快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

WannaCry蠕虫一周年,勒索病毒狼烟四起

客岁5月12日,WannaCry蠕虫在环球范围大爆发,引爆互联网行业的“生化危急”。借助“永恒之蓝”高危漏洞传播的WannaCry在数小时内影响近150个国家,一些当局机关、高校、病院的电脑屏幕都被“染”成了红色,致使多个国家当局、教育、病院、能源、通讯、交通、建造等诸多症结信息基础举措措施遭遇前所未有的损坏,勒索病毒也由此事故受到尽后的关注。

1.png

“永恒之蓝”漏洞的争相行使

WannaCry能刹时一炮走红,其根本缘故起因是Shadow Brokers(影子经纪人)黑客构造地下了由美国国家安全局掌控的漏洞武器:“永恒之蓝”。在WannaCry之前,勒索病毒在较长时间内均为零散出现,影响范围较小。当勒索病毒插上高危漏洞的同党,便立刻掀起影响环球的蠕虫病毒风暴。

时隔一年以后,随着“永恒之蓝”漏洞逐渐修复,WannaCry事故似乎已逐渐平息,但事与愿背——勒索病毒依然狼烟四起。大批企业用户、医疗机构、教育机构的营业体系陆续遭受勒索病毒攻击,丧失惨重。

以及WannaCry蠕虫一同走红的“永恒之蓝”漏洞在过去一年被病毒木马争相行使,不少病毒作者行使“永恒之蓝”漏洞挖矿,盗取银行卡信息,组建僵尸收集,仍是加密文件巧取豪夺。下列为过去一年中行使“永恒之蓝”进行攻击的典型事故。

2.png

其中WannaMiner 行使“永恒之蓝”漏洞在局域网内攻击传播,将染毒机器构建成一个茁壮的僵尸收集,并支持内网自更新,以达到长期潜在在用户电脑中以挖取门罗币图利。

中招者除CPU以及GPU占用率飙升到接近100%,机器性能显然下降之外,由于病毒在内网传播过程中通过SMB进行内核攻击,内网电脑体系会稀里糊涂蓝屏死机。该病毒在短时间内造成了近600家企业逾3万台电脑受到感染,一度影响了众多企业的正常办公。

“永恒之蓝”的行使不止出现在常见的收集犯法活动中,该漏洞也被部分APT构造纳入了本人的武器库。例如Fancy Bear“奇幻熊”构造就在2017年7月陆续使用该漏洞入侵了最少9家中东、欧洲的餐厅宾馆,该构造意图通过控制该类场所的收集体系,来进一步窃取部分用户的隐衷资料。    

WannaCry近来动态

根据腾讯御见威胁情报中心监控,在过去的一年,经过安全厂商的围歼堵截,WannaCry蠕虫攻击在短时间内急速下降后已趋安稳,但并未彻底消失。直到今天,WannaCry依然在持续传播。这象征着,WannaCry病毒变种仍旧具有一定活力。

WannaCry变种概况

WannaCry蠕虫至今依然有间断持续性的活跃,其首要缘故起因是变种不断出现。观察部分病毒变种可知,其感染方式以及模块组成部分与第一代病毒相比并无太大变迁。

WannaCry变种的传播方式依然依靠于 “永恒之蓝”漏洞工具包,在存在漏洞的收集中攻击传播,目标机器被攻陷后会从攻击机下载WannaCry木马感染,并将自身作为攻击机再次扫描互联网以及局域网其他机器,形成蠕虫感染大范围快速扩散。

变种模块组成首要有母体感染模块,诓骗者模块,解密程序等部分组成,部分变种会修改母体图标,添加虚假署名,加壳,修改开释攻击模块名,修改比特币钱包收款地址等等。

WannaCry攻击地域

观察WannaCry近期攻击地域可知,近期受灾最为严重的区域为广西以及浙江,随后为江苏以及湖北。这与以往勒索病毒主攻北上广深区域的举动有显然悬殊。综合来看首要缘故起因为北上广深高新科技类产业较多,收集安全防范意识也相对于较高,安全应急响应能力也较强。

在WannaCry爆发初期大部分企业已及时的修复漏洞装置补丁,采取了安全补救措施,进而杜尽了病毒滋长的环境。终极导致WannaCry变种在后续的攻击中,首要目标再也不是信息产业相对于发达的北上广等地,而是向防御能力相对于偏弱的区域扩散。

3.png

受WannaCry攻击的行业

通过观察WannaCry近期攻击行业可知,黉舍、传统工业、当局机构为WannaCry攻击的首要行业群体。其中黉舍被攻击的比例更是占到35%,传统工业以及当局机构紧随其后。首要缘故起因为该类机构长期依靠于互联网提供的基础举措措施服务,但相对于缺少专业安全运维服务。导致总体安全防御能力薄弱,容易被病毒入侵。

医疗机构受勒索病毒之害相对于显然,2018年已有多地医疗机构服务器被勒索病毒加密数据,致公共服务机构营业瘫痪,患者感触感染强烈。

4.png

受WannaCry攻击的体系分布

观察近期受WannaCry攻击的操作体系数据,可知首要被攻击的操作体系为Windows 7体系,其次为Windows 10,Windows 8以及Windows XP,从侧面也反映出国内当前环境操作体系使用比例。

5.png

勒索病毒总体攻击趋向

得益于2017年纪字货币的环球大爆发,黑客漏洞, 在过去一年,勒索病毒的活跃成员中不止有WannaCry这一“知名”选手,在比特币等区块链资产价格大幅飙升,巨大的利益诱惑下,以GlobeImposter,Crysis,BTCWare等为代表的勒索家族高度活跃。

详见《以Windows服务器为攻击目标 或成勒索病毒新趋向》一文。

越来越多的勒索病毒家族呈现出勒索前言、传播方式多元化的特点,成为近年来最严峻的收集安全威胁之一。根据阐发,进入2018年后,针对服务器的勒索攻击有显然上升,企业用户数据价值一般情形下遥高于小我私人用户,中招后也更偏向于缴纳赎金,这也说明勒索病毒的攻击方式已由广撒网慢慢最先转变为了定向攻击高价值目标。

6.png

从勒索攻击的目标行业上看,医疗、教育、当局机关、金融占了勒索攻击目标的一半之多。其中,教育行业经过阐发后,多为黉舍门生电脑等,导致了教育的占比较高。

而医疗、当局机关、金融则为勒索者攻击的最爱,该类行业中尤为是医疗行业,一旦数据被加密,影响正常营业运转将会引来更严重的丧失,因此会愈加偏向于缴纳赎金。

7.png

勒索病毒传播方式愈加多样化

随着勒索病毒发铺日渐成熟,其传播方式也变得趋于完美,各家族勒索病毒传播方式也逐渐有了自身特点,总结勒索病毒总体首要传播方式有下列几种:

1.邮件附件传播

代表家族:Locky、Cerber、GlobeImposter……

通过邮件附件进行传播的勒索病毒通常会伪装成用户常查看的文档,如信用卡损耗清单、产品订单等。附件中会隐躲恶意代码,当用户关上后恶意代码便会最先执行,开释病毒。

造孽黑客往往会将携带病毒的文件通过邮件批量发送给企业、高校、病院机构等单位,这些单位中的电脑中通常保存较重要的文件,一旦被恶意加密,支付赎金的可能性遥遥超过普通小我私人用户。

8.png

2.网站挂马传播

代表家族:Cerber、GandCrab…..

网站挂马是在获取网站或者网站服务器的部分或整个权限后,在网页中插入一段恶意代码,这些恶意代码主若是一些IE等阅读器的漏洞行使代码。

用户走访被挂马页面时,要是体系此前没有修复恶意代码中行使的漏洞,电脑就会执行相干恶意代码。

3.入侵服务器

代表家族:Crysis、GlobeImposter…..

针对服务器的攻击多通过暴力破解遥程登录权限的要领。由于部分服务器未能及时修补安全漏洞,和普遍使用相同的暗码或弱暗码遥程登录。造孽黑客会用各种手段入侵企业服务器,再手动卸载或关闭杀毒软件,然后下载勒索病毒运行。

9.png

4.行使体系漏洞传播

代表家族:WannaCry、Satan…..

WannaCry,Satan就是行使Windows体系漏洞进行传播,行使体系漏洞传播的特点是被动式中毒:用户即使没有走访恶意站点,没有关上病毒文件也会中招。行使体系漏洞传播的蠕虫病毒还会扫描同收集中存在漏洞的其他PC主机,只需主机没有打上补丁,就会被攻击。

5.收集同享文件

代表家族:暂时首要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。

一些小范围传播的巧取豪夺病毒会通过同享文件的方式进行传播,造孽黑客会将病毒上传到收集同享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载装置。

此外,造孽黑客还常会虚拟出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。

10.png

6.软件供应链传播

代表家族:Petya

病毒制造者通过入侵软件开发、分发、升级服务环节,软件开发过程中,就会在产品组件中混入病毒,通过入侵、挟制软件下载站、升级服务器,当用户正常进行软件装置、升级时勒索病毒趁虚而入。

这类传播方式行使了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上愈加隐蔽,风险也更为严重。此前侵袭环球的Petya勒索病毒便是通过挟制Medoc软件更新服务进行传播。

7.文件感染传播

代表家族:PolyRansom

PolyRansom行使感染型病毒的特点,加密用户所有文档后再弹出勒索信息,而由于PE类文件被感染后具有了感染其他文件的能力,因此要是此文件被用户携带(U盘、收集上传等)到其他电脑上运行,就会使得该电脑的文件也被整个感染加密。

勒索病毒产业链

勒索病毒在经过了单打独斗的发铺时期后,也最先逐渐呈现出了产业链条化,各角色分工明确,完备的一次勒索攻击流程可能触及勒索病毒作者,勒索者,传播渠道商,代办署理,受害者5个角色,各角色详细分工以下:

勒索病毒作者:负责勒索病毒编写制造,与安全软件免杀匹敌。通过在“暗网”或别的公开平台销售病毒代码,接受病毒定制,或出售病毒生成器的方式,与勒索者进行合作拿取分成。

11.png

勒索者:从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通过自定义病毒勒索信息后得到本人的专属病毒,与勒索病毒作者进行收入分成。

传播渠道商:帮助勒索者传播勒索病毒,最为熟识的则是僵尸收集,例Necurs、Gamut,环球有97%的钓鱼邮件由该两个僵尸收集发送。

代办署理:向受害者假称本人能够解密各勒索病毒加密的文件,并且是勒索者提出赎金的50%甚至更低,但实际上与勒索者进行合作,在其间赚取差价。

受害者:通过勒索病毒种种传播渠道不幸中招的受害者,若有重要文件被加密,则向代办署理或勒索者联系缴纳赎金解密文件。

12.png

其中,中间代办署理的角色在勒索病毒攻击环节里出现出乎人人的意料,追踪代办署理也让人着实花了心思。

1. 起首,搜索勒索病毒解密相干信息时,搜索效果首页上可以看到不少公司都可以支持勒索病毒解密。注意看,这些人还买了搜索引擎广告。

13.png

2. 在这些小公司官网先容上,可以看到支持种种勒索病毒家族的解密,其中包括了流行的Locky、Cerber、Crysis、GlobeImposter、GandCrab家族等。

14.png

3. 然而尽人皆知,除非勒索病毒存在逻辑漏洞,或者获患了解密密钥,以当前的算力去解密几乎不可能。

4. 恰逢接到深圳某公司反馈,公司内数台服务器中了某家族勒索病毒,该公司联系解密公司是否可以解密后,解密公司居然能以极少的信息给出了内网IP和对应的解密密钥。这不禁让人嫌疑解密公司是否以及勒索者有所关系。

15.png

5. 目前国内外各大安全公司都没法解密,为何有云云之多的小公司可以解密呢?带着嫌疑装作受害者联系了某解密公司,并且发送了被GlobeImposter家族加密的文件测试能否解密,次日便发来了解密后的文档。

16.png

6. GlobeImposter家族加密后的文件,会在文件末尾附加一段ID来标注受害者,从而勒索者能够根据ID来找到对应的密钥来解密。因而将文件末尾的ID随机修改以后,再发给解密公司解密时,解密公司花了数天也没有解密的效果,并且表示文件有问题。为何修改了ID以后,解密公司能够判定出来文件有问题了呢?这更让人最先嫌疑解密公司与勒索者的关系。

17.png

7. 当我们再联系勒索者,抒发想做中间代办署理的意愿时,勒索者当即归复,表示可以接受代办署理,并且价格为50%,同时,勒索者还贴心得给出了怎么样在国内购买比特币的教程。一个目生人联系做代办署理即可拿到50%的优惠价格,信赖专业做代办署理的解密公司可以拿到愈加便宜的价格。

18.png

8. 对此,我们基本可以断定,该类解密公司,实际上就是勒索者的代办署理,行使国内用户不方便买数字货币和相对于愈加便宜的价格,吸取受害者联系解密,在此其间赚取差价。根据某解密公司官网上地下的记录,一家解密公司靠做勒索中间代办署理一个月收入可达300W人民币。

19.png

勒索病毒趋向

WannaCry爆发至今已有一年, 第一代WannaCry病毒发铺至今,各变种基本没有太大变迁,安全厂商早期提供的解决方案依然能有用防御。虽然云云,但WannaCry余毒尚存,在未来较长时间内仍对部分政企机构具有一定安全威胁,一旦被病毒攻击得逞,所酿成的后果往往难以逆转,除非及时备份营业体系。

“永恒之蓝”漏洞补丁虽然发布已久,但依然有部分用户未能实现修复,所以在未来使用该漏洞所进行的种种收集病毒木马攻击仍将持续发生。而随着勒索病毒的产业链化,手艺细节的地下化,代码的开源,病毒生成器的出现,勒索病毒的制造成本也逐渐降低,这些都将进一步促进未来勒索病毒的攻击走势。

一、 勒索病毒与安全软件的匹敌加重

随着安全软件对勒索病毒的解决方案成熟完美,勒索病毒愈加难以成功入侵用户电脑,病毒传播者会不断升级匹敌手艺方案。

2、 勒索病毒传播场景多样化

传统的勒索病毒传播首要以钓鱼邮件为主,勒索病毒更多行使了高危漏洞(如永恒之蓝)、鱼叉游戏攻击,或水坑攻击等方式传播,大大提高了入侵成功率。以GandCrab为例,该家族勒索病毒传播同时行使了钓鱼邮件、水坑攻击、网页挂马以及漏洞行使四种方式。

三、 勒索病毒攻击目标转向企业用户

小我私人电脑大多能够使用安全软件实现漏洞修补,在遭受勒索病毒攻击时,小我私人用户往往会抛却数据,恢复体系。而企业用户在没有及时备份的情形下,会偏向于支付赎金,挽归数据。因此,已发现越来越多攻击目标是当局机关、企业、病院、黉舍。

四、 勒索病毒更新迭代加快

以GandCrab为例,当第一代的后台被安全公司入侵以后,随后在一周内便发布了GandCrab2,现在已升级到3.0版本。病毒早期发布时存在漏洞,使得安全公司可以解密被加密的文件,随后更新的版本已没法被解密。

五、 勒索病毒加密目标升级

传统的勒索病毒加密目标基本以文件文档为主,现在越来越多的勒索病毒会尝试加密数据库文件,加密磁盘备份文件,甚至加密磁盘引导区。一旦加密后用户将没法走访体系,相对于加密而言风险更大,也更有可能迫使用户支付赎金。

安全建议

针对小我私人用户:

1. 不要点击来源不明的邮件附件。

2. 不使用外挂等病毒高发点的工具。

3. 保持腾讯电脑管家等安全软件的运行状态,及时修复体系漏洞,实时拦截病毒危害。

4. 推荐使用“文档守护者”对重要文件以及数据(数据库等数据)进行定期备份。关上电脑管家【工具箱】-【文档】-【文档守护者】,周全维护文档安全。

针对企业用户:

一、 绝量关闭无须要的端口,如:44五、135,139等,对3389端口可进行白名单设置,只允许白名单内的IP连接上岸。

2、 绝量关闭无须要的文件同享,若有需要,请使用ACL以及强暗码维护来制约走访权限,禁用对同享文件夹的匿名走访。

三、 采用高强度的暗码,避免使用弱口令暗码,并定期更换暗码。建议服务器暗码使用高强度且无规律暗码,并且强制请求每一个服务器使用不同暗码治理。

四、 对没有互联需求的服务器/工作站内部走访配置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

五、 对重要文件以及数据(数据库等数据)进行定期非内陆备份。

六、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

七、建议全网装置御点终端安全治理体系(https://s.tencent.com/product/yd/index.html)。御点终端安全治理体系具备终端杀毒统一管控、修复漏洞统一管控,和策略管控等全方位的安全治理功能,可帮助企业治理者周全了解、治理企业内网安全状况、维护企业安全。

八、 推荐企业用户使用御界高级威胁检测体系(https://s.tencent.com/product/gjwxjc/index.html)。凭借基于举动的防护以及智能模型两大核心能力,御界高级威胁检测体系可高效检测未知威胁,并通过对企业内外网边界处收集流量的阐发,感知漏洞的行使以及攻击。

* 腾讯电脑管家,转载注明来自

您可能还会对下面的文章感兴趣: