勒索攻击愈演愈烈,安全意识亟待加强 作者:北京邮电大学/林建宝 中科院信息工程研究所/崔翔 中科院信息工程研究所/张方娇

“你的文件已被加密,请按照以下步骤进行支付、获取解密秘钥”,当遇到类似提示时,很不幸,你的设备已被勒索软件所感染。近几年各种勒索攻击事件频发,造成的经济损失数以亿计。勒索软件愈加猖獗,2016年注定是网络勒索大幅度扩展的一年,勒索攻击会变得更加多样化和专业化。

认识勒索软件

勒索软件是一种以勒索为目的的一种恶意软件,具体来说是黑客用技术手段劫持用户设备或资产,并以此为条件向用户勒索钱财的一种恶意软件。勒索攻击分三阶段:1.传播感染阶段,主要通过邮件、水坑网站等将恶意程序投递到目标机;2.本地攻击阶段,将用户文件、磁盘、数据库等进行加密,或将用户设备锁定,使得用户无法正常使用3.勒索支付阶段,受害者根据勒索信息提示按黑客要求支付赎金来获取秘钥或口令。勒索攻击包含三个要素:1.以获取经济利益为目的;2.依靠技术手段而非钓鱼手段,切实控制用户系统或资产;3.明确表明勒索意图,并提供详细的支付向导,原则上用户按要求支付赎金后,可恢复设备或资源。

第一款真正意义上的勒索软件GPcoder出现在2005年:其将用户电脑上的特定类型文件加密,并提示用户需联系指定邮箱,购买秘钥对文件进行解密。

2005年到2012年,勒索软件较稀少,主要以误导应用和FakeAV等社工钓鱼型恶意软件为主。误导应用向受害者报告虚假的电脑问题,诱骗用户购买相关软件许可来对问题进行修复。FakeAV则基于误导应用的欺诈手段,欺骗用户电脑受到恶意软件的入侵,让用户购买完整版的假冒杀毒软件以彻底清除病毒。

2013年至今,勒索软件肆虐横行,勒索攻击事件愈演愈烈。从个人PC到企业服务器,从Windows平台到安卓终端,就连“一向安全”的MAC OS平台也难逃其害。勒索软件变种数量持续上升,攻击的各阶段不断呈现新态势,已成为主要网络安全威胁之一。赛门铁克2016年第一季度网络安全威胁报告显示:2015年勒索软件数量成不断上升趋势,在第三季度呈现爆发态势。

卡巴斯基实验室2016年第一季度恶意软件报告称,检测到2,900种最新的勒索软件变种,较上一季度增加了14%,其数据库已经包含约15000种勒索软件变种,而且这一数量还在不断增加。第一季度遭遇勒索软件攻击的用户数量持续增长,总共多达372,602人,同2015年第四季度相比,增加了30%。 

勒索的软件的特性

勒索软件的传播方式以钓鱼邮件为主,攻击目标从单一的Windows平台扩展到各大系统平台,由此衍生出更具标示性的特点。

1. 传播方式多样化

1.利用钓鱼邮件传播。安全公司PHISHME 2016年第一季度报告显示,钓鱼邮件中的勒索软件比例已经从去年12月份的56%,增加到今年3月份的93%,钓鱼邮件已成为最主要传播手段。

 

越来越多的勒索钓鱼邮件使用社会工程学手段来增加可信度。2016年,勒索软件Locky在钓鱼邮件中加入目标用户的身份标识,并通过隐藏在word文档里的恶意宏代码下载攻击程序。臭名昭著的CTB-Locker寄发标题为“免费升级win10”的钓鱼邮件,使用微软常用的蓝色主题,并将邮件来源伪装成“update@mcirosoft.com”,信末还加入“本邮件已经过MailScanner病毒扫瞄,确认是安全邮件”的文字,十分具有迷惑性。

2.利用水坑网站传播。2016年3月,加拿大一家医院网站被攻击,其网页被注入勒索软件恶意代码,浏览该网站的人群都可能被该勒索软件所感染。2015年12月,英国报纸The Independent网站上的一个博客站点被入侵,站点被重定向到包含勒索软件的有毒页面,导致众多读者处于被勒索软件感染的危险中。利用水坑网站传播勒索软件,影响范围十分广泛,如果浏览量巨大的网站被嵌入勒索软件恶意代码,后果不堪设想。

3.利用漏洞进行攻击。2016年4月,勒索软件SamSam利用服务器漏洞成功攻击国外多家医院,其攻击整个医院系统设备,加密服务器文件,并根据被攻击的医院规模索要不同数量的比特币。近期,struct2、WordPress、ImageMagick等高危漏洞频出,网络上存在大量有严重漏洞的服务器,面临被攻击的危险。

2. 攻击目标多样化

1.安卓平台被攻击。2014年4月,出现第一款知名的安卓平台勒索软件Koler,利用伪装成合法APP的情色水坑网站进行传播,设备感染后被锁定,需向黑客账户支付300美金解锁。此后安卓勒索渐成勒索重灾区。360安卓勒索软件研究报告显示,国外安卓勒索类恶意软件在2015年第三季度爆发式增长,国内2016年第一季度攻击趋势明显。卡巴斯基第一季度恶意软件报告显示,其2016年第一季度检测到的手机勒索软件数量是上一季度的1.4倍。

 

2.MAC OS平台沦陷。2016年3月,出现针对MAC OS系统平台的勒索软件KeRanger,利用水坑网站进行传播。黑客攻破了BitTorrent网站服务器,将勒索软件注入到Transmission软件包中,用户下载安装后即被感染。其潜伏三天后,加密用户文件,并索要1个比特币。

3.Linux系统平台频遭攻击。2015年11月,勒索软件Linux.Encoder.1只针对运行Linux系统的Web服务器进行攻击,加密web服务相关重要文件,索要比特币。

4.智能设备成为潜在攻击目标。“互联网+”时代,物联网(IoT)设备为勒索软件攻击提供了潜在的可行性,这些设备通常可以连接互联网,而且往往其安全问题不被重视,存在很多可被黑客利用的安全漏洞。智能汽车、智能手表、智能电视等智能产品,甚至各种智能医疗系统设备都有可能成为勒索攻击的目标。

 

3. 本地攻击手段更加高级

1.利用匿名网络隐藏C&C服务器。2014年7月,勒索软件Critroni(CTB-Locker变种)在本地运行隐藏的tor服务,利用Tor匿名网络与C&C隐秘通信。2015年1月出现的CryptoWall 3.0,使用I2P匿名网络与C&C进行通信,两者都通过恶意邮件传播,加密用户文件,并索要比特币。

 

2.加密数据库新型勒索攻击。2015年,出现一种RansomWeb新型加密勒索,黑客入侵网站服务器,修改web读写数据库程序,在数据库存入数据时进行透明加密,读取数据时进行透明解密,并且只对关键的数据库表进行加解密,对网站的性能影响降到最低,一段时间后,数据库存储的都是被黑客加密过的数据。经过数月,黑客修改程序停止解密操作,向受害者发送勒索通知,如果管理员没有及时发现异常,则很难恢复数据。

3.加密磁盘型勒索攻击。2016年3月出现的勒索软件Petya,不仅能加密存储在计算机上的数据,还能加密硬盘驱动器的主引导记录(MBR),导致受感染的计算机无法启动到操作系统。Petya主要通过恶意邮件传播,其加密磁盘驱动器后,向受害者索要9个比特币。

4.完全由Java-Script写成的新型加密勒索攻击。目前发现的勒索软件如果用到JS,一般是作为勒索程序下载器使用。就在6月份,安全研究者发现一种被称为RAA的勒索软件,其通过恶意邮件传播,并完全依靠合法的JS库来实现加密文件功能,相比可执行文件型勒索软件来看,具有更强的迷惑性,用户设备感染后需支付250美元。

不难预测如果勒索软件继续横行,许多APT的高级攻击手段,如将勒索代码写入固件,即使重装系统也无法清除,很可能被用在未来的勒索软件中。

4. 勒索支付更加隐秘

早期的勒索软件以邮箱、账户转账等方式获取赎金。到2013年9月,第一款利用比特币支付赎金的勒索软件Cryptolocker出现,比特币迅速发展成为勒索软件的第一支付手段。由于比特币具有匿名、不可溯源等特点,使勒索支付更具隐秘性。

勒索软件出现的原因

首先,勒索软件利润丰厚,攻击者仅发送一批带有社工手段的恶意邮件,就有数以万计的设备被感染,相比其他攻击手段,勒索软件成本更低,回报更快。

其次,比特币支付和匿名网络助长勒索软件的嚣张气焰,攻击者使用比特币收取赎金,使用匿名网络通信,目前很难被溯源。近几年国内用户对比特币日益了解,而且越来越“人性化”的勒索软件,针对国内用户特别提供了中文支付说明,很大程度提高了勒索成功率。

再次,勒索软件的各阶段不断发展,传播感染方式、加密锁定手段不断优化,程序代码更新频繁,对抗杀软的能力不断提高。Cryptowall在18个月内更新四次,受害者一旦被这种勒索软件感染,很难自行恢复设备或者资源。另外,勒索软件即服务的商业化发展,导致勒索软件易用性不断提高,不法分子不需要很高技术即可进行勒索攻击。

 

最后,也是最根本的原因是用户安全意识低,一方面,对待恶意邮件和系统漏洞没有足够的危机意识,轻易点击陌生人发送的邮件或者链接,用户设备很多漏洞不及时修补,文件备份频率低,甚至从不备份,一旦被感染,只能通过解密手段恢复文件。另一方面,对待勒索软件没有清醒的认识,不少用户没有意识到可以采用技术手段解决问题。近期英国的Citrix和Censuswide机构调查研究发现,英国三分之一的公司正在囤积比特币以应对勒索攻击,这将极大地助长勒索软件的嚣张气焰。事实上,对于某些勒索软件无需支付赎金,利用网络中的工具就可以解密,而受害者毫无思考就支付赎金,殊不知其支付的过程可能又中了黑客的另一个圈套(账户密码被盗等),有时即使支付了赎金也未必获得密钥或口令。

勒索软件应对策略

不轻易打开陌生人发送的邮件,就算是信任的人发送的邮件也要仔细检查确认。不轻易点击未知来源的链接,网络上存在大量虚假信息,其背后通常都设有陷阱,用户轻点链接看似是一种毫无成本的行为,但往往意味着用户隐私泄露,甚至感染恶意软件(当然包括勒索软件),后果大都是用户无法想象的。

重要文件要经常备份,目前为止,大部分勒索软件都可以通过重装系统(电脑)或者刷机(智能手机)予以清除,如果用户有数据备份,就可自行恢复文件,从而免遭勒索。但是备份数据的存储设备安全保护也十分重要,如果备份设备跟感染机有物理连接,也有被勒索软件加密的可能。

不要轻易支付赎金,应该及时向有关部分报案,并考虑利用网络安全公司已发布的解密工具尝试解密,或者联系安全厂商确认是否有解决方案。

若发现已被勒索软件感染,应立刻切断网络。很多勒索软件加密文件时,需要和C&C服务器进行通信,下载秘钥、上传受害者文件信息等,及时断网一定程度上可减少被加密文件数量从而减少损失,也可以避免网络磁盘或共享目录的磁盘文件被加密。

企业应当学习先进的数据保护模式,安排专业的IT维护人员,做好数据保护和容灾备份工作,及时修补服务器系统、软件漏洞。加强审计工作,做好各种攻击预测,时刻准备对抗勒索软件攻击。

有关部门应加强网络空间管理,及时清除恶意网站,打造干净的网络空间。加大力度推广网络安全教育,广泛开展网络安全教育知识活动,普及网络安全知识,提高全民网络安全意识和技能,从根本上对抗日益猖獗的勒索软件攻击。

 

2017-01-13 11:21
来源:中国信息安全杂志(2016.08)
热门推荐更多
热点新闻更多