勒索软件近年来一直是黑客组织牟取暴利的绝佳手段,也是发展最快的网络安全威胁之一。之前Wannacry、NotPeya全球肆掠、攻城掠地的景象,尚未完全消除。如今勒索软件攻击目标多元化、攻击手段复杂化、解密数据难度大、危害影响难估量等,被称为安全业界最头疼的软件,也成为政府、企业、个人最为关注的安全风险之一,它几乎成为与APT齐名的攻击类型。破财消灾,几乎成了多数被勒索者不得已而为之的选择。根据COVEWARE公司的报告,2020年一季度,企业平均赎金支付增加至111,605美元,比2019年第四季度增长了33%。目前勒索软件主要的攻击传播方式仍然以RDP(远程桌面服务)和钓鱼邮件为主。因为其变现方式更为粗暴直接,正被越来越多的网络“灰黑”产采用。品尝过“勒索”带来的巨大且轻而易举的利益后,勒索软件的演变与发展更加迅猛异常。
天地和兴总结梳理的上半年工业企业10起典型攻击事件中,有7起是勒索攻击。2月,勒索攻击殃及美国天然气管道公司,CISA未透露勒索软件名称。勒索软件Nefilim攻击澳大利亚Toll集团;3月,勒索软件Ryuk攻击钢铁制造商EVRAZ公司及其北美分支机构,包括加拿大和美国的钢铁生产厂;4月,Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP(Energias de Portugal),并且索要1580个比特币赎金(折合约1090万美元/990万欧元);5月,勒索软件Nefilim袭击了台湾石油、汽油和天然气公司CPC公司及其竞争对手台塑石化公司(FPCC)。另有未透露名称的勒索软件攻击了瑞士铁路机车制造商Stadler;6月,勒索软件EKANS/Snake攻击了本田汽车制造商。
天地和兴工业网络安全研究院对所监测到的众多勒索软件攻击事件进行梳理,注意到勒索攻击的目标正向石油、天燃气、能源、制造等关键基础设施行业发展。本文筛选10个典型的、比较活跃的勒索软件,通过简要分析其攻击的目标、路径、手段及主要特征,以此警示关键信息基础设施利益相关方,警钟常鸣,防患未然。
典型勒索软件
1、勒索软件Maze
Maze勒索软件是ChaCha的一个变种,最早出现于2019年5月。最初,Maze是使用如Fallout EK和Spelevo EK之类的漏洞利用工具包通过网站进行传播,该工具包利用Flash Player漏洞。后续Maze勒索软件增加了利用Windows VBScript Engine远程代码执行漏洞等能力。
Maze(迷宫)通过大量混淆代码来对抗静态分析,使用ChaCha20和RSA两种算法加密文件,被加密的文档在未得到密钥时暂无法解密。加密完成后对文件添加随机扩展后缀,并留下名为DECRYPT-FILES.html的勒索说明文档,并修改桌面壁纸。值得一提的是,该病毒声称,解密赎金额度取决于被感染电脑的重要程度,包括个人电脑、办公电脑、服务器,这意味着高价值目标受攻击后解密付出的代价也会相应的更高。
2、勒索软件Ryuk
Ryuk勒索病毒最早于2018年8月被首次发现,它是由俄罗斯黑客团伙GrimSpider幕后操作运营。GrimSpider是一个网络犯罪集团,使用Ryuk勒索软件对大型企业及组织进行针对性攻击。Ryuk勒索软件主要是通过网络攻击手段利用其他恶意软件如Emotet或TrickBot等银行木马进行传播,因为TrickBot银行木马传播渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER,GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一。Emotet和TrickBot银行木马主要用于盗取受害者银行网站登录凭据,同时充当下载器功能,提供下载其它勒索病毒服务。这款勒索病在国外比较流行,主要针对一些大型企业进行定向攻击勒索。Ryuk特别狡诈的一个功能是可以禁用被感染电脑上的Windows系统还原Windows System Restore选项,令受害者更难以在不支付赎金的情况下找回被加密的数据。鉴于攻击者针对的是高价值受害者,赎金目标也转为大型企业。
安全分析师认为,Ryuk源代码很大程度上出自朝鲜Lazarus黑客团伙的Hermes恶意软件。但这并不表明Ryuk攻击本身是朝鲜发起的,迈克菲认为其代码基础由俄语区供应商提供,因为该勒索软件不会在系统语言设置为俄语、白俄罗斯语和乌克兰语的计算机上执行。
3、勒索软件Sodinokibi/ REvil
Sodinokibi勒索病毒(也称REvil),2019年5月24日首次在意大利被发现。在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在短短几个月的时间内,已经在全球大范围传播,这款勒索病毒与GandCrab勒索软件存在很多关联,Sodinokibi勒索病毒是一种勒索即服务(RAAS)的模式进行分发和营销的,并采用了一些免杀技术避免安全软件检测。主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包以及攻击一些托管服务提供商MSP等方式发起攻击,这款勒索病毒最新的版本为2.2,增加了自启动注册表项等,同时还发现一批最新的采用PowerShell脚本进行无文件攻击的变种样本。
该勒索软件最特别的一点就是,不仅告诉人们“不付赎金就拿不回数据”,还会威胁称“将在网上公开或在地下论坛竞拍这些机密数据”。这种新的勒索方式将此商业模式推升到了新的高度。高针对性、强定制化的勒索软件新时代似乎正走向危险新深渊。
4、勒索软件DoppelPaymer
DoppelPaymer代表了勒索软件攻击的新趋势—勒索文件加密和数据窃取双管齐下。根据安全研究人员的说法,此类恶意软件首先会窃取数据,然后向受害者发送赎金勒索消息,而不是像传统勒索软件一样就地加密锁死数据。2019年中期以来一直活跃,今年3月美国精密零件制造商Visser遭此勒索软件攻击,意外泄漏特斯拉、波音、SpaceX等公司有关的敏感文件。DoppelPaymer 勒索软件最早于2019年6月被发现,主要通过RDP暴力破解和垃圾邮件进行传播,邮件附件中带有一个自解压文件,运行后释放勒索软件程序并执行。公开资料显示,DoppelPaymer是BitPaymer 勒索软件的一类新变种。DoppelPaymer至少有8种变体,它们逐渐扩展各自的特征集。
自解压文件运行后在%Users%目录下创建gratemin文件夹,释放名为p1q135no. exe的勒索软件程序并执行,加密文件后,在原文件名后追加名为“.locked”的后缀,并在每个被加密文件的目录中创建名为原文件名后追加“.readme2unlock.txt”格式的勒索信,勒索信中包含勒索说明、TOR下载地址、支付地址、DATA 数据信息和邮箱联系方式等。DoppelPaymer勒索软件变种使用“RSA+AES”算法加密文件,利用多线程快速加密文件,使用命令ARP–A以解析受害系统的地址解析协议(ARP)表,具体操作为删除卷影副本、禁用修复、删除本地计算机的备份目录等。目前被加密的文件在未得到密钥前暂时无法解密。
5、勒索软件NetWalker
NetWalker(又名Mailto)勒索软件最早于2019年8月首次发现,Mailto是基于加密文件名格式的勒索软件的名称,Netwalker是基于勒索软件的勒索信内容给出的名称,目前针对的目标是企业和政府机构,近期开始活跃。Netwalker活动背后的攻击者使用常见的实用程序、开发后工具包和living-off-The-land,LOTL策略来探索一个受到破坏的环境,并尽可能多地获取数据。这些工具可以包括mimikatz(及其变体)、各种PSTools、AnyDesk、TeamViewer、NLBrute等。勒索软件利用PowerShell编写,直接在内存中执行,没有将实际的勒索软件二进制文件存储到磁盘中。恶意软件利用了反射动态链接库(DLL)注入的技术,也称reflective DLL加载,可以从内存注入DLL,不需要实际DLL文件,也不需要任何Windows加载程序即可注入。这让此勒索病毒成为了无档案病毒(fileless malware),能够保持持续性,并利用系统内的工具来进行攻击而不被侦测到和杀软查杀。
在加密完成后,进程退出前最后会弹出勒索信,勒索提示信息文件[加密后缀]-Readme.txt,加密后的文件后缀名为随机字符串。
6、勒索软件CLOP
Clop勒索软件于2019年2月出现在公众视野中,Clop背后团队的主要目标是加密企业的文件,收到赎金后再发送解密器。目前Clop仍处于快速发展阶段。该恶意软件暂无有效的解密工具,致受害企业大量数据被加密而损失严重。
与其他勒索病毒不同的是,Clop勒索软件部分情况下携带了有效的数字签名,数字签名滥用和冒用在以往情况下多数发生在流氓软件和窃密类木马程序中。勒索软件携带有效签名的情况极为少见,这意味着该软件在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,造成无法逆转的损失。
Clop勒索软件通过多种途径感染受害者的计算机设备。主感染文件会利用随机脚本提取恶意可执行文件,恶意Java脚本被设置为通过诱使受害者访问或被重定向至恶意站点将恶意可执行文件下载并安装至受害者计算机上。另一种分发传播Clop勒索软件的途径是利用插入到文档中的恶意宏代码。这些文档常以垃圾邮件附件的形式发送给受害者。
此恶意软件旨在通过附加“.Clop ”扩展名来加密受害计算机上的数据并重命名每个文件。例如,“sample.jpg”被重命名为“sample.jpg.Clop”。成功加密后,Clop会生成一个文本文件“ClopReadMe.txt”并在每个现有文件夹中放置一个副本,文本文件包含赎金通知消息。
7、勒索软件EKANS
EKANS勒索软件(也称Snake),于2020年1月首次被发现,是一种新的勒索软件,专门针对工业控制系统。EKANS代码中包含一系列特定用于工业控制系统功能相关的命令与过程,可导致与工业控制操作相关的诸多流程应用程序停滞。EKANS勒索软件是用Golang编写的,将整个网络作为目标,并且存在大量混淆。其中,包含了一种常规混淆,这种混淆在以前并不常见,通常是与目标方法结合使用。
EKANS在执行时会删除计算机的卷影副本,还会停止与SCADA系统、虚拟机、工业控制系统、远程管理工具、网络管理软件等相关的众多进程。然后,EKANS还会加密系统上的文件,从而跳过Windows系统文件和文件夹。在文件扩展名后面还会附加一个勒索5字符字符串(即名为invoice.doc的文件被加密并重命名为invoice.docIksrt)。该恶意软件在每个加密文件后附加了“EKANS”文件标记。加密过程完成后,勒索软件将在C:\Users\Public\Desktop文件夹中创建一个勒索记录(名为“Fix Your Files.txt”),其中包含要联系以接收付款指示的电子邮件地址。EKANS目前的主要感染媒介似乎是钓鱼附件。
8、勒索软件Nefilim
Nefilim出现于2020年3月,可能是通过公开的RDP(远程桌面服务)进行分发。Nefilim与Nemty共享许多相同的代码,主要的不同之处在于,Nefilim移除了勒索软件即服务(RaaS)的组件,依靠电子邮件进行支付,而不是Tor支付网站。Nefilim使用AES-128加密文件,每个加密的文件都将附加.NEFILIM扩展名,加密完成后,调用cmd命令进行自我删除。释放的勒索信中包含不同的联系电子邮件,并且威胁如果在7天内未支付赎金,将会泄漏数据。
从技术上讲,Nefilim目前主要的传播方法是利用易受攻击的RDP服务。一旦攻击者通过RDP进入了网络,他们就会继续建立持久化,在可能的情况下查找和窃取其他凭证,然后将勒索软件的payload传播给潜在目标。
9、勒索软件Ragnar Locker
RagnarLocker勒索软件在2019年12月底首次出现,是一种新的勒索软件,将恶意软件部署为虚拟机(VM),以逃避传统防御。勒索软件的代码较小,在删除其自定义加壳程序后仅有48KB,并且使用高级编程语言(C/C++)进行编码。
RagnarLocke是使用GPO任务执行Microsoft Installer(msiexec.exe),传递参数从远程Web服务器下载并以静默方式安装制作的122 MB未经签名的MSI软件包。MSI软件包包含一个Oracle VirtualBox虚拟机管理程序和一个名为micro.vdi的虚拟磁盘映像文件(VDI),该文件是Windows XP SP3操作系统的精简版本映像。由于vrun.exe勒索软件应用程序在虚拟客户机内部运行,因此其过程和行为可以不受阻碍地运行,物理主机上的安全软件是无能为力的。
RagnarLocker在选择受害者时是很有选择性的。目标往往是公司,而不是个人用户。该恶意软件的目标是对可以加密的所有文件进行加密,并提出勒索,要求用户支付赎金以进行解密。
10、勒索软件PonyFinal
一种新型的人工勒索软件“PonyFinal”,通过手动启动有效载荷来部署攻击。它对目标公司的系统管理服务器使用“暴力手段”,无需依靠诱骗用户通过网络钓鱼链接或电子邮件来启动有效负载。主要针对在COVID-19危机中的医疗卫生机构。
PonyFinal的入侵点通常是公司系统管理服务器上的一个账户,PonyFinal的黑客们使用猜测弱密码的暴力攻击来攻击该帐户。一旦黑客进入内部系统后,他们会部署Visual Basic脚本,该脚本会运行PowerShell反向外壳程序以转储和窃取本地数据。
此外,PonyFinal勒索软件还会部署远程操纵器系统以绕过事件日志记录。一旦PonyFinal的黑客们牢牢地掌握了目标网络,他们便会传播到其他本地系统并部署实际的PonyFinal勒索软件。PonyFinal是用Java语言编写的,攻击者还会将目标锁定在安装了Java Runtime Environment(JRE)的工作站上。攻击者使用从系统管理服务器窃取的信息来锁定已安装JRE的端点。勒索软件是通过包含两个批处理文件的MSI文件交付的,其中包括将由攻击者激活的有效负载。通常会在每个加密文件的末尾会被添加一个“.enc”文件扩展名。而赎金记录通常名为README_files.txt,会包含赎金付款说明的简单文本文件。
思考及建议
2020年,热度飙升的勒索软件已经成为与APT并列的最危险的网络安全威胁。针对性、复杂化和高伤害成本是2020年勒索软件加速“进化”的三大特征。勒索软件不仅数量增幅快,而且危害日益严重,特别是针对关键基础设施和重要信息系统的勒索攻击,影响更为广泛。被勒索机构既有巨额经济损失,又有数据无法恢复甚至被恶意泄露的风险,双重勒索的阴影挥之不去。勒索攻击的危害远不止赎金造成的经济损失,更严重的是会给企业和组织机构带来额外的复杂性,造成数据损毁或遗失、生产力破坏、正常业务中断、企业声誉损害等多方面的损失。比如3月初,美国精密零件制造商Visser Precision遭受勒索软件DoppelPayment攻击,攻击者入侵了Visser的电脑对其文件进行加密,并要求Visser在3月底支付赎金,否则将把机密文件内容公开到网络上。由于没有收到勒索款项,DoppelPaymer在网上公开了关于SpaceX、Lockheed-Martin、特斯拉、波音等公司的机密信息,被泄露的资讯包括Lockheed-Martin设计的军事装备的细节,比如反迫击炮防御系统中的天线规格、账单和付款表格、供应商资讯、数据分析报告以及法律文书等。此外,Visser与特斯拉 SpaceX之间的保密协议也在泄露文件中。
毫无疑问,勒索软件攻击在今后很长一段时间内仍然是政府、企业、个人共同面对的主要安全威胁。勒索软件的攻击方式随着新技术的应用发展不断变化,有针对性的勒索软件事件给不同行业和地区的企业带来了破坏性攻击威胁,勒索攻击产业化、场景多样化、平台多元化的特征会更加突出。在工业企业场景中,勒索软件惯用的攻击向量主要是弱口令、被盗凭据、RDP服务、USB设备、钓鱼邮件等,有效防范勒索软件攻击,仍需要针对性做好基础防御工作,构建和扩张深度防御,从而保障企业数据安全,促进业务良性发展。
1、强化端点防护
及时加固终端、服务器,所有服务器、终端应强行实施复杂口令策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。
2、关闭不需要的端口和服务
严格控制端口管理,尽量关闭不必要的文件共享权限以及关闭不必要的端口(RDP服务的3389端口),同时使用适用的防恶意代码软件进行安全防护。
3、采用多因素认证
利用被盗的员工凭据来进入网络并分发勒索软件是一种常见的攻击方式。这些凭据通常是通过网络钓鱼收集的,或者是从过去的入侵活动中获取的。为了减少攻击的可能性,务必在所有技术解决方案中采用多因素身份验证(MFA)。
4、全面强化资产细粒度访问
增强资产可见性,细化资产访问控制。员工、合作伙伴和客户均遵循身份和访问管理为中心。合理划分安全域,采取必要的微隔离。落实好最小权限原则。
5、深入掌控威胁态势
持续加强威胁监测和检测能力,依托资产可见能力、威胁情报共享和态势感知能力,形成有效的威胁早发现、早隔离、早处置的机制。
6、制定业务连续性计划
强化业务数据备份,对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性;建立安全灾备预案。同时,做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击,影响业务连续性。业务连续性和灾难恢复(BCDR)解决方案应成为在发生攻击时维持运营的策略的一部分。
7、加强安全意识培训和教育
员工安全意识淡漠,是一个重要问题。必须经常提供网络安全培训,以确保员工可以发现并避免潜在的网络钓鱼电子邮件,这是勒索软件的主要入口之一。将该培训与网络钓鱼演练结合使用,以掌握员工的脆弱点。确定最脆弱的员工,并为他们提供更多的支持或安全措施,以降低风险。
8、定期检查
每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核。通过这些措施不断改善安全计划。及时了解风险,主动防御勒索软件攻击并减轻其影响。
此外,无论是企业还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。