一、勒索变种肆虐全球
随着勒索软件即服务“RaaS”的出现,勒索产业化逐渐成熟,专业化的分工也让大量黑客投入到勒索病毒的制作研发中,包括LockBit、BlueSky、Deno、RedAlert、Hive 和 Again 等勒索家族变种频出,这也是导致勒索变种肆虐全球的重要原因。根据NCC Group的最新数据表明,仅今年第一季度,勒索软件攻击数量就激增288%。
二、勒索病毒攻击全流程
知己知彼,百战不殆,要想有效地防护勒索病毒,一定先要深度剖析勒索病毒。在勒索攻击的全流程中,主分为前期的网络攻击渗透阶段和后期的数据加密阶段。
前期网络攻击渗透阶段,勒索病毒会通过捆绑式下载、水坑攻击、钓鱼软件、暴力破解等方式,攻击渗透到内网中。随后通过RDP爆破、office脚本、批处理等方式,进行内网横向渗透,尽可能增加受控设备数量,扩大攻击范围。经过一段时间潜伏,逐渐掌握企业机密文件以及核心业务主机信息之后,通过C&C外联,获取密钥等方式,准备进行勒索加密。
后期数据加密勒索阶段,主要通过读取文件、加密文件以及勒索泄密三个步骤完成。通常采取磁盘读写、映射内存读写,顺序读等方式对重要文件进行读取。选择对称、非对称、两者组合等方式对文件、数据库、系统设备进行恶意加密;由于加密方式难以破解,导致除病毒开发者本人,其他人几乎无法解密。最终攻击者将弹窗勒索,索要比特币等加密货币作为解密赎金进行勒索威胁。
三、勒索变种永恒不变就是在数据读取加密阶段
通过我司对大量的病毒样本分析后发现,目前市面上勒索变种变化最多的是网络攻击渗透方式,但是勒索变种永恒不变的是在数据读取加密阶段,所有勒索病毒的加密过程永远是读,加密,写这三个步骤。在数据读取加密阶段,勒索病毒第一步是从磁盘中将文件读出,然后通过非对称加密算法或者对称加密算法的方式对文件进行加密,再通过写新文件或者写原文件的方式进行勒索威胁,并以此要挟受害者支付赎金。
永恒不变第一步:读
无论什么家族的勒索病毒对文件加密勒索的时候,第一步是先要将文件读出来。一般先通过磁盘遍历,寻找主机中高价值数据文件,例如Word、Excel、PPT、文档、图片、压缩包、数据库、源码等,或者通过顺序读、随机读等方式,读取主机中的文件内容。
永恒不变第二步:加密
读取文件之后,勒索病毒第二步是对读取的文件进行加密。勒索病毒通常采用对称加密技术和非对称加密技术相结合的方式来实现对用户文件加密和解密密钥的保管,目前最流行的方式是将AES与RSA算法相结合。AES是加密过程中的第一把锁,用作对计算机文件进行“绑架”加密;RSA算法则通过生成两个极大素数,对明文或密文使用“公钥”或“私钥”分块进行幂运算和取模运算,以完成加密过程中的第二把锁。
永恒不变第三步:写
文件加密之后,勒索病毒第三步是对加密的文件进行写入。加密之后的写入有两种方式,一种是写原文件后直接保存;另外一种是写新文件后,将原来的文件删除,留下加密的文件。在确保受害者内网大部分文件都被加密后,随后勒索病毒进行弹窗勒索
四、总结与反思
面对勒索变种肆虐全球的趋势,我司深度剖析勒索病毒的攻击全流程,发现了勒索变种就是在网络攻击渗透方式上进行变化,勒索变种永恒不变的永远是数据读取加密阶段。这不仅让我们反思:勒索病毒现有防护体系是什么样子?现有防护体系是针对勒索病毒变的特征进行防护的吗?有针对勒索不变特征的防护措施吗?
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
