2020年03月13日
說(shuō)到信息安全,可能很多人會(huì)想到勒索軟件。勒索軟件是一種流行的木馬,通過(guò)騷擾、恐嚇甚至采用綁架用戶文件等方式向用戶勒索錢財(cái)。如今,隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,安全問(wèn)題也成為人們關(guān)注的焦點(diǎn)。接下來(lái),本文將簡(jiǎn)單的介紹下勒索軟件五大家族的攻擊目標(biāo)與方法。
勒索軟件是劫持?jǐn)?shù)據(jù)以索求贖金的一類惡意軟件,面世已頗有些年頭。第一起勒索軟件攻擊發(fā)生在1991年,當(dāng)時(shí)一位生物學(xué)家通過(guò)平郵將載有首個(gè)勒索軟件PC Cyborg的軟盤寄給其他研究艾滋病的科學(xué)家。新千年第一個(gè)十年中期,采用加密技術(shù)的首款勒索軟件Archiveus出現(xiàn),其密碼至今仍可在維基百科頁(yè)面上找到——盡管此勒索軟件早已被安全社區(qū)擊潰。10年代初,“警方”系勒索軟件包浮出水面;此類勒索軟件因假冒司法機(jī)構(gòu)發(fā)出的違法警告并索取“罰款”而得名,開(kāi)始利用新一代匿名支付服務(wù)避開(kāi)監(jiān)管漁利。
21世紀(jì)第二個(gè)十年里,一種新的勒索軟件趨勢(shì)浮現(xiàn):網(wǎng)絡(luò)罪犯首選加密貨幣作為贖金支付方式。加密貨幣本就專為不可追蹤的匿名支付而設(shè)計(jì),對(duì)勒索者的吸引力顯而易見(jiàn)。比特幣是最為著名的加密貨幣,絕大多數(shù)勒索軟件攻擊者都要求以比特幣支付贖金。不過(guò),比特幣的廣為流傳也使其價(jià)值波動(dòng)性增大,有些攻擊者已開(kāi)始轉(zhuǎn)向其他的加密貨幣。
10年代中期,勒索軟件攻擊飆升到了危機(jī)的程度。但到了2018年,勒索軟件熱潮似乎開(kāi)始消退,另一種非法攫取比特幣的方式逐漸冒頭:加密貨幣劫持。這種方法甚至無(wú)需受害者知曉比特幣錢包是什么,就能利用受害者電腦挖掘比特幣。利用垃圾郵件分發(fā)者和DDoS攻擊者沿用多年的腳本模式,這些加密貨幣劫持者能在用戶毫不知情的情況下偷偷獲取計(jì)算機(jī)系統(tǒng)的控制權(quán)。受害用戶電腦被黑后即變身比特幣挖礦機(jī),在后臺(tái)默默生產(chǎn)加密貨幣,吃掉空閑計(jì)算周期,悄悄耗費(fèi)受害者大量計(jì)算資源與電力。2018年里,勒索軟件攻擊逐漸下降,而加密貨幣劫持攻擊則激增450%。
過(guò)去兩年來(lái),由于加密幣市場(chǎng)的巨幅波動(dòng),原本醉心于挖礦的勒索軟件調(diào)轉(zhuǎn)槍口卷土重來(lái),其攻擊技術(shù)和危害性也有極大提升,以下是新時(shí)期安全業(yè)界最為頭疼的勒索軟件五大家族。
1. SamSam
SamSam勒索軟件攻擊始于2015年末,但其真正激增出現(xiàn)在后面幾年,科羅拉多運(yùn)輸部、亞特蘭大市和多家醫(yī)療保健機(jī)構(gòu)都淪為了SamSam的受害者。該勒索軟件攻擊完美展現(xiàn)了攻擊者組織技能的重要性,充分證明組織協(xié)同能力對(duì)網(wǎng)絡(luò)攻擊者而言堪比代碼編程技藝。不同于一些其他勒索軟件的做法,SamSam并非無(wú)差別地探查某些具體漏洞,而是以勒索軟件即服務(wù)的方式運(yùn)營(yíng):控制者小心探測(cè)預(yù)選目標(biāo)的弱點(diǎn),利用的漏洞涵蓋IIS、FTP、RDP等多種服務(wù)與協(xié)議。一旦進(jìn)入系統(tǒng)內(nèi)部,攻擊者便相當(dāng)敬業(yè)地提升權(quán)限,確保開(kāi)始加密文件時(shí)攻擊具有足夠的破壞力。
盡管安全研究人員最初認(rèn)為SamSam源自東歐,但絕大部分SamSam攻擊卻針對(duì)美國(guó)境內(nèi)的組織機(jī)構(gòu)。2018年末,美國(guó)司法部判定兩名伊朗人是攻擊的背后主使;起訴書宣稱這些攻擊造成了超過(guò)3,000萬(wàn)美元的損失。目前尚不清楚這一數(shù)字是否真實(shí)反映出已支付的贖金數(shù)額;亞特蘭大市官方曾在當(dāng)?shù)孛襟w上發(fā)布過(guò)附帶攻擊者聯(lián)系信息的勒索信截屏,正是該信息導(dǎo)致了此通信門戶的關(guān)閉,可能阻止了亞特蘭大支付此筆贖金(想付也付不了了)。
2. Ryuk
Ryuk是2018和2019年間盛行的另一大勒索軟件,其目標(biāo)受害者是精心挑選出來(lái)的難以承受宕機(jī)后果的組織機(jī)構(gòu),包括日?qǐng)?bào)社和北卡羅來(lái)納州正努力從颶風(fēng)佛羅倫薩的余波中恢復(fù)的一家水廠。《洛杉磯時(shí)報(bào)》詳細(xì)報(bào)道了自家系統(tǒng)遭感染后發(fā)生的一切。Ryuk一個(gè)特別狡詐的功能是可以禁用被感染電腦上的Windows系統(tǒng)還原(Windows System Restore)選項(xiàng),令受害者更難以在不支付贖金的情況下找回被加密的數(shù)據(jù)。鑒于攻擊者針對(duì)的是高價(jià)值受害者,贖金目標(biāo)也轉(zhuǎn)為高企;圣誕季的一波攻擊表明了他們?yōu)檫_(dá)成目標(biāo)毫不介意毀掉圣誕節(jié)。
安全分析師認(rèn)為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團(tuán)伙的Hermes惡意軟件。但這并不表明Ryuk攻擊本身是朝鮮發(fā)起的,邁克菲認(rèn)為其代碼基礎(chǔ)由俄語(yǔ)區(qū)供應(yīng)商提供,因?yàn)樵摾账鬈浖粫?huì)在系統(tǒng)語(yǔ)言設(shè)置為俄語(yǔ)、白俄羅斯語(yǔ)和烏克蘭語(yǔ)的計(jì)算機(jī)上執(zhí)行。至于該俄羅斯供應(yīng)源如何從朝鮮獲得的代碼,我們就不得而知了。
3. PureLocker
2019年11月,IBM和Intezer共同發(fā)表了一篇文章,講述新型勒索軟件變種PureLocker的運(yùn)行機(jī)制。該勒索軟件可在Windows或Linux機(jī)器上執(zhí)行,是新一波針對(duì)性惡意軟件的絕佳代表。PureLocker并不通過(guò)廣泛的網(wǎng)絡(luò)釣魚(yú)攻擊進(jìn)駐受害主機(jī),而是與幾個(gè)著名網(wǎng)絡(luò)犯罪團(tuán)伙所用的more_eggs后門軟件有關(guān)。換句話說(shuō),PureLocker安裝在已被攻擊者入侵并探查清楚的機(jī)器上,且會(huì)在運(yùn)行前先檢查自身所處環(huán)境,而不是盲目加密數(shù)據(jù)。
盡管并未披露PureLocker感染范圍,但I(xiàn)BM和Intezer揭示出企業(yè)生產(chǎn)服務(wù)器這類明顯高價(jià)值目標(biāo)是遭受攻擊最嚴(yán)重的。由于此類攻擊需要較高水準(zhǔn)的人工控制,Intezer安全研究員Michael Kajiloti認(rèn)為PureLocker是能承受高額前期投入的犯罪組織才能入手的勒索軟件即服務(wù)產(chǎn)品。
4. Zeppelin
Zeppelin是Vega/VegasLocker勒索軟件家族的進(jìn)階版,繼承并發(fā)展了這一肆虐俄羅斯和東歐會(huì)計(jì)企業(yè)的勒索軟件即服務(wù)產(chǎn)品。Zeppelin創(chuàng)新了幾個(gè)技術(shù)花招,其可配置功能尤為突出,但真正讓它在Vega家族鶴立雞群的,是其針對(duì)性攻擊的本質(zhì)。Vega的傳播某種程度上而言有點(diǎn)漫無(wú)目的,且主要活躍在俄語(yǔ)世界,Zeppelin則特別設(shè)計(jì)為不在俄羅斯、烏克蘭、白俄羅斯和哈薩克斯坦的電腦上運(yùn)行。Zeppelin的部署方式也很多,包括可執(zhí)行文件(EXE)、動(dòng)態(tài)鏈接庫(kù)(DLL)和PowerShell加載器,但有些攻擊甚至能通過(guò)被黑托管安全服務(wù)供應(yīng)商部署,這就令人不寒而栗了。
Zeppelin開(kāi)始嶄露頭角是在2019年11月,作為區(qū)別于Vega的明證,其目標(biāo)似乎是仔細(xì)挑選的。受害者大多數(shù)屬于北美和歐洲的醫(yī)療保健和技術(shù)行業(yè),有些勒索信就是特別針對(duì)受感染目標(biāo)機(jī)構(gòu)寫就的。安全專家認(rèn)為,Zeppelin在行為上偏離Vega是因?yàn)槠浯a庫(kù)可能轉(zhuǎn)手給了更具野心的俄羅斯黑客;盡管感染數(shù)量沒(méi)Vega那么高,但部分專家覺(jué)得目前觀測(cè)到的情況有可能是更大攻擊潮的概念驗(yàn)證。
5. REvil/Sodinokibi
Sodinokibi亦名為REvil,首次出現(xiàn)于2019年4月。與Zeppelin類似,Sodinokibi源自名為GandCrab的另一惡意軟件家族,同樣具有不在俄羅斯及其鄰國(guó)(如敘利亞)執(zhí)行的特點(diǎn),表明其源頭可能也是俄語(yǔ)區(qū)。其傳播方式多樣,可利用Oracle WebLogic服務(wù)器或Pulse Connect Secure VPN中的漏洞。
Sodinokibi的傳播再次凸顯出其背后命令與控制團(tuán)隊(duì)將之作為勒索軟件即服務(wù)產(chǎn)品的野心。該勒索軟件在2019年9月造成德克薩斯州22個(gè)以上的市鎮(zhèn)宕機(jī),但其真正臭名昭著是在新年夜搞崩英國(guó)貨幣兌換服務(wù)Travelex之時(shí),此次襲擊導(dǎo)致機(jī)場(chǎng)陷入紙筆運(yùn)營(yíng),令無(wú)數(shù)客戶茫然無(wú)措。攻擊者要求高達(dá)600萬(wàn)美元的贖金,不過(guò)受害公司既沒(méi)證實(shí)也沒(méi)否認(rèn)是否支付了贖金。
在Juniper Networks威脅實(shí)驗(yàn)室負(fù)責(zé)人Mounir Hahad眼中,2019最嚴(yán)重勒索軟件攻擊是Sodinokibi,因?yàn)樵摾账鬈浖目刂普咴诠糁幸肓祟~外的變化。最特別的一點(diǎn)就是,這伙黑客不僅告訴人們“不付贖金就拿不回?cái)?shù)據(jù)”,還會(huì)威脅稱“將在網(wǎng)上公開(kāi)或在地下論壇競(jìng)拍這些機(jī)密數(shù)據(jù)”。這種新的勒索方式將此商業(yè)模式推升到了新的高度,與傳統(tǒng)勒索模式大為不同——畢竟,這種方法無(wú)需費(fèi)勁滲漏即可鎖定受害者數(shù)據(jù),但又切切實(shí)實(shí)地威脅到了受害者。高針對(duì)性、強(qiáng)定制化的勒索軟件新時(shí)代似乎正走向危險(xiǎn)新深淵。