的方案,所有这些都没有失去。

        由于非对称密钥对仅在成功的命令-控制通信之后才动态生成,所以如果通信中断或从未建立,则不会发生加密。此外,早期的变体没有删除影子卷副本,这允许用户使用Windows中的系统恢复功能来恢复到未受感染的状态。最后,即使创建了加密密钥对,加密在受害者主机上开始,有一个小的时间窗口,当加密在迭代目标文件时可能中断。 

      2014年夏天, 美国司法部执行了一场关于宙斯僵尸网络的游戏, 被称为 “托瓦尔行动”, 这也影响了CryptoLocker的基础设施。幸运的是, 这一计划的受害者之一, 其中一个还参与了抓捕的安全公司, 福克斯, 能够获得访问加CryptoLocker的私钥数据库, 有效地取消不对称加密, 它使用的所有私钥免费提供加密. 隔离和访问CryptoLocker的私钥数据库将有效结束其操作, 但它并没有阻止勒索的总体威胁。如果有什么事情, 其他的犯罪人能够观察到这个商业模式的有效性, 并利用CryptoLocker的经验作为众多克隆的发射点, 带领我们进入密码勒索时代。

Categories:

cyber security

Tags:

No Tag

Comments are closed

沪公网安备31010402005736号