Ransomware 与 Ransomware的演变
近年来,独特的恶意软件(即勒索软件)所涉及的事件数量急剧增长。这种臭名昭著的恶意软件不仅针对普通终端用户,而且几乎所有政府的部门和商业组织都难以幸免。
许多攻击事件包括财富500强公司、银行、云提供商、芯片制造商、邮轮运营商、威胁监控服务、政府、医疗中心和医院、学校、大学,甚至警察部门。
勒索软件是恶意软件的一个子集,旨在限制对系统或数据的访问,直到满足攻击者请求的赎金数额。尽管第一个勒索软件出现于1989年,并断断续续存在了30多年,但它自2005年以来一直是最臭名昭著的网络安全威胁之一。
网络犯罪分子已经完善了勒索软件攻击组件(例如,更强的加密技术、伪匿名支付方法、类似蠕虫的功能等),甚至通过学习过去的经验和技术的进步,开始提供勒索软件即服务(RaaS)。RaaS旨在提供用户友好、易于修改的勒索软件套件,任何人都可以在地下市场购买到这些套件。这是勒索软件演变的重要一步,因为它可以很容易地重新打包以感染任何平台,使其成为平台无关的。RaaS使世界各地的勒索软件攻击数量升级。
勒索软件的攻击阶段可以概括为以下几个阶段:
感染:在此阶段,勒索软件被传送到受害者系统(例如,PC/工作站、移动设备、IoT/CPS设备等)。恶意攻击者利用多种感染媒介来实现勒索软件的传输。
与C&C服务器通信:感染后,勒索软件连接到命令与控制(C&C)服务器,与攻击者交换关键信息(即加密密钥、目标系统信息)。虽然有几种勒索软件可以与C&C服务器通信,但也有一些勒索软件不执行任何通信。
破坏:在这个阶段,勒索软件会执行实际的恶意操作,例如加密文件或锁定系统,以阻止受害者访问他/她的文件或系统。
勒索:最后,勒索软件通过显示勒索说明告知受害者攻击。勒索信披露了攻击详情和支付说明。
勒索软件的演变:
从2015年开始,勒索软件开始针对其他操作系统。2015年,Linux.Encoder 作为第一个针对 GNU/Linux 平台的勒索软件出现。它加密了主目录和与网站管理相关的目录。第二年,第一款 macOS 勒索软件 KeRanger 被签名为有效的 Mac 应用开发证书,以绕过苹果的保护机制。Linux.Enconder 和 KeRanger 都使用了混合加密。
从勒索软件的演变可以看出,这种臭名昭著的威胁在1989年开始是一种弱威胁,缺乏强大而快速的加密技术、多样的感染媒介、(伪)匿名支付方式和广泛的攻击目标。然而,随着技术的发展,勒索软件作者从之前不成功的尝试和技术进步中吸取了教训,从而使勒索软件成为头号网络威胁。这种演变不仅对最终用户产生了影响,而且对组织、企业和关键基础设施也产生了影响。虽然安全研究人员有可能在第一批(不成功)勒索软件攻击后成功恢复文件/系统,但目前,在没有赎金支付或恢复可用备份的情况下,几乎不可能恢复文件/系统。成功的勒索软件攻击不仅会使目标损失金钱和时间,还会损害声誉。随着勒索软件从平台依赖型向平台独立型发展,从简单的勒索软件发展到成熟的RaaS模型,它正变得越来越流行,几乎威胁到每一个计算机化系统/目标。
Ransomware的分类
按目标分类:
受害者。勒索软件的受害者可以分为两类:最终用户和组织
最终用户是第一批勒索软件系列的主要目标。缺乏安全意识和技术援助使得勒索软件对最终用户尤其有效。最初,组织并不是勒索软件的主要目标。然而,随着勒索软件的演变,政府、医院、企业和学校等多种类型的组织频繁成为攻击目标。在这些攻击中,网络犯罪分子会提前选择目标,并试图造成最大程度的破坏,以希望支付大笔赎金
目标平台
了解勒索软件行为的另一个重要点是目标平台。勒索软件针对各种平台。大多数时候,它是专门为平台和目标操作系统设计的,因为它经常利用系统特定的库/函数(即系统调用)来执行其恶意操作。
勒索软件最常见的目标是 PC/workstation。由于在用户中很受欢迎,大多数勒索软件的目标是装有Windows操作系统的PC和workstation。此外,还有一系列的勒索软件以其他操作系统为目标,例如适用于 macOS 的KeRanger 和适用于 GNU/Linux 平台的 LinuxEncoder。受害者可以通过重新安装操作系统来抵御屏幕锁勒索软件攻击。另一方面,关于加密勒索软件,由于高级加密技术的利用,解密和恢复文件几乎是不可能的。因此,加密勒索软件家族是PC/workstation的主要威胁。
按感染媒介分类:
勒索软件作者使用传统恶意软件所使用的感染技术来感染其目标。勒索软件的感染方法可分为以下五类:
恶意电子邮件、短信或即时消息(IM)、恶意应用程序、下载和漏洞。
恶意电子邮件是勒索软件最常用的感染媒介。攻击者向受害者发送垃圾邮件,这些邮件的附件包含勒索软件。此类垃圾邮件活动可以使用僵尸网络进行分发。勒索软件可能附带一个附加的恶意文件,或者电子邮件可能包含一个恶意链接,一旦访问就会触发勒索软件的安装(即下载)。
受害者平台中的漏洞,如操作系统、浏览器或软件中的漏洞,可以被勒索软件作者用作感染载体。攻击者可以使用辅助应用程序、漏洞利用工具包来利用目标系统中的已知漏洞或零日漏洞。攻击者可以通过恶意广告和恶意链接将受害者重定向到这些工具包。
按 C&C(comand-and-control )通信分类:
命令和控制(C&C)服务器是攻击者域中的远程服务器。攻击者经常使用C&C服务器来通信和配置恶意软件。在勒索软件的上下文中,C&C 服务器主要被加密勒索软件家族使用,用于发送或接收用于加密受害者的文件或应用程序的加密密钥。勒索软件家族大多使用 HTTP 或 HTTPS 协议来实现此目的。勒索软件可以通过硬编码的IP地址或域连接到 C&C 服务器,或者使用域生成算法(DGA)动态快速/生成/转换域名。
硬编码的IP/域:勒索软件系列可以将硬编码的IP地址或域嵌入到其二进制文件中,以建立与C&C服务器的连接。在这种方法中,IP地址或域对于每次攻击都保持不变,并为攻击者提供了可靠的通信。但是,防御系统可以使用这些硬编码值来创建用于检测的签名。
动态域:域生成算法(DGA)被勒索软件系列使用,以便动态地联系 C&C 服务器。这些算法通过快速流动,生成,转换域名,为每次通信提供一个唯一的域名给服务器。这种形式的通信可以使勒索软件的通信更加可靠,防火墙不容易检测
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
