對某"鎖屏"勒索軟件的分析 
一. 概述
Ransomware(勒索軟件)是通過網絡勒索金錢的常用方法,繼木馬已經形成制作和播種、流量交易、虛擬財產套現等諸多環節的黑色產業鏈之后,最為普遍的網絡攻擊行為,會對用戶的文件、應用程序、數據庫、業務系統造成不可挽回的損失,大部分的受害者選擇乖乖繳納贖金。 根據安全機構的監測數據顯示,在被稱為“勒索軟件之年”的2016年,截獲的勒索軟件數量高達22144個,同比2015年增加了62%。新的勒索軟件家族則增長了748%,呈現出爆發態勢,其中影響較大的包括數量最龐大的locky勒索家族、破壞主引導(MBR)的PETYA勒索軟件、不斷更新升級的Cerber勒索軟件等等。
二. 利益驅動傳播
所有的網絡攻擊行為都是以利益為驅動,勒索軟件也不例外,但是正是由于其傳播方便、命中率高、用戶基本無解的特性,在犯罪分子的助推下勢頭日益猖獗,簡單分析原因如下: 1. 受害者受感染的途徑具有多樣性,包括:電子郵件鏈接、郵件附件、網站漏洞、社交媒體平臺、缺乏抵御能力的業務應用以及用于實現離線感染的USB驅動。 2. 大規模的電子郵件感染成本低廉,投入回報比例驚人,屬于高利潤行業。 3. 一些公司并未對文件進行加密或者沒有做好從攻擊中恢復文件的準備,讓勒索軟件有機可趁,與其花重金研究解密方案,相比起來支付勒索費來得更便宜,也更為簡單。 4. 出現了像比特幣這種越來越隱蔽的支付方案,使用得攻擊者逃避法律責任更有把握。 
三. 狐貍vs好獵手
在辦公郵箱中收到了一封廣告郵件,其中附件中有一些宣傳性文件,并且夾帶了一個名稱為“新建文本文檔.txt.exe”的惡意文件,考慮到Windiows7之后的操作系統特性,用戶默認情況下是無法看到exe后綴的,加上攻擊者將可執行文件改成了TXT文件的圖標,而很多人的健忘會產生想驗證一下文件是否還需要,從而提升了點擊文件的成功率。
四. 勒索的本質
簡單地說,樣本運行后會修改當前用戶的賬號和密碼為一個QQ賬號(可以理解為暗黑客服),并且講全盤的文檔文件進行加密,最后下載一個木馬后門程序,然后等待客戶聯系并交納贖金。

五. 惡意軟件的品控
該樣本來自病毒網站, 樣本名稱為”華夏聯盟”,用戶迷惑用戶,樣本具體是修改當前用戶的賬號來通過勒索的,會留下有一個QQ賬號用于受害者聯系。
1.樣本會獲取當前的賬戶,然后修改賬戶名稱和密碼,用戶名修改為“加QQ10xxx90xx8",密碼“107289”。

2.對于躲過殺軟,樣本使用大量無效干擾指令,動態加載殺菌敏感函數,遍歷目標主機中的殺毒軟件,使用多種對抗殺軟的查殺手段,最終的木馬文件采用多次內存解密形成,注入系統白名單中。執行一系列操作。
a.區段加密,修改入口,運行自身代碼段
加密前:

解密后:

b.內存解密出木馬文件

c.對抗殺毒的啟發式查殺:
d.偽裝自身,一旦發現存在殺毒軟件,便會讀取系統進程”csrss.exe”的進程信息,將其中的一些關鍵字段替換木馬進程自己的進程結構信息,達到欺騙殺毒軟件的目的。

3.對于加密方面,樣本使用的是RSA和隨機數結合的加密方式,首先樣本會隨機產生一個隨機數,并用RSA對其加密,加密后的結果作為本機的特定密鑰。對于加密文件,用的是隨機數加密的,不同的文件產生不同的隨機數進行加密,并將每個文件對應的隨機數用上面產生的特定密鑰加密,保存在加密的文件中,同時用RSA公鑰加密本機密鑰,其結果也存在加密文件中。這種加密的好處就是保證每個文件加密密鑰不同并且每臺計算機的專有密鑰不同,就算暴力破解出其中一組隨機數也只能解密一個文件,只有獲得RSA私鑰才能恢復所有文件。

4.樣本流程 首先用存儲在文件中的RSA公鑰加密一組隨機數,作為本機特定密鑰: 
然后再產生對于每個加密文件的隨機數,用其對文件加密,獲得本機密鑰,使用該密鑰去加密每個文件對應的唯一隨機數。

六. 文件還有沒有救
文件還有沒有救從分析中可以看出目標主機的密碼被改成了107289,輸入密碼107289后, 計算機是可以打開的。 至于被加密的文件,非常遺憾,由于作者用的是RSA公鑰結合隨機數來生成加密文件使用的初始密鑰,除非使用其提供的私鑰,否則是沒辦法解密的,在此之前,盡量維持現場,可以看出,攻擊者們為了確??诖锟梢允盏藉X,都會使用比較穩妥的加密方式,比起某些黑客資料的竊取,更像是強盜行為,也印證了所有受害用戶中自行恢復文件的占比不到一半的原因。
七. 追根溯源
勒索軟件作者留下QQ作為贖金支付聯系方式,顯然是不夠明智的,僅僅是通過社工的方法就挖掘到了大量信息,必定是難逃法眼。 軟件作者的法律意識相當淡薄,在網絡上進行了公開宣傳, 一些資深受害者也是提供了比較詳實的信息,非常有助于案情的調查。

作者的業務領域也是非常廣泛,除了在軟件開發領域有一技之長,對滲透攻防也有一定的見解,從某個被黑主頁中可以看出,此人曾經隸屬于某安全紅客聯盟團隊。

整理一下所有信息:此人自稱黑客,行騙多年。真實姓名為陳x旭,常用的郵箱和支付寶賬號為107289xx78@qq.com,手機號1558xx48334(四川達州中國聯通),住在廣東廣州,天蝎座, 經常出入許多安全論壇,活躍在一些黑客團體中。
八. 殺軟能否提供足夠保障?
筆者將樣本上傳到VirusTotal上,僅有23%的殺軟識別出其具有惡意性質,而其余的用戶可能會很可能遭受其迫害。事實上筆者近期使用一個遠程控制木馬樣本,僅僅是通過加殼操作,就在VirusTotal上對所有殺毒軟件引擎持續了一個月的免殺時間。

九. 新的威脅趨勢
從最早的“艾滋病信息木馬”到最近出現的Locker勒索軟件,二十幾年的時間里,雖然勒索軟件的新家族層出不窮,但主要的勒索方式仍以綁架用戶數據為主。隨著Android平臺的日益普及,面向移動終端的勒索軟件也日漸增多;
隨著比特幣的廣泛應用,以比特幣代為贖金支付形式的勒索軟件也逐漸多了起來,比起傳統的需要銀行等可信第三方機構的交易方式來說更為快捷和難以溯源追蹤,并且有效減少了偽裝身份的成本。
ESET高級研究員史蒂芬·科布認為“物聯網設備的不安全性和勒索軟件的日益普及促使網絡罪犯在物聯網領域竊取不義之財”。隨著智能設備和物聯網向公網開放日益普遍,從以物聯網設備作為DDoS攻擊載體開始,逐漸也會受到勒索軟件等其他攻擊方式的青睞,物聯網在快速布局的同時忽略了安全防范措施,加之很多物聯網的真實使用者對網絡上的威脅基本不了解,將來很可能會通過某個通用漏洞大規模暴發。
Victor Gevers在2016年12月27日發現一些裸奔的MongoDB用戶的數據被黑客刪除并發推引起了互聯網的注意,黑客把數據庫里的數據都刪除了,并留下一張warning的表,里面寫著如果想“贖”回數據,就給0.2比特幣(按近期比特幣的市價約等于200$)到xxxxx地址。雖然此次MongoDB的暴發是因為其身份驗證的松散性(數據庫可以不設置登陸口令的情況下進行連接)其他公網中開放服務的數據庫雖然設置了口令,但仍然有大量弱口令的存在,仍然需要時時警惕。
十. 如何避免?
為了預防此類攻擊,必須對技術領域的相關平臺進行重大改進,以確保平臺的安全性,盡管這些改進措施會顯著增加產品成本。此外,必須加快相關立法,以確保關鍵基礎設施的安全、支持那些最佳的行業實踐,同時要確保這些規定能被嚴格遵守。使用恰當的數據保護策略可防止被勒索軟件攻擊。這一條很重要,因為并沒有免費在線解密工具幫助您解密文件,所以,您需要從備份中對其進行恢復操作,以避免向犯罪分子支付勒索費。不過,最好的方法仍然是在您的基礎設施中部署多重安全防御層,確保在出現風險時,終端用戶能夠監測到。最近的一次調查顯示,在遭受勒索軟件攻擊的受害者中,能夠從備份中恢復全部數據的占比不到一半。這很大程度上是因為用戶采用了錯誤的備份配置,或是備份文件在IT部門發現感染文件前就被進行了加密處理。此外,在恢復或加密過程中,您還可能會因為疏忽,導致敏感數據泄露給外來方,將自己暴露在進一步的經濟損失風險中。
1. 需要從人員的安全意識培訓入手,降低人為引入的威脅。(勒索軟件大多通過釣魚郵件方式撒網,用戶不小心接收打開后中招。所以,提高用戶的安全意識很重要。從源頭上進行的防護) 2. 做好數據備份與持續更新,在關鍵時刻可以發揮作用。(備份需要3-2-1的原則:至少3份拷貝,存放在2個地方(異地備份),1個離線備份。事實上,還出現過這種“意外”,個別用戶做了備份,卻是在線的,結果也被勒索軟件一起給加密了) 3. 保證操作系統更新到最新的版本,降低受攻擊的可能性。 4. 應用防病毒、未知威脅檢測等技術對勒索軟件進行檢測與防護。
|