文章目录
相关背景
勒索软件又称为““赎金木马”,勒索软件攻击是指网络攻击者通过锁定设备或加密文件等方式阻止用户对系统或数据的正常访问,并要挟受害者支付赎金的行为。由于勒索软件加密信息难以恢复、攻击来源难以追踪,攻击直接影响与生产生活相关信息系统的正常运转,勒索软件对现实世界威胁加剧,且随着 A1、5G、物联网等技术的快速普及和应用,如今勒索攻击呈现出持续高发态势。勒索攻击已经成为未来一段时期网络安全的主要威胁之一,如何有效防范勒索攻击成为当前网络安全领域关注和讨论的焦点。
勒索软件概述
典型勒索软件包括文件加密、数据窃取、磁盘加密等类型,攻击者主要通过钓鱼邮件、网页挂马等形式传播勒索软件,或利用漏洞、远程桌面入侵等发起攻击,植入勒索软件并实施勒索行为。
勒索软件主要类型
文件加密类勒索软件
该类勒索软件以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金,一旦感染,极难恢复文件。该类勒索软件以 WannaCry为代表,自2017年全球大规模爆发以来,其通过加密算法加密文件,并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽 真实身份的勒索软件攻击模式引起攻击者的广泛模仿,文件加密类已经成为当前勒索软件的主要类型。
数据窃取类勒索软件
该类勒索软件与文件加密类勒索软件类似,通常采用多种加密算法加密用户数据,一旦感染,同样极难进行数据恢复,但在勒索环节,攻击者通过甄 别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。
系统加密类勒索软件。
该类勒索软件同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻 止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密,一旦感染,同样难以进行数据恢复。例如,2016 年首次发现的 Petya 勒索软件,对攻击对象全部数据进行加密的同时,以病毒内嵌的主引导记 录代码覆盖磁盘扇区,直接导致设备无法正常启动。
屏幕锁定类勒索软件
该类勒索软件对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,导致用户无法登录和使用设备,或伪装成系统出现蓝屏错误等, 进而勒索赎金,但该类勒索软件未对用户数据进行加密,具备数据恢复的可能。例如,WinLock 勒索软件通过禁用Windows系统关键组件,锁定用户设备屏幕,要求用户通过短信付费的方式支付勒索赎金。
勒索软件典型传播方式
利用安全漏洞传播
攻击者利用弱口令、远程代码执行等网络产品安全漏洞,攻击入侵用户内部网络,获取管理员权限,进而主动传播勒索软件。目前,攻击者通常利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并部署勒索软件,实施勒索行为。
利用钓鱼邮件传播
攻击者将勒索软件内嵌至钓鱼邮 件的文档、图片等附件中,或将勒索软件恶意链接写入钓鱼 邮件正文中,通过网络钓鱼攻击传播勒索软件。一旦用户打开邮件附件,或点击恶意链接,勒索软件将自动加载、安装和运行,实现实施勒索软件攻击的目的。
利用网站挂马传播
攻击者通过网络攻击网站,以在 网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代 码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页面至勒索软件下载链接并执行,进而向用户设备植入勒索软件。
利用移动介质传播
攻击者通过隐藏U 盘、移动硬盘等移动存储介质原有文件,创建与移动存储介质盘符、图标 等相同的快捷方式,一旦用户点击,自动运行勒索软件,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索软件攻击行为。
利用软件供应链传播
攻击者利用软件供应商与软件 用户间的信任关系,通过攻击入侵软件供应商相关服务器设 备,利用软件供应链分发、更新等机制,在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户 网络安全防护机制,传播勒索软件。
利用远程桌面入侵传播
攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索软件。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索软件。
典型勒索软件攻击流程
聚焦勒索软件攻击链,近期勒索软件攻击团伙在成功实施网络攻击入侵的基础上,植入勒索软件并实施勒索行为,其典型攻击流程主要包括探测侦察、攻击入侵、病毒植入、实施勒索4个阶段。
1. 探测侦察阶段
(1)收集基础信息。 攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式,收集攻击目标的网络信息、身 份信息、主
最低0.47元/天 解锁文章
扫一扫
837
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
