「不給錢就刪庫」的勒索病毒, 程式設計師該如何防護?
- 2019 年 10 月 7 日
- 筆記
責編 | 郭芮
近期一家名為ProPublica 的外媒批露了兩家號稱專門提供勒索病毒數據恢復解決方案的公司,竟然背地裡在偷偷地給黑客支付贖金,欺騙尋求數據恢復的用戶。
被批露的兩家公司名字分別為Proven Data 和Monster Cloud,這兩家公司的業務主要就是為客戶提供所謂的反勒索病毒解決方案,具體來說就是通過為中了勒索病毒的企業恢複數據來收取服務費。聽起來這兩家公司的業務跟很多安全類公司提供的服務有些類似,沒有什麼特別的,甚至還有點替天行道的意思。但讓人大跌眼鏡的是,這兩家公司為客戶提供的所謂的解決方案竟然是向發起攻擊的黑客支付贖金,然後向被攻擊的企業收取更多的服務費,差價賺的不亦樂乎。
為此筆者專門了解了下,結果發現安全領域從事這種勾當的企業遠不止這兩家。早在今年的6月27日,知名的反病毒軟體供應商EmiSoft(奧地利的一家公司,安全圈內比較出名)在公司的官方部落格中曾經發表過相關的文章,文章內容批露有一家名為紅蟻(Red Mosquito)的所謂的數據恢復公司也在干著和上面提到的兩家公司相同的」業務」。
不幸的是這些所謂的數據恢復公司並非很簡單就可以發現,EmiSoft 的主管Fabian Wosar在處理客戶業務時,偶然間發現Red Mosquito 這家公司的業務存在問題,於是Febian Wosar 特意精心設計了一個套,事後發現Red Mosquit 的套路和前面提到的兩家公司基本是如出一轍。
看下Red Mosquit 的官網,你會發現Red Mosquit 在過去的一年中「戰果累累」,該公司網站上對外宣稱在過去的一年中他們經手處理的勒索病毒事故達到了數百起,賺得可謂鍋滿盆滿。另外Red Mosquit 還在其官方網站上對外發布廣告,稱其近期針對勒索病毒方面還推出了「誠實、專業、免費的安全諮詢」。更可笑的是Red Mosquit 還對外宣稱,他們公司為用戶提供的是支付贖金之外的專業的替代方案,另外還恐嚇用戶千萬不要自己嘗試去和黑客進行溝通,防止給自己帶來額外的更進一步的損失。
嚇唬用戶,不讓用戶自己去主動聯繫攻擊者,原來是為了自己去聯繫攻擊者,好賺取贖金中的差價,Red Mosquit這一招6的飛起,佩服、佩服。
圈內的同學看完這些可能覺得這種簡單的計倆都能騙到人,是不是太沒常識?設身處地地想一下,如果被攻擊者對勒索病毒這一塊不是很熟悉,且被勒索病毒加密的數據是比較重要的數據,這個時候來一個所謂的安全專家告訴你他能幫你進行數據恢復,基於對人性的弱點的考量,很多人可能真的會鑽進Red Mosquit 下的套,另外從Red Mosquit公布的他們經手處理的勒索病毒事件的數量也能看出掉坑裡的用戶數據不在少數。
如何被曝光的?
以上我們只是簡略地介紹了下這些所謂的數據恢復公司是如何通過精心設計的套路來魚肉受害者的,並沒有具體描述這些」數據公司」的具體套路,為此筆者專門在EmiSoft 的官網上查找了一番,最後總算梳理出了Wosar 發現這些」數據公司」公司的具體過程,了解下這些過程對於廣大的互聯網用戶來說也是一個不錯的發現陷阱的過程,具體見下文。
為探明受害者被坑的具體過程,Wosar 專門為此開發了一個偽造的勒索軟體,並為勒索軟體取了個名字」GOTCHA」。為了增加勒索軟體的可信性,Wosar 還專門寫了一封勒索信,了解安全的領域的都知道黑客圈裡很多都是非英語國家,比如俄羅斯等,這些非英語國家的黑客一般對英文並不是很熟悉,因此為讓所寫的信件更具可信性,Wosar 特意在信件中添加上一些錯誤的單詞拼寫,比如」write」寫為」white」,」today」 寫為」tday」,」right now」 寫為 」righte now」 等。
參考近幾年常見的一些勒索病毒,Wosar 也對應地給自己做的假的勒索病毒添加上了一個獨特的ID識別序列號,並告訴被攻擊者記下這個ID,這個ID 在支付贖金時會用於識別受害者身份,這樣在支付贖金後對應ID的受害者的勒索病毒才會失效。
上面的操作概括起來就是,Wosar 在整個事件中既扮演了發起攻擊的黑客,同時又扮演了勒索軟體的受害者。整個操作對於了解常見的一些社工方法的人來說並不算很6,但Wosar 就是利用這樣一種看似很簡單的方式成功的套路了Red Mosquit公司,接下來接著看。
Wosar 利用Joe Mess 這樣一個化名,假裝自己公司的設備遭受了勒索病毒,寫郵件向Red Mosquit 公司進行求助。
郵件發出後不久,Wosar 就收到了Red Mosquit公司員工(化名Conor Lairg)的回復,Conor Lairg 在回復的郵件中表示自己的公司非常有信心可以幫Wosar 找回被文件,但具體的解決方案需要花點時間進行演練,演練結束後會郵件告知Wosar,但Conor Lairg 在郵件中特彆強調,囑咐Wosar 一定不要試圖自己去連續攻擊者,因為從他們以前的客戶經理來看,被攻擊者如果自己去主動聯繫攻擊者,很可能交了錢也拿不回來自己的數據。
在Wosar 收到Red Moquit 公司的回復郵件不久,另外又收到了一封疑似來自攻擊者的郵件,郵件中聲明如果不在一周內將錢交齊,一周之後攻擊者會將Wosar的數據全部清除,為了增加信件的真實性,信件中還貼出了Wosar先前發給Red Moquit公司的序列ID。信的結尾還威脅到,如果在截止的時間時還未向指定的帳號打入指定的金額,被加密的數據將會被徹底刪除,不可恢復。我們知道Wosar並未真的遭受攻擊,這個序列ID是Wosar為了增加發給Red Moquit公司的信件的真實性而編造的,因此Wosar 後來收到的這封信很可能是Red Moquit 公司偽裝成黑客發出的,或者就是Red Moquit公司將序列ID泄露給了黑客,但邏輯上來看前者的可能性更大。
收到第一封郵件之後的第二天,Wosar 又收到了第三封郵件,郵件中寫明了Wosar 之前發給Red Moquit 公司的ID資訊,並諮詢是否可以討論下贖金的價格,由於在這起事件中Wosar 既扮演了攻擊者又扮演了被攻擊者,顯然這一次Red Wosar 把Wosar 當成了發起攻擊的黑客。整個期間Wosar 配合著Red Moquit 公司的工作人員進行價格的討論,最終雙方達成「妥協」,將贖金確定在了900美金。作為交換,Wosar 將加密數據的破解方式告知對方。
更好笑的一幕發生了,在Wosar 將加密數據的破解方式告知Red Moquit 後的第二天,Wosar便收到了第四封郵件,這封郵件中明確說明發送方是Red Moquit 公司。來信中恭喜Wosar 先生,目前公司已經研究出破解加密數據的方式,並保證破解過程中不會對數據造成損壞。由於公司花費了較大的人力、物力來做這件事,相應的Wosar需要向Red Moquit 支付3950美元,為了讓Wosar相信自己的確可以破解數據的加密演算法,Red Moquit 可以先免費為Wosar 先生破解10%的加密數據。
到此我們看明白了,所謂的數據恢復公司,其實根本破解不了被加密的數據,他們一面恐嚇用戶不要直接聯繫黑客交付贖金,一面自己去和黑客討價還價,在向黑客支付較低的贖金並向獲取到數據的解密方式後,這些所謂的數據恢復公司就會主動的去聯繫勒索軟體的受害者,並向用戶索要高出實際贖金幾倍的價格。最為噁心的是,這些所謂的數據恢復公司竟然在此期間還冒充攻擊者的身份去恐嚇、威脅用戶。很多用戶由於並不了解安全圈,在這種威逼利誘的情況下很可能會選擇和這些所謂的數據恢復公司合作,向其支付贖金。
這件事情被曝光之後,可能也感覺很不光彩,Red Moquit 公司很快就將自己官網上涉及「誠實免費建議」的部分刪除。感興趣的同學可以直接到Red Moquit 的官網(現在還可以訪問)上看下。
作為安全圈的資深人士,Wosar 表示,對於已經中勒索病毒的情況目前業界有很多針對已經獲知的勒索病毒的解決方式,並不是不可解。針對諸如Red Moquit 這種情況,Wosar 表示,作為一家數據恢復公司,向黑客支付贖金這件事情本身並不是一件很丟人的事情,如果公開透明的為被攻擊者服務的話也可以理解為一種正常的服務。但冒充攻擊者威脅受害者,且在官網上註明免費服務這種方式就很不地道了。
什麼是勒索病毒?
勒索病毒是最近幾年才出現的一種新型病毒,該病毒的傳播途徑目前來看主要有:郵件、程式木馬、網頁掛馬等形式。從實際情況來看,該病毒性質惡劣、危害極大,一旦感染會給用戶帶來較大的損失。
據筆者調查,目前出現的勒索病毒的工作方式基本都是採用對數據進行加密的方式。加密演算法多種多樣,破解的難度和加密演算法的複雜程度相關,一般數據被感染,被感染者自己很難解密,一般需要拿到相應的解密私鑰資訊才能對數據進行解密,除了病毒開發者本人其他人一般很難對數據進行解密。
從筆者自己的實際測試來看(自己測試的話建議在虛擬機中進行測試),勒索病毒一旦進入到用戶的電腦,就會自動運行起來,且為躲避殺毒軟體的查殺和分析勒索病毒還會自動將軟體樣本刪除掉。
眾多勒索病毒有一個統一的特徵,就是在對目標數據完成加密之後還會還會對被攻擊者的桌面壁紙進行修改,會在桌面等比較顯眼的位置彈出寫有勒索資訊的提示文件。文件內容一般分為兩部分,一是告訴被攻擊者你的電腦的數據被加密了,而是告訴被攻擊者交贖金後才可以恢複數據。
讓人比較頭疼的是,勒索病毒一般變種類型非常之多,而且類型變化也很快,因此常規的殺毒軟體很難發現(攻擊者一般在開發完勒索軟體之後,會先用最常見的一些病毒查殺軟體進行測試,測試通過後才會展開對外的攻擊),從近期的數據來看,比較常見的攻擊樣本有exe、js、vbe以及wsf等類型。
常規的殺毒軟體查找病毒的原理一般是對當前電腦上的文件進行特徵的檢測,檢測完成後和現有的病毒庫中的特徵數據進行匹配,如果可以匹配成功則找到病毒文件,因此現有的勒索病毒對我們常用的常規殺毒軟體是一個很大的挑戰。
從攻擊方式看,釣魚方式發起的攻擊所佔比例較少,主要通過目標機器的現有漏洞進行攻擊,佔到攻擊總數的87.7%。從作業系統來看被植入病毒的主要是Windows XP、Windows 7,原因是目前這些系統中有一部分微軟官方已經不再支援更新、以及修補程式的維護,一般會存在較多的無法及時修復的漏洞。不幸的是,目前中國很多的機關單位仍在大量的使用這些老舊的系統,比較常見的比如政府、學校、醫院以及一部分的企業。由於微軟較新版本的Windows 10採用的是強制更新的方式,因此採用了Win10系統的用戶幾乎沒太受到影響。
勒索病毒攻擊對象一般分為兩種,一部分是針對企業用戶,另部分是針對所有用戶(不區分個人和企業)。
目前已經發現的勒索病毒的運行流程都比較複雜,但基本上都具備如下的關鍵特徵:
- 幾乎每個勒索病毒都會調用一些複雜的加密演算法庫;
- 病毒運行過程中會通過預先寫好的腳本文件(在被攻擊的電腦上)從對攻擊者遠端的伺服器進行HTTP請求;
- 病毒會通過腳本文件從攻擊者遠端的伺服器上進行文件的下載,這些文件中一般會包含有加密使用的密鑰資訊;
- 病毒除了會從遠端的伺服器下載文件,一般還會直接從遠端的伺服器上直接讀取一些資訊;
- 下載下來的文件幾乎都是通過Windows 上的WScript進行執行的;
- 下載下來的文件執行後,一般都會收集當前電腦上的資訊,比如系統版本等,勒索病毒通過獲取具體的版本資訊來決定採用什麼樣的加密方式;
- 最後勒索病毒一般會對被攻擊電腦上的文件進行遍歷,然後將收集到的目標文件進行加密。
泛濫的勒索病毒
說起勒索病毒就不得不提到2017年5月份肆虐的「永恆之藍「,大概也是從這個時候勒索病毒才真正地進入到我們的視野,相比傳統的病毒、木馬,勒索病毒才是那段時間裡真正令人談「毒」色變、防不勝防的攻擊手段。
根據火絨威脅情報系統的統計數據,但是2018年年初到2018年9月份,被勒索病毒攻擊過的伺服器數量就超過了200萬台,攻擊總次數超過1700萬次。為此「勒索病毒」這個辭彙還入選了國家語言資源監測與研究中心發布的「年度媒體十大新詞語」。
從360 安全大腦的統計數據來看,進入2019年以來,用戶在勒索病毒方面的回饋量基本是逐月增加的。以8月份的數據來看,8月份的勒索病毒回饋量和勒索病毒的種類比7月份的都有小幅的上升,其中Stop 這種類型的勒索病毒的上升量最大。
但從種類來看,360安全統計到的8月份的數據中勒索病毒的數量已經到了29種。其中GlobeImposter 勒索病毒家族的病毒量佔到總量的21.21%,排在第一位,另外的兩種病毒phobos 和Stop 佔比略低,分別為14.2%和13.65%,位居第二、三位,雖然佔比略低,但上升速度非常快,一點也不能掉以輕心。
近幾年勒索病毒極其猖獗,從作業系統的類型來看,目前發現的主要出現在Windows 系列的作業系統之上,Linux 作業系統中勒索病毒的情況也有,但相對較少。從今年7月份的統計數據來看,被感染的系統中,前三名分別是:Windows 7、Windows 10以及Windows Server 2008。從變化幅度來看,以Windows 7為最大,Windows 7 的勒索病毒感染量從今年6月份的29.47%上升到了7月份的56.45%。
從個人用戶和企業用戶的分類來看,7月份中個人用戶的感染佔比比6月份的數據有不小的上升幅度,從6月份69%上升到了86%。這個數據和近期Stop、Sodinokibi 這兩種勒索病毒的活躍度上升有關,也和企業用戶防範意識逐漸加強有關。
勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。
勒索病毒防護
一些預防措施其實從上文中的勒索病毒介紹中就可以看出,比如勒索病毒一般需要連接到黑客的C&C伺服器來進行本地資訊的上傳和加密,因此可以採用諸如入口、出口白名單的方式對出入我們電腦的流量進行限制,這樣可以極大地降低我們的電腦被植入勒索病毒的風險。
上面只是簡單說明了下勒索病毒預防的常見的方法,接下來我們從雲環境和非雲環境兩個層面並結合安全技術和安全管理兩個層面看下一些常用的勒索病毒預防措施。
1、非雲環境預防
(1)重要數據定期備份
對資料庫資料庫等關鍵數據進行定期的備份,最好是進行遠程異地的備份,這樣即使機器上的數據被加密,也可通過遠端備份的數據進行數據恢復。
(2)入口白名單
對入口方向添加白名單過濾,只開放實際在使用的埠,不在使用的埠一律不開放,比如445埠。
(3)出口白名單
伺服器出口方向只開放真正需要訪問的外部埠,這樣可以防止勒索病毒連接遠端伺服器下載密鑰資訊。
除了埠一般也建議對允許訪問外網的伺服器的IP進行白名單的限制。
(4)軟體下載安全
軟體盡量從正規的官網或者公司內部的軟體中心下載,防止下載的軟體帶入勒索病毒。
軟體下載之後建議使用公司的病毒查殺工具進行檢查,校驗無誤後再進行後續的安裝使用。
(5)殺毒軟體定期升級
如果環境中安裝了病毒查殺軟體,一定要對殺毒軟體進行定期的更新升級,由於殺毒軟體廠商會根據已查找到的新的病毒資訊對自己的病毒特徵庫進行更新,因此定期更新殺毒軟體可以保持病毒特徵庫是最新的,可以有效減少勒索病毒來源的種類。
(6)非弱口令
勒索病毒不單單會利用系統漏洞或者掛馬的方式進行進入受害者的電腦,還可能會破解用戶電腦的登錄帳號資訊來直接控制用戶的電腦,然後植入勒索病毒。
鑒於這種情況,一般建議增加登錄密碼的複雜度,包括超級管理員帳號和一般的普通帳號,一般建議密碼長度最少為8,其中需要包含大小寫字母、數字和特殊符號。
除了增加密碼的複雜度之外,還可以使用密鑰認證的方式進行登錄的鑒權,只需要將需要登錄到伺服器的人員的公鑰資訊加到目標伺服器的目標用戶的密鑰配置文件中即可,密鑰的安全程度總體上要比密碼的安全程度高,建議使用密鑰認證代替密碼認證。
(7)系統漏洞修補程式
實際使用中,伺服器的作業系統版本一般不會進行頻繁的變更,但這並不代表作業系統的問題就可以忽視。
系統可以不頻繁升級,但可以通過打修補程式的方式減少現有系統的漏洞,但一般建議經常關注現有系統的漏洞預警資訊,及時對漏洞進行修復。
2、雲環境預防
(1)重要數據定期備份
由於雲廠商一般會提供較多的數據備份措施,因此相比非雲環境,雲環境的數據備份相對簡單些。
不論是保存在雲硬碟還是各類PASS服務自己的數據都有完善的數據備份機制,一般建議設置自動定時備份,全量備份、增量備份都可以,如果是增量備份的話可以將備份的頻率設置的相對大一些,這樣在使用備份的數據進行數據恢復的時候,恢復後的數據相對較新。
(2)配置VPC安全組
VPC就是用戶自己的私有網路,用戶伺服器的流量的出入都需要經過VPC 安全組的過濾,因此合理的安全組規則可以有效的降低伺服器被植入勒索病毒的風險。
VPC 安全組一般都會分出、入兩個方向進行設置,出入的埠號一般建議逐個審核、登記,出入的伺服器的IP段建議在滿足業務需要的情況下盡量的減小網段的範圍。
(3)關注廠商發布的病毒提醒
對於當前伺服器面臨的安全風險,雲廠商一般都會在第一時間進行潛在風險和修復方式的公布,建議經常關注云廠商發布的網站公告。對於需要用戶自己進行修復的情況,及時按照廠商提供的方案進行修復。
(4)鏡像定期備份
不僅僅是雲盤中的數據需要周期性的備份,系統盤中的數據一般也建議進行周期性的備份。
從實際的使用情況來看,很多用戶在使用伺服器時有時也會將一部分的數據放置到系統盤中,因此對系統盤的數據進行周期性的備份或者打快照都是很有必要的。
(*本文為AI科技大本營轉載文章,轉載請聯繫作者)
