一、勒索病毒发展背景
从WannaCry爆发开始,勒索病毒成为了全球最主要网络安全威胁之一。随着勒索病毒产业化日益成熟、技术持续进化,攻击范围从Windows覆盖到全平台的各类设备,主要目标也开始精细化定位企事业组织,而一旦感染勒索病毒,对组织业务和数据的伤害几乎是灾难性的。
二、勒索软件肆虐,勒索永恒
勒索病毒得以大规模爆发的原因一方面是因为勒索模式周期短、收入高,而且勒索技术发展快,勒索实施门槛低,有便捷的加密技术供黑客利用,从而吸引着越来越多的技术人才加入勒索病毒背后的黑客团体。另一方面加密货币、洋葱路由器、动态DNS等技术的发展使得犯罪分子难以追踪,犯罪成本低。同时,勒索即服务的盛行,让人人都能发起一次专业的勒索攻击,从而导致勒索泛滥。到如今,全球勒索病毒感染态势日益严峻,中国部分行业及地区已成为勒索软件肆虐的重灾区。勒索病毒将会是未来几年甚至几十年一个永恒的话题。
三、勒索病毒攻击全流程
知己知彼,百战不殆,要想有效地防护勒索病毒,一定先要深度剖析勒索病毒。在勒索攻击的全流程中,主分为前期的网络攻击渗透阶段和后期的数据加密阶段。
前期网络攻击渗透阶段,勒索病毒会通过捆绑式下载、水坑攻击、钓鱼软件、暴力破解等方式,攻击渗透到内网中。随后通过RDP爆破、office脚本、批处理等方式,进行内网横向渗透,尽可能增加受控设备数量,扩大攻击范围。经过一段时间潜伏,逐渐掌握企业机密文件以及核心业务主机信息之后,通过C&C外联,获取密钥等方式,准备进行勒索加密。
后期数据加密勒索阶段,主要通过读取文件、加密文件以及勒索泄密三个步骤完成。通常采取磁盘读写、映射内存读写,顺序读等方式对重要文件进行读取。选择对称、非对称、两者组合等方式对文件、数据库、系统设备进行恶意加密;由于加密方式难以破解,导致除病毒开发者本人,其他人几乎无法解密。最终攻击者将弹窗勒索,索要比特币等加密货币作为解密赎金进行勒索威胁。
四、勒索变种就是变在网络攻击渗透方式
通过我们对大量的勒索病毒样本分析后发现,目前勒索变种变化最多的是网络攻击渗透方式。从最开始的钓鱼邮件,到webshell,再到智能RDP爆破,勒索病毒均是在网络攻击方式上变化,通过各种迭代升级的技术绕开企业的网络安全防护建设,避免被杀毒和EDR终端安全软件查杀。
攻击渗透方式上的变化:相较于初期勒索病毒采用简单粗暴的RDP爆破、钓鱼邮件等方式进行攻击渗透,目前勒索病毒在攻击渗透方式上多采用漏洞利用、僵尸网络下发等多种攻击方式结合渗透,像Phorpiex 僵尸网络与 GandCrab 勒索病毒/Avaddon 勒索病毒的结合、Trickbot 和 Ryuk 勒索病毒的结合等等。在攻击渗透方式上也从之前的泛攻击转向更有针对性的APT攻击,攻击方式不断升级,传统防护愈加艰难。
横向蔓延方式上的变化:相较于初期勒索病毒仅能在同平台传播蔓延(例如PC只能感染PC、Linux只能感染Linux),目前勒索病毒已经衍生出针对不同操作系统平台传播蔓延的方式,例如一款名为 Lucky 的跨平台勒索病毒,可以利用 Tomcat 漏洞针对 Linux 和 Windows 系统进行无差别攻击;之前在Windows操作系统泛滥的REvil 勒索病毒,新增了Linux 版本,也可针对 Vmware ESXi 平台进行攻击;甚至有的勒索变种可以针对物联网平台进行传播,这更加导致传统勒索病毒防护攻防对抗的失衡。
潜伏C&C外联方式上的变化:相较于传统的shell直连方式进行C&C外联通信,目前勒索病毒已经发展到使用DGA随机域名生成算法、隐藏到SSH隧道中、Fast-flux && Double-flux && Triple-flux等等多种方式,外联通信更加隐秘。由于隐藏在正常访问流量中,通过网络安全的检测很难分辨出恶意的C&C外联行为。
总之,勒索病毒三十余年的发展历史一直是在攻击渗透方式、横线蔓延方式、潜伏C&C外联方式上进行演进变化,这也是导致网络安全防护愈加困难,勒索病毒防不胜防的最主要的原因。
五、总结与反思
勒索病毒攻击中,安全攻防是一场没有尽头的战争,而勒索病毒攻击则是战场上烧不尽的“野火”,通过深度剖析勒索病毒的攻击全流程,发现了勒索变种就是在网络攻击渗透方式上进行变化,这不仅让我们反思:勒索病毒为什么防不胜防?勒索病毒有没有不变的特征?有没有针对勒索病毒不变特征的防护措施呢?
扫一扫
33万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
