第一階段:萌芽期
AIDS trojan是世界上第一個被(bèi)載入史冊的勒索病毒,從而開(kāi)啓了勒索病毒的時代。——1989年,2萬張感染了“AIDSTrojan”病毒的軟盤被(bèi)分發(fā)給國(guó)際衛生組織國(guó)際艾滋病大會(huì)的與會(huì)者,導緻大量文件被(bèi)加密。早期的勒索病毒主要通過(guò)釣魚郵件,挂馬,社交網絡方式傳播,使用轉賬等方式支付贖金,其攻擊範疇和持續攻擊能(néng)力相對(duì)有限,相對(duì)容易追查。
第二階段:成(chéng)型期
2013下半年開(kāi)始,是現代勒索病毒正式成(chéng)型的時期。勒索病毒使用AES和RSA對(duì)特定文件類型進(jìn)行加密,使破解幾乎不可能(néng)。同時要求用戶使用虛拟貨币支付,以防其交易過(guò)程被(bèi)跟蹤。這(zhè)個時期典型的勒索病毒有CryptoLocker,CTBLocker等。大多數情況下,這(zhè)些惡意軟件本身并不具有主動擴散的能(néng)力。
第三階段
自2016年開(kāi)始,然而随著(zhe)漏洞利用工具包的流行,尤其是“The ShadowBrokers” (影子經(jīng)紀人)公布方程式黑客組織的工具後(hòu),其中的漏洞攻擊工具被(bèi)黑客廣泛應用。勒索病毒也借此廣泛傳播。典型的例子,就(jiù)是WannaCry勒索蠕蟲病毒的大發(fā)作,兩(liǎng)年前的這(zhè)起(qǐ)遍布全球的病毒大破壞,是破壞性病毒和蠕蟲傳播的聯合行動,其目的不在于勒索錢财,而是制造影響全球的大規模破壞行動。在此階段,勒索病毒已呈現産業化、家族化持續運營。在整個鏈條中,各環節分工明确,完整的一次勒索攻擊流程可能(néng)涉及勒索病毒作者,勒索實施者,傳播渠道(dào)商,代理。
第四階段
自2018年開(kāi)始,常規的勒索木馬技術日益成(chéng)熟。已將(jiāng)攻擊目标從最初的大面(miàn)積撒網無差别攻擊,轉向(xiàng)精準攻擊高價值目标。比如直接攻擊醫療行業,企事(shì)業單位、政府機關服務器,包括制造業在内的傳統企業面(miàn)臨著(zhe)日益嚴峻的安全形勢。
編程人群基數的迅速增加,越來越多基于腳本語言開(kāi)發(fā)出的勒索病毒開(kāi)始湧現,意味著(zhe)將(jiāng)有更多的黑産人群進(jìn)入勒索産業這(zhè)個領域,也意味著(zhe)該病毒將(jiāng)持續發(fā)展泛濫。
勒索病毒攻擊原理分析
攻擊者通過(guò)攻陷企業郵件服務器,向(xiàng)企業内部所有用戶發(fā)送釣魚郵件(僞裝成(chéng)office圖标的exe程序,帶病毒的文檔、播放器等)。用戶無意中打開(kāi)釣魚郵件中的文件導緻被(bèi)勒索。
攻擊者通過(guò)爆破等方式獲取企業内部人員vpn賬号,在企業内網進(jìn)行系統漏洞/弱口令掃描,一旦用戶主機未做好(hǎo)必要防護便會(huì)被(bèi)勒索。
攻擊者通過(guò)業務系統/服務器漏洞攻陷Web服務器,對(duì)其進(jìn)行加密并勒索。
攻擊者通過(guò)攻陷業務系統,獲取相應數據庫信息,在内網進(jìn)行數據庫漏洞/弱口令掃描,一旦數據庫未做好(hǎo)必要防護便會(huì)被(bèi)勒索。
Wanna Cry攻擊原理:
mssecsvc2.0——服務函數中執行感染功能(néng),對(duì)網絡中的計算機進(jìn)行掃描,利用MS17-010漏洞和DOUBLEPULSAR後(hòu)門,傳播勒索病毒惡意樣(yàng)本。taskche.exe——設置對(duì)應的注冊表項實現開(kāi)機自啓動。執行勒索軟件加密行爲。遍曆目錄,如Program Files,Windows
(3)文件加解密(簡化版)——非對(duì)稱加密
常見勒索方式演示
流程:攻擊者通過(guò)ms17-010漏洞直接拿到目标主機系統權限,上傳病毒程序并運行,使目标主機被(bèi)加密。
主機:Windows 7 安裝了帶勒索病毒的數據庫連接軟件plsql
流程:使用者使用帶病毒的數據庫連接軟件連接數據庫服務器,導緻服務器被(bèi)加密。
流程:使用者通過(guò)文件上傳等漏洞將(jiāng)WebShell上傳至業務系統,獲取服務器系統權限,通過(guò)蟻劍連接數據庫并執行相關加密代碼對(duì)數據庫信息進(jìn)行加密。
勒索防護
組織層面(miàn):
1.對(duì)于計算機網絡而言,我們要對(duì)網絡進(jìn)行分層分域管理,比如根據不同的職能(néng)和部門劃分安全域,對(duì)于各區域邊界進(jìn)行嚴格的出入控制。在等保2.0中叫(jiào)安全邊界管理。
2.對(duì)于網絡和主機,都(dōu)要有嚴格的準入控制系統,不在白名單内的用戶和主機不允許接入網絡,不在白名單内的進(jìn)程和程序不允許運行。發(fā)現可疑主機要及時隔離處理,發(fā)現可疑進(jìn)程馬上啓動相應的應急處理機制。3.一旦發(fā)現感染病毒,不要急于格式化重裝系統,一定要先進(jìn)行取證溯源,分析攻擊流程,尋找攻擊者以及可能(néng)的被(bèi)感染者,防止病毒二次傳播。這(zhè)個過(guò)程是一個很重要但也很難的過(guò)程,很多黑客攻擊也并不是直接入侵的,而是通過(guò)一些僵屍主機或者跳闆進(jìn)行。而且攻擊後(hòu)并不會(huì)隻攻擊一台,往往是同時攻下了好(hǎo)多台電腦,隻不過(guò)隻在其中一台或幾台實施了破壞,其它沒(méi)有被(bèi)破壞不代表就(jiù)是安全的。通過(guò)追溯就(jiù)能(néng)發(fā)現其他被(bèi)攻擊的電腦有哪些。4. 加強宣傳,通過(guò)相應的網絡安全講座,讓大家意識到網絡安全的重要性,提高安全意識,增強基本的安全技能(néng),養成(chéng)良好(hǎo)的安全習慣。這(zhè)樣(yàng)才能(néng)有效降低被(bèi)病毒感染的風險。
1、 沒(méi)有必要不要訪問外網,尤其是一些非正規網站,減少文件和目錄共享。
2、 使用U盤、打開(kāi)郵件附件都(dōu)要先掃描病毒再打開(kāi)。
3、 不要下載和使用盜版軟件以及來路不明的軟件。
4、 及時爲系統/數據庫安裝安全更新,安裝個人防火牆,對(duì)進(jìn)出流量進(jìn)行控制。
5、 對(duì)于電腦端口加強防範,使用主機防火牆關閉不必要的端口。
6、 發(fā)現問題要及時反饋給信息中心,不要自行處理。
7、 了解必要的病毒知識。
8、 要有安全意識,人是網絡安全中最重要也是最薄弱的環節。
結合我們的産品