免费人成网站免费看视频,国产免费踩踏调教视频,亚洲中文有码字幕日本,亚洲国产成人久久综合下载

中新網(wǎng)安安全研究院2016年12月安全報告


對某"鎖屏"勒索軟件的分析



一. 概述


Ransomware(勒索軟件是通過網(wǎng)絡(luò)勒索金錢的常用方法繼木馬已經(jīng)形成制作和播種、流量交易、虛擬財產(chǎn)套現(xiàn)等諸多環(huán)節(jié)的黑色產(chǎn)業(yè)鏈之后,最為普遍的網(wǎng)絡(luò)攻擊行為會對用戶的文件、應(yīng)用程序、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)造成不可挽回的損失,大部分的受害者選擇乖乖繳納贖金。

根據(jù)安全機構(gòu)的監(jiān)測數(shù)據(jù)顯示,在被稱為勒索軟件之年2016截獲的勒索軟件數(shù)量高達22144,同比2015年增加了62%。新的勒索軟件家族則增長了748%,呈現(xiàn)出爆發(fā)態(tài)勢,其中影響較大的包括數(shù)量最龐大的locky勒索家族、破壞主引導(dǎo)(MBR)PETYA勒索軟件、不斷更新升級的Cerber勒索軟件等等。



二. 利益驅(qū)動傳播


所有的網(wǎng)絡(luò)攻擊行為都是以利益為驅(qū)動,勒索軟件也不例外,但是正是由于其傳播方便、命中率高、用戶基本無解的特性,在犯罪分子的助推下勢頭日益猖獗,簡單分析原因如下:

1. 受害者受感染的途徑具有多樣性,包括:電子郵件鏈接、郵件附件、網(wǎng)站漏洞、社交媒體平臺、缺乏抵御能力的業(yè)務(wù)應(yīng)用以及用于實現(xiàn)離線感染的USB驅(qū)動。

2. 大規(guī)模的電子郵件感染成本低廉,投入回報比例驚人,屬于高利潤行業(yè)。

3. 一些公司并未對文件進行加密或者沒有做好從攻擊中恢復(fù)文件的準(zhǔn)備,讓勒索軟件有機可趁,與其花重金研究解密方案,相比起來支付勒索費來得更便宜,也更為簡單。

4. 出現(xiàn)了像比特幣這種越來越隱蔽的支付方案,使用得攻擊者逃避法律責(zé)任更有把握。

640-6.jpg



三. 狐貍vs好獵手


在辦公郵箱中收到了一封廣告郵件,其中附件中有一些宣傳性文件,并且夾帶了一個名稱為“新建文本文檔.txt.exe”的惡意文件,考慮到Windiows7之后的操作系統(tǒng)特性,用戶默認情況下是無法看到exe后綴的,加上攻擊者將可執(zhí)行文件改成了TXT文件的圖標(biāo),而很多人的健忘會產(chǎn)生想驗證一下文件是否還需要,從而提升了點擊文件的成功率。


四. 勒索的本質(zhì)


簡單地說,樣本運行后會修改當(dāng)前用戶的賬號和密碼為一個QQ賬號(可以理解為暗黑客服),并且講全盤的文檔文件進行加密,最后下載一個木馬后門程序,然后等待客戶聯(lián)系并交納贖金。


640-1.jpg



五. 惡意軟件的品控



該樣本來自病毒網(wǎng)站, 樣本名稱為”華夏聯(lián)盟”,用戶迷惑用戶,樣本具體是修改當(dāng)前用戶的賬號來通過勒索的,會留下有一個QQ賬號用于受害者聯(lián)系。


1.樣本會獲取當(dāng)前的賬戶,然后修改賬戶名稱和密碼,用戶名修改為“加QQ10xxx90xx8",密碼“107289”。


640.png

2.對于躲過殺軟,樣本使用大量無效干擾指令,動態(tài)加載殺菌敏感函數(shù),遍歷目標(biāo)主機中的殺毒軟件,使用多種對抗殺軟的查殺手段,最終的木馬文件采用多次內(nèi)存解密形成,注入系統(tǒng)白名單中。執(zhí)行一系列操作。

a.區(qū)段加密,修改入口,運行自身代碼段

加密前:


640-2.png

解密后:


640-3.png

b.內(nèi)存解密出木馬文件


640-4.png

c.對抗殺毒的啟發(fā)式查殺:

640-5.png     

d.偽裝自身,一旦發(fā)現(xiàn)存在殺毒軟件,便會讀取系統(tǒng)進程”csrss.exe”的進程信息,將其中的一些關(guān)鍵字段替換木馬進程自己的進程結(jié)構(gòu)信息,達到欺騙殺毒軟件的目的。


640-8.jpg

3.對于加密方面,樣本使用的是RSA和隨機數(shù)結(jié)合的加密方式,首先樣本會隨機產(chǎn)生一個隨機數(shù),并用RSA對其加密,加密后的結(jié)果作為本機的特定密鑰。對于加密文件,用的是隨機數(shù)加密的,不同的文件產(chǎn)生不同的隨機數(shù)進行加密,并將每個文件對應(yīng)的隨機數(shù)用上面產(chǎn)生的特定密鑰加密,保存在加密的文件中,同時用RSA公鑰加密本機密鑰,其結(jié)果也存在加密文件中。這種加密的好處就是保證每個文件加密密鑰不同并且每臺計算機的專有密鑰不同,就算暴力破解出其中一組隨機數(shù)也只能解密一個文件,只有獲得RSA私鑰才能恢復(fù)所有文件。


640-6.png

4.樣本流程

首先用存儲在文件中的RSA公鑰加密一組隨機數(shù),作為本機特定密鑰:

640-9.jpg

然后再產(chǎn)生對于每個加密文件的隨機數(shù),用其對文件加密,獲得本機密鑰,使用該密鑰去加密每個文件對應(yīng)的唯一隨機數(shù)。


640-10.jpg




六. 文件還有沒有救


文件還有沒有救從分析中可以看出目標(biāo)主機的密碼被改成了107289,輸入密碼107289后, 計算機是可以打開的。

至于被加密的文件,非常遺憾,由于作者用的是RSA公鑰結(jié)合隨機數(shù)來生成加密文件使用的初始密鑰,除非使用其提供的私鑰,否則是沒辦法解密的,在此之前,盡量維持現(xiàn)場,可以看出,攻擊者們?yōu)榱舜_保口袋里可以收到錢,都會使用比較穩(wěn)妥的加密方式,比起某些黑客資料的竊取,更像是強盜行為,也印證了所有受害用戶中自行恢復(fù)文件的占比不到一半的原因。


七. 追根溯源


勒索軟件作者留下QQ作為贖金支付聯(lián)系方式,顯然是不夠明智的,僅僅是通過社工的方法就挖掘到了大量信息,必定是難逃法眼。

軟件作者的法律意識相當(dāng)?shù)?,在網(wǎng)絡(luò)上進行了公開宣傳, 一些資深受害者也是提供了比較詳實的信息,非常有助于案情的調(diào)查。




640-11.jpg

作者的業(yè)務(wù)領(lǐng)域也是非常廣泛,除了在軟件開發(fā)領(lǐng)域有一技之長,對滲透攻防也有一定的見解,從某個被黑主頁中可以看出,此人曾經(jīng)隸屬于某安全紅客聯(lián)盟團隊。


640-12.jpg

整理一下所有信息:此人自稱黑客,行騙多年。真實姓名為陳x旭,常用的郵箱和支付寶賬號為107289xx78@qq.com,手機號1558xx48334(四川達州中國聯(lián)通),住在廣東廣州,天蝎座, 經(jīng)常出入許多安全論壇,活躍在一些黑客團體中。


八. 殺軟能否提供足夠保障?


筆者將樣本上傳到VirusTotal上,僅有23%的殺軟識別出其具有惡意性質(zhì),而其余的用戶可能會很可能遭受其迫害。事實上筆者近期使用一個遠程控制木馬樣本,僅僅是通過加殼操作,就在VirusTotal上對所有殺毒軟件引擎持續(xù)了一個月的免殺時間。


640-13.jpg




九. 新的威脅趨勢


  • 向移動端蔓延

從最早的“艾滋病信息木馬”到最近出現(xiàn)的Locker勒索軟件,二十幾年的時間里,雖然勒索軟件的新家族層出不窮,但主要的勒索方式仍以綁架用戶數(shù)據(jù)為主。隨著Android平臺的日益普及,面向移動終端的勒索軟件也日漸增多;


  • 贖金支付方式更難溯源

隨著比特幣的廣泛應(yīng)用,以比特幣代為贖金支付形式的勒索軟件也逐漸多了起來,比起傳統(tǒng)的需要銀行等可信第三方機構(gòu)的交易方式來說更為快捷和難以溯源追蹤,并且有效減少了偽裝身份的成本。


  • 物聯(lián)網(wǎng)也變成勒索媒介

ESET高級研究員史蒂芬·科布認為“物聯(lián)網(wǎng)設(shè)備的不安全性和勒索軟件的日益普及促使網(wǎng)絡(luò)罪犯在物聯(lián)網(wǎng)領(lǐng)域竊取不義之財”。隨著智能設(shè)備和物聯(lián)網(wǎng)向公網(wǎng)開放日益普遍,從以物聯(lián)網(wǎng)設(shè)備作為DDoS攻擊載體開始,逐漸也會受到勒索軟件等其他攻擊方式的青睞,物聯(lián)網(wǎng)在快速布局的同時忽略了安全防范措施,加之很多物聯(lián)網(wǎng)的真實使用者對網(wǎng)絡(luò)上的威脅基本不了解,將來很可能會通過某個通用漏洞大規(guī)模暴發(fā)。


  • 數(shù)據(jù)庫也不能幸免

Victor Gevers在2016年12月27日發(fā)現(xiàn)一些裸奔的MongoDB用戶的數(shù)據(jù)被黑客刪除并發(fā)推引起了互聯(lián)網(wǎng)的注意,黑客把數(shù)據(jù)庫里的數(shù)據(jù)都刪除了,并留下一張warning的表,里面寫著如果想“贖”回數(shù)據(jù),就給0.2比特幣(按近期比特幣的市價約等于200$)到xxxxx地址。雖然此次MongoDB的暴發(fā)是因為其身份驗證的松散性(數(shù)據(jù)庫可以不設(shè)置登陸口令的情況下進行連接)其他公網(wǎng)中開放服務(wù)的數(shù)據(jù)庫雖然設(shè)置了口令,但仍然有大量弱口令的存在,仍然需要時時警惕。


十. 如何避免?


為了預(yù)防此類攻擊,必須對技術(shù)領(lǐng)域的相關(guān)平臺進行重大改進,以確保平臺的安全性,盡管這些改進措施會顯著增加產(chǎn)品成本。此外,必須加快相關(guān)立法,以確保關(guān)鍵基礎(chǔ)設(shè)施的安全、支持那些最佳的行業(yè)實踐,同時要確保這些規(guī)定能被嚴(yán)格遵守。使用恰當(dāng)?shù)臄?shù)據(jù)保護策略可防止被勒索軟件攻擊。這一條很重要,因為并沒有免費在線解密工具幫助您解密文件,所以,您需要從備份中對其進行恢復(fù)操作,以避免向犯罪分子支付勒索費。不過,最好的方法仍然是在您的基礎(chǔ)設(shè)施中部署多重安全防御層,確保在出現(xiàn)風(fēng)險時,終端用戶能夠監(jiān)測到。最近的一次調(diào)查顯示,在遭受勒索軟件攻擊的受害者中,能夠從備份中恢復(fù)全部數(shù)據(jù)的占比不到一半。這很大程度上是因為用戶采用了錯誤的備份配置,或是備份文件在IT部門發(fā)現(xiàn)感染文件前就被進行了加密處理。此外,在恢復(fù)或加密過程中,您還可能會因為疏忽,導(dǎo)致敏感數(shù)據(jù)泄露給外來方,將自己暴露在進一步的經(jīng)濟損失風(fēng)險中。


1. 需要從人員的安全意識培訓(xùn)入手,降低人為引入的威脅。(勒索軟件大多通過釣魚郵件方式撒網(wǎng),用戶不小心接收打開后中招。所以,提高用戶的安全意識很重要。從源頭上進行的防護)

2. 做好數(shù)據(jù)備份與持續(xù)更新,在關(guān)鍵時刻可以發(fā)揮作用。(備份需要3-2-1的原則:至少3份拷貝,存放在2個地方(異地備份),1個離線備份。事實上,還出現(xiàn)過這種“意外”,個別用戶做了備份,卻是在線的,結(jié)果也被勒索軟件一起給加密了)

3. 保證操作系統(tǒng)更新到最新的版本,降低受攻擊的可能性。

4. 應(yīng)用防病毒、未知威脅檢測等技術(shù)對勒索軟件進行檢測與防護。
张家川| 承德市| 石楼县| 阳城县| 清水河县| 汽车| 策勒县| 金溪县| 安达市| 封开县| 台东县| 大宁县| 武义县| 石渠县|