勒索软件,又称勒索病毒,是一种特殊的恶意软件。与其它病毒相比,勒索软件的特殊之处在于,它通过加密数据,限制受害者访问关键数据(如文档、邮件、数据库、源代码等),并对受害者进行敲诈勒索后才予以解密。
网络犯罪分子利用技术手段挟持用户数据作为“人质”,向个人或组织勒索钱财,效率高,获利快。因此可以说,勒索软件不仅是一种恶意软件,还是一种非常“成功”的网络犯罪商业模式。
【勒索软件的前世今生】
纵观勒索软件30多年的发展历史,其攻击范围和领域不断扩大,从单设备、单行业、单个国家,逐渐遍布全球各行各业,任何企业和组织都有可能成为勒索软件的攻击对象。如今,勒索攻击的规模和频率正以惊人的速度增长。我们回顾一下勒索软件过去15年的发展:
活跃期:
2009年勒索软件进入新的发展阶段——活跃期。这一年开始,以比特币为代表的虚拟货币兴起,助长了勒索攻击的“嚣张”气焰,为网络犯罪创造“温床”。虚拟货币的匿名性和不可溯源性让勒索攻击变得更为隐蔽,犯罪团伙更加肆无忌惮。同时,虚拟货币的全球流通性使勒索组织可以便捷地跨境交易,加速了勒索攻击的泛滥。这一时期比较有代表性的勒索软件是2013年的“CryptoLocker”木马病毒,它通过邮件传播,入侵系统后对特定类型文件进行加密并要求高额比特币作为赎金,为黑客组织带来41000枚比特币的收入。这款软件之后,比特币逐渐变成赎金的首选支付方式,勒索软件的数量也在2009-2015年期间迅速增长。正是在这一时期,勒索软件开始走进公众视野。
爆发期:
从2015年开始,勒索软件进入爆发期。 2017年“WannaCry”勒索软件在全球大规模爆发,5小时内席卷英国、法国、西班牙、俄罗斯等多个国家,政府、金融、电力、通讯、能源、机场等众多基础设施受到影响,国内的部分高校、企业和政府机构也难逃 “魔爪”。“WannaCry”造成150个国家的 30万名用户受害,总损失超过80亿美元,一度成为全球关注的热点。
勒索攻击疯狂爆发,据PurpleSec统计,2018年以来勒索攻击量年增长率高达350%,新型勒索软件变种数量增加了46%。《2021年度勒索病毒态势报告》显示,全球约37%的组织表示遭受过勒索病毒攻击,总次数高达2234万。勒索病毒已成为全球主要网络威胁。
【勒索软件的入侵手段】
为了更好地防御勒索软件,了解攻击者用来传播勒索软件的方法非常重要。常见的勒索软件入侵方式有如下几种:
暴力破解:
暴力破解是最简单直接的入侵方式。攻击者针对服务器、个人用户或特定目标,用工具扫描暴露在互联网的高危端口,通过RDP弱口令、渗透、漏洞等方式获取相应权限,实施攻击入侵。用户系统中如果存在弱口令,则极易被暴力破解渗透。勒索软件最常用的传播方式就是针对RDP远程桌面服务的暴力破解。例如NotPetya会对口令进行暴力破解然后在局域网传播。
典型代表:NotPetya、Crysis、GlobeImposter等。
钓鱼邮件:
勒索软件最为广泛的传播形式。利用社会工程学方法,攻击者会向受害人发送假冒的电子邮件,在邮件中添加伪装成合法文件的恶意附件或URL 链接。收件人打开附件时,勒索软件就被暗中下载,然后开始扫描用户设备上的文件并加密;如果采用恶意链接方式,攻击者会提前在该网页上挂马,在收件人单击链接浏览网页时,勒索软件便会悄悄传至用户设备。
典型代表:NotPetya、Crysis、GlobeImposter等。
漏洞攻击:
利用已知的系统或第三方软件漏洞实施攻击。攻击者经常使用漏洞攻击包(Exploit Kit)来检测设备的操作系统或应用程序中是否存在可用于传送和激活勒索软件的安全漏洞。最典型的案例莫过于2017年WannaCry事件。Windows系统中存在一种名为“永恒之蓝”的已知漏洞,WannaCry利用此漏洞,在企业内网迅速扩散,单日感染超过90万台主机。
典型代表:WannaCry、Satan等
高危端口攻击:
利用一些端口的业务机制,找到端口的漏洞进行攻击。如WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。常见的高危端口有135、139、445、3389、5800/5900等。
典型代表:WannaCry等
软件供应链传播:
攻击者在正常软件开发、升级等环节中混入病毒,当用户正常进行软件安装或升级时趁虚而入。这种传播方式绕开了传统安全产品的扫描,传播更加隐蔽。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。
典型代表:Petya等。
水坑攻击
向访问量较大的网站或权威网站植入恶意代码,当受害者访问该网站,或下载相关文件时便会中招。
典型代表:Cerber、GandCrab等
通常,勒索软件不会只采取以上某一种方式来进行攻击和传播,通常是几种攻击方法的共同组合。
【勒索软件的攻击过程】
总结市面上常见的勒索病毒特征,可以把勒索攻击过程分为嗅探、入侵、扩散、勒索四个阶段。
第一步:嗅探
早期,勒索组织会全面搜集攻击对象的IT系统和组织信息,如通过网络嗅探工具寻找攻击对象的IP地址、操作系统信息、开放端口信息等;通过公开渠道或者内鬼搜集企业的部门、领导信息,以及电子邮箱和手机号码等。勒索软件的潜伏期长,少则数周,长达数月甚至数年,实施一次勒索往往需要精心策划,对目标进行长期的定向探测侦查。
第二步:入侵
常见的入侵手段包括弱口令攻击,钓鱼邮件攻击,web和数据库漏洞、零日漏洞利用,远程访问和社会工程等。勒索组织利用攻击对象的系统漏洞入侵系统,植入勒索病毒;利用社会工程学方法,假冒公共邮箱或领导邮箱,发送钓鱼邮件,将恶意脚本或程序掩盖为普通的文件,欺骗受害者下载和运行。入侵不仅来自于外部,还可能来自于内部。勒索组织通过收买,胁迫等手段,通过“内鬼”接触到内部服务器,利用U盘、 WIFI网络等介质将勒索软件植入系统。
第三步:扩散
入侵某一台主机后,攻击者并不会立即运行勒索病毒,而是尽可能的获取更高权限,通过漏洞利用、密码提取、远程控制等多种攻击工具继续入侵整个网络,将病毒横向传播到整个目标网络,增加受感染的主机数量。这一过程的目的是寻找更高价值的数据,筛选出最有价值的攻击对象。勒索软件在后台偷偷运行,直到目标锁定完毕才会发动下一步攻击。因此,管理员通常不能立刻感知到有设备被感染。
第四步:勒索
这一阶段,勒索软件真正浮出水面。它们会加密或窃取数据,生成勒索信息并威胁企业支付赎金。值得一提的是,在加密数据前,为防止被勒索企业通过备份恢复数据,攻击者会事先嗅探出所有有效备份并连同备份副本一起加密。勒索病毒爆发后,受害企业除了乖乖缴纳赎金外,往往没有其它办法快速恢复业务数据。
下期预告:勒索软件的“威力”有多强?
