第一階段:萌芽期
AIDS trojan是世界上第一個被載入史冊的勒索病毒,從而開啟了勒索病毒的時代���?��!?989年,2萬張感染了“AIDSTrojan”病毒的軟盤被分發(fā)給國際衛(wèi)生組織國際艾滋病大會的與會者,導致大量文件被加密���。早期的勒索病毒主要通過釣魚郵件,掛馬���,社交網(wǎng)絡方式傳播���,使用轉賬等方式支付贖金,其攻擊范疇和持續(xù)攻擊能力相對有限����,相對容易追查。
第二階段:成型期
2013下半年開始��,是現(xiàn)代勒索病毒正式成型的時期���。勒索病毒使用AES和RSA對特定文件類型進行加密��,使破解幾乎不可能�。同時要求用戶使用虛擬貨幣支付�,以防其交易過程被跟蹤。這個時期典型的勒索病毒有CryptoLocker�����,CTBLocker等。大多數(shù)情況下����,這些惡意軟件本身并不具有主動擴散的能力。
第三階段
自2016年開始���,然而隨著漏洞利用工具包的流行���,尤其是“The ShadowBrokers” (影子經紀人)公布方程式黑客組織的工具后,其中的漏洞攻擊工具被黑客廣泛應用�。勒索病毒也借此廣泛傳播。典型的例子����,就是WannaCry勒索蠕蟲病毒的大發(fā)作,兩年前的這起遍布全球的病毒大破壞��,是破壞性病毒和蠕蟲傳播的聯(lián)合行動����,其目的不在于勒索錢財����,而是制造影響全球的大規(guī)模破壞行動�。在此階段�,勒索病毒已呈現(xiàn)產業(yè)化、家族化持續(xù)運營����。在整個鏈條中,各環(huán)節(jié)分工明確��,完整的一次勒索攻擊流程可能涉及勒索病毒作者��,勒索實施者�����,傳播渠道商�����,代理�。
第四階段
自2018年開始,常規(guī)的勒索木馬技術日益成熟�。已將攻擊目標從最初的大面積撒網(wǎng)無差別攻擊,轉向精準攻擊高價值目標����。比如直接攻擊醫(yī)療行業(yè)�����,企事業(yè)單位��、政府機關服務器��,包括制造業(yè)在內的傳統(tǒng)企業(yè)面臨著日益嚴峻的安全形勢�����。
編程人群基數(shù)的迅速增加����,越來越多基于腳本語言開發(fā)出的勒索病毒開始涌現(xiàn)��,意味著將有更多的黑產人群進入勒索產業(yè)這個領域��,也意味著該病毒將持續(xù)發(fā)展泛濫�����。
勒索病毒攻擊原理分析
攻擊者通過攻陷企業(yè)郵件服務器,向企業(yè)內部所有用戶發(fā)送釣魚郵件(偽裝成office圖標的exe程序�,帶病毒的文檔�、播放器等)。用戶無意中打開釣魚郵件中的文件導致被勒索����。
攻擊者通過爆破等方式獲取企業(yè)內部人員vpn賬號,在企業(yè)內網(wǎng)進行系統(tǒng)漏洞/弱口令掃描�����,一旦用戶主機未做好必要防護便會被勒索�。
攻擊者通過業(yè)務系統(tǒng)/服務器漏洞攻陷Web服務器,對其進行加密并勒索����。
攻擊者通過攻陷業(yè)務系統(tǒng),獲取相應數(shù)據(jù)庫信息��,在內網(wǎng)進行數(shù)據(jù)庫漏洞/弱口令掃描�,一旦數(shù)據(jù)庫未做好必要防護便會被勒索。
Wanna Cry攻擊原理:
mssecsvc2.0——服務函數(shù)中執(zhí)行感染功能�,對網(wǎng)絡中的計算機進行掃描,利用MS17-010漏洞和DOUBLEPULSAR后門���,傳播勒索病毒惡意樣本����。taskche.exe——設置對應的注冊表項實現(xiàn)開機自啟動。執(zhí)行勒索軟件加密行為����。遍歷目錄,如Program Files�����,Windows
(3)文件加解密(簡化版)——非對稱加密
常見勒索方式演示
流程:攻擊者通過ms17-010漏洞直接拿到目標主機系統(tǒng)權限��,上傳病毒程序并運行��,使目標主機被加密���。
主機:Windows 7 安裝了帶勒索病毒的數(shù)據(jù)庫連接軟件plsql
流程:使用者使用帶病毒的數(shù)據(jù)庫連接軟件連接數(shù)據(jù)庫服務器��,導致服務器被加密�����。
業(yè)務系統(tǒng):某OA系統(tǒng)流程:使用者通過文件上傳等漏洞將WebShell上傳至業(yè)務系統(tǒng)����,獲取服務器系統(tǒng)權限,通過蟻劍連接數(shù)據(jù)庫并執(zhí)行相關加密代碼對數(shù)據(jù)庫信息進行加密�����。
勒索防護
組織層面:
1.對于計算機網(wǎng)絡而言���,我們要對網(wǎng)絡進行分層分域管理,比如根據(jù)不同的職能和部門劃分安全域�,對于各區(qū)域邊界進行嚴格的出入控制。在等保2.0中叫安全邊界管理���。
2.對于網(wǎng)絡和主機����,都要有嚴格的準入控制系統(tǒng)����,不在白名單內的用戶和主機不允許接入網(wǎng)絡,不在白名單內的進程和程序不允許運行��。發(fā)現(xiàn)可疑主機要及時隔離處理���,發(fā)現(xiàn)可疑進程馬上啟動相應的應急處理機制�。3.一旦發(fā)現(xiàn)感染病毒,不要急于格式化重裝系統(tǒng)��,一定要先進行取證溯源�����,分析攻擊流程��,尋找攻擊者以及可能的被感染者�,防止病毒二次傳播。這個過程是一個很重要但也很難的過程���,很多黑客攻擊也并不是直接入侵的��,而是通過一些僵尸主機或者跳板進行����。而且攻擊后并不會只攻擊一臺�,往往是同時攻下了好多臺電腦,只不過只在其中一臺或幾臺實施了破壞���,其它沒有被破壞不代表就是安全的�����。通過追溯就能發(fā)現(xiàn)其他被攻擊的電腦有哪些�。4. 加強宣傳,通過相應的網(wǎng)絡安全講座���,讓大家意識到網(wǎng)絡安全的重要性�����,提高安全意識,增強基本的安全技能�����,養(yǎng)成良好的安全習慣��。這樣才能有效降低被病毒感染的風險��。
1����、 沒有必要不要訪問外網(wǎng),尤其是一些非正規(guī)網(wǎng)站�,減少文件和目錄共享����。
2����、 使用U盤、打開郵件附件都要先掃描病毒再打開���。
3�����、 不要下載和使用盜版軟件以及來路不明的軟件�����。
4�、 及時為系統(tǒng)/數(shù)據(jù)庫安裝安全更新��,安裝個人防火墻�,對進出流量進行控制。
5���、 對于電腦端口加強防范�,使用主機防火墻關閉不必要的端口。
6��、 發(fā)現(xiàn)問題要及時反饋給信息中心���,不要自行處理����。
7�����、 了解必要的病毒知識��。
8����、 要有安全意識�,人是網(wǎng)絡安全中最重要也是最薄弱的環(huán)節(jié)。
結合我們的產品