360CERT 2017年终总结专题——勒索软件

阅读量    86066 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

勒索软件简介

勒索软件(Ransomware)是一种特殊的恶意软件,它主要利用各类技术对用户的设备、数据等进行锁定,从而直接向用户进行勒索。

勒索软件通常会要求受害者缴纳赎金以取回对设备的控制权,或是取回受害者无法自行获取的解密密钥以便解密数据。但是一些勒索软件加密后的数据无法解密,将导致用户数据被永久破坏。这类用户数据资产包括但不限于文档、邮件、数据库、源代码、图片、压缩文件等。

近年来勒索软件的赎金形式都以比特币或其它虚拟货币为主,主要利用虚拟货币交易的高匿名性、流动性特点,从而隐藏背后制作者的身份,同时也更方便向全球受害者索要赎金。

类型与传播途径

勒索软件类型

目前较为流行勒索软件主要分有以下三种类型:

  • 锁定用户设备

此类勒索软件不加密用户的数据,只是锁住用户的设备,阻止对设备的访问,需提供赎金才能给用户进行解锁。

  • 绑架用户数据。

此类勒索软件采用了一些加密算法(如一些非对称加密算法),对用户文件进行加密,在无法获取秘钥的情况下几乎无法对文件进行解密,以此达到勒索用户的目的。

  • 锁定用户设备和绑架数据

此类勒索软件既会使用高强度算法加密用户数据,也会锁住用户设备,其破坏性与前两类相比更强。

常见传播途径

勒索软件的传播通常和其它恶意软件的传播方式相同,有以下几种方式:

  • 垃圾邮件传播

勒索者通常会通过假冒成普通电子邮件等社会工程学方法,将自身为掩盖为看似无害的文件,欺骗受害者下载、运行。

  • 水坑攻击传播

勒索者通常会攻破有价值或访问量较大的目标网站,寻找这个网站的弱点,先将此网站攻破并植入恶意代码,当受害者访问该网站或下载误以为可信文件时就会中招。

  • 捆绑传播

勒索者通常会将勒索软件与正常合法的软件一起捆绑发布到各大下载站,当用户在下载站下载安装其被捆绑的软件时就会被感染。

  • 移动存储介质传播

随着U盘、移动硬盘、存储卡等移动存储设备的普及,可移动存储介质也成为勒索软件的一个有效传播途径。

  • 利用漏洞传播

勒索软件也会与许多其它蠕虫病毒一样,利用系统或第三方软件存在的0/Nday漏洞在互联网之间传播,一般这种方式传播有效性强且影响范围较广。

  • 定向攻击

勒索者针对服务器、个人用户或特定目标,通过使用弱口令、渗透、漏洞等方式获取相应权限,勒索破坏数据并留下提示信息进而索要赎金。

典型历史案例

1AIDS

1989 年,AIDS勒索软件出现,据称是最早的勒索病毒,其作者为 Joseph Popp。该勒索软件将文件加密,导致系统无法启动,屏幕将显示信息,声称用户的软件许可已经过期,要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去 189 美元,以解锁系统。该勒索软件是对称加密,解密工具没花多少时间就修复了文件名,但这一举动激发了随后近乎30年的勒索软件攻击。

2FakeAV

2001年,专门仿冒反病毒软件的恶意代码家族(Trojan[Ransom]/Win32.FakeAV)出现,该勒索软件会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买其“反病毒软件”。

3Archievus

2006年,名为Archievus勒索软件出现,很不幸,它比前者难清除得多,它是勒索软件历史上第一款使用了RSA加密的。它会将系统中“我的文档”里面的所有文件都加密,需要用户从指定网站购买密钥才可以解密文件。Archievus也是首款已知的使用非对称加密的勒索软件。

4Cryptolocker

2013年,Cryptolocker勒索软件出现,它是勒索软件历史上的一个转捩点。它是第一款通过被控网站下载或伪装客户投诉电邮附件进行传播的加密型恶意软件。由于威胁行为人利用了现有的 GameOver Zeus僵尸网络基础设施,扩散非常迅速。2014年的Tovar行动暂时遏制了 GameOver Zeus 木马,CryptoLocker便开始盯上分发和支持所用的点对点基础设施进行传播。它利用AES-256算法加密带特定后缀名的文件,然后用C2服务器上产生的2048比特RSA密钥来加密该AES-256密钥。C2服务器建在Tor网络中,这让解密万分困难。

5Petya

2016年,Petya勒索软件出现,它通过Drop-Box投放,能重写受感染机器的主引导记录(MBR),然后加密物理硬盘驱动器自身。在加密硬盘的时候还会显示假冒的CHKDISK屏显,使设备无法正常启动。如果其索要的431美元赎金未在7天之内收到,赎金金额还会翻倍。

2017年数据统计

勒索软件的诞生时间久远,但是在近年来不断活跃,其中一个原因是受到近年来不断产生的高匿名性的网络货币影响。从2017年的勒索软件呈现的态势可以看出越来越多的软件、系统、平台受到勒索软件的威胁。通过以下角度回顾2017年勒索软件趋势:

勒索软件攻击的次数频繁

20171-11月,360互联网安全中心共截获电脑端新增勒索软件变种183种,新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击,平均每天约有1.4万台国内电脑遭到勒索软件攻击。

注意,为避免数据干扰,此部分攻击态势分析数据不包含WannaCry勒索蠕虫的相关数据。

勒索软件的家族分布

统计显示,在向360互联网安全中心求助的勒索软件受害者中,CerberCrysisWannaCry这三大勒索软件家族的受害者最多,共占到总量的58.4%。其中,Cerber占比为21.0%Crysis 占比为19.9%WannaCry占比为17.5%,具体分布如下图所示。

结合360互联网安全中心的大数据监测分析,下图给出了2017年不同勒索软件家族在国内的活跃时间分析。

勒索软件攻击的地域

360互联网安全中心监测显示,遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中,广东占比最高,为14.9%,其次是浙江8.2%,江苏7.7%。排名前十省份占国内所有被攻击总量的64.1%

2017年勒索软件攻击地域分布如下图所示。

2017年勒索软件攻击地域分布如下图所示。

勒索软件服务器分布

360互联网安全中心针对最为活跃的部分勒索软件的C2服务器域名后缀的归属地进行了分析,结果显示:.com域名被使用的最多,约为总量的一半,为48.7%.net.org占比分别为3.8%1.7%。此外,属于欧洲国家的域名最多,占31.9%,其次是亚洲国家4.6%,南美洲国家1.7%,大洋洲国家1.7%,北美洲国家1.3%

特别值得注意的是,主流的大勒索家族都不再使用C2服务器加密技术了,但还是有很多小众勒索家族在使用C2服务器的加密技术。

勒索软件攻击的行业

不同行业政企机构遭受勒索软件攻击的情况分析显示,能源行业是遭受攻击最多的行业,占比为42.1%,其次为医疗行业为22.8%,金融行业为17.8%,具体分布如下图所示。需要说明的是,遭到攻击多不代表被感染的设备多。攻击量是通过企业级终端安全软件的监测获得的。

下表分别给出了每个行业遭受勒索软件攻击最多的前五个家族,具体如下表所示。

能源

医疗卫生

金融

家族TOP5

占比

家族TOP5

占比

家族TOP5

占比

locky

29.5%

cerber

43.7%

cerber

61.6%

cerber

24.9%

spora

18.1%

petya

17.7%

cryptomix

9.5%

crysis

8.2%

locky

10.5%

globeimposter

7.4%

sage

5.4%

shade

1.8%

btcware

7.2%

locky

4.5%

spora

1.8%

2017年重大勒索事件

2016 年 月有一个名叫 “Shadow Brokers” 的黑客组织,号称入侵了“方程式”组织并窃取了大量机密文件,并将部分文件公开到了互联网上,“方程式(Equation Group)”据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下黑客工具。

另外“Shadow Brokers”还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers”预期的价格是100万比特币(价值接近5亿美金)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers”的拍卖也因此一直没有成功。

2017414日晚,“Shadow Brokers”在推特上放出了他们当时保留的部分文件。随后几个月里勒索事件频发,通过分析发现其中几起勒索事件的传播手段正是利用“Shadow Brokers”公开的黑客工具。

WannaCry

0x01 简介

20175月,360互联网安全中心发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于国内率先发布紧急预警,外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”)

常规的勒索病毒是一种趋利明显的恶意程序,它会使用加密算法加密受害者电脑内的重要文件,向受害者勒索赎金,除非受害者交出勒索赎金,否则加密文件无法被恢复,而新的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,在短时间内造成了巨大损失。360追日团队对“想哭勒索蠕虫”国内首家进行了完全的技术分析。

0x02 蠕虫的攻击流程

通过对其中的发送的SMB包进行分析,发现其使用漏洞攻击代码和https://github.com/rapid7/metasploit-framework近乎一致(为Eternalblue工具使用的攻击包),该蠕虫病毒使用了ms17-010漏洞进行了传播,一旦某台电脑中招,相邻的存在漏洞的网络主机都会被其主动攻击,整个网络都可能被感染该蠕虫病毒,受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下:

0x03 关键勒索加密过程

蠕虫会释放一个加密模块到内存,动态获取了文件系统和加密相关的API函数,以此来躲避静态查杀,整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPIAES代码静态编译到dll。加密流程如下图所示:

加密的文件后缀名列表:

0x04事件影响

针对国内感染状况,513日下午360威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势,截至到当天下午19:00,国内有28388个机构被“永恒之蓝”勒索蠕虫感染,覆盖了国内几乎所有地区。

在受影响的地区中,江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。

516日,360威胁情报中心发现,在原始版本的蠕虫泛滥以后,观察到大量基于修改的变种,相关样本数量达到数百个。不过值得庆幸的是,随着系统漏洞的修补,这类变种对整体感染影响不大。

此外,360威胁情报中心发现,开关域名对蠕虫的传播影响非常大,在域名被安全研究者注册形成有效解析和访问以后,初始的指数级感染趋势很快被抑制。之后基本再也没有超过最早快速上升阶段形成的高峰。

0x05后续发展

360互联网安全中心监测显示,WannaCry自被发现以来,相关网络攻击一直存在,而且攻击范围越来越广。WannaCry病毒入侵到用户的电脑后,首先会先访问一个特定的,原本并不存在的网站:

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果连接成功则退出程序,连接失败则继续攻击(相当于是个开关)。但在WannaCry大爆发第二天(2017513日晚),英国的一个分析人员对这个域名进行了注册,病毒再访问这个网站就发现能访问了,即不再加密用户数据。所以5月份之后,遭到WannaCry攻击的联网电脑中的文件不会被实质性加密。也就是说虽然该病毒还在传播,但已经没有实际危害了。20175-11月,永恒之蓝勒索蠕虫WannaCry攻击态势分析如下图所示。

360威胁情报中心及360天擎的监测信息显示,不同行业遭受永恒之蓝勒索蠕虫攻击的情况也有所不同,工程建设行业是遭受攻击最多的行业,占比为20.5%,其次制造业为17.3%,能源行业为15.3%,具体分布如下图所示。需要说明的是,该数据是根据20175-11月的总体情况进行分析和统计的,与5月份永恒之蓝勒索蠕虫刚刚爆发时相关数据统计有一定的区别。

WannaCry的幕后真凶到底是谁?这似乎一直是个迷。目前包括美国、加拿大、澳大利亚、新西兰、日本等国家,以及微软、谷歌、卡巴斯基、赛门铁克、火眼等科技公司和知名安全公司,也在或明或暗指责朝鲜黑客将WannaCry传播到全世界。美英政府称“在谨慎调查之后更非常坚定认为朝鲜黑客是WannaCry的幕后真凶”并公开指责。

0x06小结

WannaCry在勒索类病毒中全球首例使用了远程高危漏洞进行自我传播复制,危害不小于冲击波和震荡波蠕虫,也是今年影响最为严重的勒索病毒之一,这起大规模勒索病毒网络爆发事件至今已袭击了全球至少150国家或地区,包括教育、电力、能源、银行、交通、医疗、企业等多个行业均遭受不同程度的影响。

此次WannaCry勒索病毒已经不再是单纯的“炫技”,而是直接威胁到了每个人的数据财产、数据权利,乃至威胁到了社会经济和国家安全。

Petya

0x01 简介

20176月,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

此次黑客使用的是Petya勒索病毒的变种,因此有人也称其为NotPetya,使用的传播攻击形式和WannaCry类似,但该病毒除了使用了永恒之蓝(MS17-010)漏洞,还罕见的使用了黑客的横向渗透攻击技术。在勒索技术方面与WannaCry等勒索软件不同之处在于,Petya木马主要通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,故而其影响更加严重。如果想要恢复,需要支付价值相当于300美元的比特币。

由于这次攻击有很强的定向性,所以欧洲被感染的受害者较多,国内感染量较少。

0x02 Petya老样本介绍

20164月,敲诈勒索类木马Petya被安全厂商曝光,被称作是第一个将敲诈和修改MBR合二为一的恶意木马。木马Petya的主要特点是会先修改系统MBR引导扇区,强制重启后执行MBR引导扇区中的恶意代码,加密受害者硬盘数据后显示敲诈信息,并通过Tor匿名网络索取比特币。

Petya与其他流行的勒索软件的不同点在于,Petya不仅逐个加密文件,而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序,还创建了一个32个扇区长的小内核。

Petya的木马释放器会将恶意代码写入磁盘的开头。被感染的系统的主引导记录(MBR)将被加载一个小型恶意内核的自定义引导加载程序覆盖,然后该内核会进一步加密。 Petya的敲诈信息显示其加密了整个磁盘,但这只是木马作者放出的烟雾弹,事实上,Petya只是加密了主文件表(MFT),使文件系统不可读,来拒绝用户访问完整的系统。

0x03 Petya新样本介绍 

病毒样本类型为DLL,有一个导出序号为1的函数。当这个函数被调用时,首先尝试提升当前进程的权限并设置标记,查找是否有指定的安全软件,后面会根据是否存在指定的安全软件跳过相应的流程。绕过安全软件的行为监控。

接下来修改磁盘的MBR,并将生成的KeyIV,比特币支付地址以及用户序列号写入磁盘的固定扇区。然后创建计划任务于1小时后重启。遍历局域网可以连通的ip列表,用于后续的局域网攻击。释放并执行抓取密码的进程,释放psexec进程用于后续执行远程命令。对系统的网络资源列表进行过滤,筛选本地保存的凭据,使用保存的凭据连接,成功后执行远程命令,进行局域网感染。

下一步生成随机ip,连接445端口进行永恒之蓝漏洞攻击。然后遍历磁盘,对指定扩展名的文件进行加密。执行完所有流程后,清除日志并强行重启。总体流程图如下:

0x04 Petya勒索蠕虫感染传播趋势分析

627日在欧洲爆发的起,Petya勒索病毒在短时间内袭击了多国。根据360互联网安全中心的监测,对每一个小时的远程攻击进程的主防拦截进行了统计。从6280点至628日晚上7点整,平均每小时攻击峰值在5000次以内。上午10点攻击拦截达到最高峰,后缓慢波动,在14点达到一个小高峰,然后攻击频率开始缓慢下降。由此可见,Petya的攻击趋势在国内并不呈现几何级增长的趋势,而是缓慢下降的,并不具备进一步泛滥的趋势。

除乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模的Petya攻击外,我国也遭受了同样的攻击。针对我国的攻击,主要集中在北京、上海、广州、深圳、香港等大城市,根据360互联网安全中心的监测,在全中国八十多个城市拦截到了攻击。

0x05 Petya勒索加密技术分析

Petya采用RSA2048 + AES128的方式对文件进行加密,程序中硬编码RSA公钥文件,针对每一个盘符都会生成一个AES128的会话密钥,该盘符所有文件均用该AES Key进行加密,加密流程如下图:

加密的文件类型如下:

当系统重启后,执行病毒的MBR,伪装成CHKDSK进行加密,不仅会加密MBRMFT结构,也会将MFT对应的文件内容的前两个扇区进行加密加密,换句话说,Petya变种勒索蠕虫在系统启动时MBR中的代码执行时也会进行全盘文件的加密操作。结合RING3级别的勒索代码功能,Petya会对文件执行两次加密操作,第一次为Petya勒索蠕虫执行时,使用RSAAES算法遍历文件系统对指定扩展名的文件加密,第二次为系统启动时,启动扇区的代码会通过遍历MFT结构定位文件内容并对文件使用修改的salsa20算法进行加密。

完成后弹出敲诈信息对用户进行敲诈:

0x06勒索病毒Salsa20算法实现的缺陷分析

对于RING3级别的文件加密过程,解密密钥可以通过勒索蠕虫作者的RSA私钥进行解密获得,而启动扇区级别的文件加密过程使用了随机密码进行,启动扇区级别的文件加密无法解密,但360CERT经过对修改版的Salsa20算法与原始算法对比分析发现存在两处变化,其中一处明显降低了标准Salsa20算法的加密强度,修改版Salsa20算法造成的差异会导致每隔64K块出现重复的核心函数输入项,这将极大影响这种加密算法的安全性。对此,算法攻击者只要已知连续4MB明文,就能解密全部密文。另外若已知若干离散明文块,则可解密部分密文,也可能解密全部密文(已知部分分布合适的情况)。

相关证明如下:

0x07小结

Petya勒索病毒早已被安全厂商披露,而Petya再一次卷土重来,肆虐欧洲大陆在于其利用了永恒系列漏洞、局域网感染等网络自我复制技术,使得病毒可以在短时间内呈暴发态势。

5月份WannaCry勒索病毒爆发后,中国用户已经安装了上述漏洞的补丁,同时360安全卫士具备此次黑客横向攻击的主动防御拦截技术,故而并没有为Petya勒索病毒的泛滥传播提供可乘之机。

Bad Rabbit

0x01 简介

201710月,360CERT监测到有一起名为“坏兔子”(the Bad Rabbit)的勒索病毒正在东欧和俄罗斯地区传播,影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家敖德萨机场,此外还影响了保加利亚和土耳其。

坏兔子”主要是通过伪装flash安装程序让用户下载运行和暴力枚举NTLM帐号密码的形式进行传播,使用“永恒浪漫”漏洞进行传播,感染形式上和此前的Petya勒索病毒相似,会主动加密受害者的主引导记录(MBR)。“坏兔子”在勒索赎金上有所变化,初始赎金为0.05 比特币(约280美元),随时间的推移会进一步增加赎金。

0x02影响面

经过360CERT分析,“坏兔子”事件属于勒索病毒行为,需要重点关注其传播途径和危害:

主要通过入侵某合法新闻媒体网站,该媒体在乌克兰,土耳其,保加利亚,俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序(文件名为 install_flash_player. exe),用户一旦点击安装后就会被植入“坏兔子”勒索病毒。

坏兔子”样本主要通过提取主机NTLM认证信息和硬编码部分用户名密码暴力破解NTLM登录凭据的方式和“永恒浪漫”漏洞来进一步感染可以触及的主机。

坏兔子”会试图感染目标主机上的文件和主引导分区,赎金会随着时间的推移而增长。

综合判定“坏兔子”勒索病毒通过“水坑”方式和“永恒浪漫”漏洞进行较大规模传播,且产生的危害严重,属于较大网络安全事件。

根据360互联网安全中心的统计,该木马主要在俄罗斯、乌克兰等东欧国家和地区流行。

0x03技术细节

传播信息

坏兔子”勒索病毒通过链接 hxxp://1dnscontrol[.]com/flash_install.php 链接进行传播,该域名下的可疑连接如下:

整体行为

坏兔子”勒索病毒感染初期,需要通过受害者手动启动下载名为 install_flash_player.exe的可行性文件,该文件需要提升的权限才能运行, Windows UAC会提示这个动作,如果受害者还是同意了,病毒就会按照预期运行,在感染成功后会试图通过NTLM登陆凭证暴力破解和“永恒浪漫”的漏洞进行传播。

坏兔子”勒索病毒主要包括如下流程:

  • install_flash_player.exe会下载名为 infpub.dat DLL恶意载体。

  • infpub.dat会夹带和释放传播模块和文件加密模块。

  • 合法的DiskCryptor加密模块,discpci.exe,包括3264位。

  • 2个疑似mimikatz模块。

  • 生成IP信息,暴力破解NTLM登陆凭证,实现进一步感染。

  • 该文件会被保存到C[:]\Windows\infpub.dat路径中。

  • Rundll32.exe 加载infpub.dat文件。

  • 增加计划任务“rhaegal”启动discpci.exe实现磁盘加密。

  • 增加计划任务“drogon”重启系统,并显示被勒索界面。

  • 在暴力破解完成后,会试图利用“永恒浪漫”漏洞实现进一步感染。

  • 创建感染线程,尝试对外感染。

  • 重启前会主动删除部分日志信息。

流程图如下:

坏兔子”勒索病毒在行为方面并没有太多的创新,具体的程序执行链可以直接通过360核心安全团队的沙箱平台分析出来:

永恒浪漫”漏洞相关细节

BadRabbit疑似在暴力破解NTLM之后,还试图利用了“永恒浪漫”EternalRomance漏洞传播。

与之前Petya使用TheShadowBrokers中的shellcode不同,BadRabbit中的利用根据github上公布的python漏洞利用脚本修改而来:

https://github.com/worawit/MS17-010/blob/master/zzz_exploit.py

加密信息

加密手法并无太大新意,使用了上文中相同的RSA2048算法,这里不再赘述,勒索加密文件的类型如下:

而除了传统的加密文件之外,该木马还会创建一个名为dispci.exe的程序,而这个dispci.exe在重启之后会创建一个名为cscc.dat的驱动程序并与之通信,驱动的功能则和之前提到曾大规模爆发的Petya相似——通过修改MBR的方式劫持开机启动。感染成功后的logo:

0x04小结

根据监测,中国地区基本不受“坏兔子”勒索病毒影响。“坏兔子”勒索蠕虫虽然在传播范围上不及WannaCry,但在内部实现上却可以看出比之前WannaCryPetya更为缜密,病毒作者在设计上是取其前者的优点并避开不足之处,同时也采用了前者没有利用的水坑攻击方式。

自“Shadow Brokers”发布泄漏的文件后已经超过大半年的时间,而微软公司也早就发布安全补丁。但是实际情况是今年利用永恒系列漏洞的勒索软件已经出现过多次,且每次都在全球范围引起了不小的轰动。然而让人无奈的是依然还有大量设备未对漏洞进行修复,这也是自 WannaCry 以来能够多次爆发蠕虫的原因。

针对各类数据库勒索事件

0x01 简介

201612月末至20171月初,国外部分用户发现自己MongoDB数据库的数据被黑客删除并发推引起了互联网的注意。黑客把数据库里的数据都删除了,并留下一张“warning”的表,里面写着如果想“赎”回数据,就给0.2比特币(约等于200$)到某比特币账户地址。

在接下来的时间中,陆续有更多的MongoDB数据库被黑事件曝光。该事件最早是由Harak1r1黑客组织发起的,后续有多达20个黑客组织跟进,他们勒索的赎金从0.11比特币不等,短短数天时间已有约3万多MongoDB中招;据不完全统计,3天之内被删除的MongoDB数据量超过100TB

在接下来的一年中陆续发生了针对ElasticSearchHadoopMySQLRedisPostgreSQLCouchDB等数据库系统的入侵勒索事件。

这些公网上存在漏洞的数据库,被攻击者删除了数据库中的存储数据,并留下勒索信息,要求用户支付赎金。更有甚者直接清空数据库,并没有对数据进行保存,即使支付赎金也无法挽回损失。

0x02 攻击技术细节

在针对MongoDBMySQLRedisElasticSearchCouchDBCassandra等数据库的攻击中,大多数的攻击只是利用了数据库软件本身的缺陷:如未授权访问、用户弱口令。在未授权进入数据库后一般会删除数据并留下联系方式进行勒索,甚至利用数据库本身的特性或者漏洞进行后续的攻击。

例如在开启MongoDB服务后,如不添加任何参数,默认是没有权限验证的。登录的用户可以通过默认端口无需密码对数据库进行任意操作(包括增、删、改、查等高危动作),而且可以远程访问数据库。

在针对MySQL的大规模勒索中,攻击者攻击以“root”密码暴力破解开始,一旦成功登陆,该黑客会获取已有MySQL数据库及其表的列表,TA在已有的数据库中新建一个名为“WARNING”的表,插入信息包括一个邮箱地址、比特币地址和支付需求。

在针对Redis的攻击中,主要是结合Redis未授权访问漏洞以及利用Redis写入文件的技巧,在用户目录下写入一个ssh的私钥,从而不用输入密码即可登录Redis所在服务器。

在针对ElasticSearch的攻击中主要利用利用了未授权访问漏洞。由于默认情况下没有任何身份认证,在建立连接之后可以通过相关APIElasticSearch服务器上的数据进行增删查改等任意操作。攻击者会删除Elasticsearch所有索引信息,并创建一个名为warning的索引,勒索者写入需要支付0.2比特币才给受害者发送数据(目前按照比特币市场价格,约等于150美元),并留下邮箱地址。

针对Hadoop的勒索中利用HDFSWeb端口50070直接在公网上开放。因此攻击者可以简单使用相关命令来操作机器上的数据。

CouchDB会默认会在5984端口开放RestfulAPI接口,用于数据库的管理功能。任何连接到服务器端口上的人,都可以调用相关API对服务器上的数据进行任意的增删改查。其中通过API修改local.ini配置文件,可进一步导致执行任意系统命令,获取服务器权限。

0x03 事件影响

针对MongoDB的勒索中,通过当时Shodan网络空间搜索引擎得到的数据和显示:2017年初的勒索事件有近3WMongoDB服务器受到影响。

针对ElasticSearch的勒索中被删除的数据至少500亿条,被删除数据至少450TB。在勒索事件发生后,有1%Elasticsearch启用了验证插件,另外有2%则关闭了Elasticsearch

在后续针对各类数据库的攻击中,每次均有成百上千的数据库遭到攻击,数据被全部清除,造成了无法挽回的损失。

0x04 小结

360 CERT20177月对MongoDB勒索情况进行了复查,发现仍然有数千个数据库存在漏洞,并且绝大多数的数据库已被删库勒索。

同时也针对Apache Solr的未授权访问情况作了调查,发现公网存在大量未授权访问的数据库系统,其中涉及数据上百TB。(下图为360CERT以发现的Apache Solr未授权访问漏洞在全球的分布状况)

针对数据库系统的勒索行为不断发生,其勒索的方式主要是利用系统的未授权访问、弱口令以及自身的漏洞获取数据库权限,然后删除其中数据,并留下联系方式进行勒索。

传播方式与蠕虫、病毒感染有所区别,主要是通过各类扫描与指纹搜索引擎,找到匹配的产品后进行针对性的攻击。

通过360CERT360网络安全研究院的数据显示,各类数据库在世界范围内拥有广泛的使用,同时针对各类数据库的扫描和攻击也从未停止。

由于数据库本身安全性问题和用户数据的高价值性,当下数据库已经成为一个被常态化的攻击目标。

总结与未来趋势

WannaCry2017年度影响范围最大的新型勒索软件,通过利用漏洞,迅速传播至全球。在WannaCry爆发后不久,新变种的PetyaBad Rabbit卷土重来,并综合了更多网络传播方式,破坏性也更强。

从今年的几起重大勒索事件看出,勒索事件的整体模式并无太大变化,但能够大范围传播的重要因素是利用了NSA(美国国家安全局)泄露出的黑客工具,通过利用其中0/N day漏洞,造成感染量呈几何级增长并向全球蔓延,最终给众多用户造成严重威胁。

另一方面,勒索软件最早诞生于1989年,近三十年间一直存在。近年来才变得愈发猖獗,其中一个关键因素是2009年后以比特币为首的大量高匿名性货币的流行。

同时我们也发现勒索软件在向路由器、工业控制设备、智能家居等IoT设备方向蔓延,涉及的系统也开始多元化,勒索的对象也开始产生针对性。以下将会是勒索软件发展的趋势:

  • 勒索软件攻击事件常态化

在未来一段时间内,这种攻击手段在短时间内是不会消失的,因为勒索软件能够给攻击者带来巨额的利润。

  • 漏洞传播将成为趋势

漏洞利用勒索这种方式暴力、有效、影响范围广,能让攻击者短时间内达到目的。

  • IoT物联网新兴设备受到的威胁增加

物联网在当下已经越来越普及,这部分设备受到攻击的风险也会越来越大。

  • 针对性攻击将越来越多

针对国家、企业的攻击比个人的更有价值,带来的后果也更是难以预料的。

防护建议

  1. 通过合作与情报共享

随着“大安全时代”概念的提出,安全这个话题的核心不再是某一个点、一个人、一家厂商的安全,而是互联网整体生态的安全。通过加强官方与厂商、厂商与厂商之间的合作,能够及时有效地对某一安全事件进行感知和预警。360协助美国FBI破获Mirai僵尸网络正是这样的例子。

  1. 通过技术保障

不论如何,通过技术进行保障都是必不可少的。我们给出如下建议:

针对企业:

  • 定期备份重要文件,并离线存储独立设备。
  • 对内部网络进行严格划分,防止恶意软件的内网传播;定期对企业内部各个系统进行安全扫描与系统升级。
  • 加强员工安全意识培训。
  • 不要盲目给勒索者付赎金,有些勒索软件加密后根本无法解密

针对个人:

  • 安装反病毒软件,定期查杀病毒;及时更新系统或第三方软件补丁,避免勒索软件利用漏洞进行传播感染。
  • 对非可信来源的邮件、链接保持警惕,不要轻易下载运行文件、邮件附件或浏览邮件中的不明链接。
  • 在可靠的软件宝库/软件源/商店下载应用程序。

参考引用

2017勒索软件威胁形势分析报告

http://zt.360.cn/1101061855.php?dtid=1101062360&did=490927082

MongoDB勒索事件现状调查报告》

https://cert.360.cn/report/detail?id=2407e6d675d15ff85e3ca4fd4a3e682d

Apache Solr 已知版本漏洞现状基本调查报告》

https://cert.360.cn/report/detail?id=5d8fcd3c20ccac9f8b62b4e9214c5127

MongoDB的勒索攻击者瞄准了ElasticSearch 中国已有受害者》

https://www.toppn.com/view/184696.html

WanaCrypt0r勒索蠕虫完全分析报告》

https://www.anquanke.com/post/id/86092

360天眼:WannaCry(想哭勒索蠕虫)技术分析》

https://www.anquanke.com/post/id/86103

Petya勒索蠕虫完全分析报告》

https://www.anquanke.com/post/id/86350

Petya变种勒索蠕虫启动代码分析》

https://www.anquanke.com/post/id/86511

NotPetya勒索病毒Salsa20算法实现的缺陷分析》

https://cert.360.cn/report/detail?id=66f4d8d5ec8b4fde6e7565f25b93055a

《坏兔子勒索病毒事件基本分析报告》

https://cert.360.cn/report/detail?id=b8d982931c94db2c4a632eaf04188971

KSB_Story_of_the_Year_Ransomware_FINAL_eng.pdf

https://cdn.securelist.com/files/2017/11/KSB_Story_of_the_Year_Ransomware_FINAL_eng.pdf

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多