信息來源：FreeBuf

1、簡介：2017年我們學(xué)到了什么？

在2017年勒索軟件帶給我們的威脅來的很突然且在不斷演變和進(jìn)化，本年中三次史無前例的勒索軟件爆發(fā)事件或?qū)⒂肋h(yuǎn)改變我們對勒索軟件的態(tài)度與看法。被攻擊的企業(yè)目標(biāo)、使用蠕蟲及最新曝光的漏洞利用進(jìn)行自我傳播、加密數(shù)據(jù)、索要贖金，而這些都不是他們真正想要的。潛伏在勒索軟件的后面的這些攻擊實施者不太可能是普通的小偷，我們至少在一起攻擊中發(fā)現(xiàn)了設(shè)計缺陷，表明了勒索軟件可能被過早地釋放了，另一起是通過商業(yè)軟件進(jìn)行傳播的攻擊事件，兩類事件是相關(guān)的，并且它們似乎都是為破壞數(shù)據(jù)設(shè)計的。這三起勒索軟件攻擊事件的受害者已經(jīng)為此付出了數(shù)億美元的投入。

歡迎來到屬于勒索軟件的2017年——這一年全球越來越多的企業(yè)及工業(yè)系統(tǒng)被添加到不斷增長的受害者名單中，并且目標(biāo)式攻擊者也開始對這一目標(biāo)產(chǎn)生濃厚的興趣，這也是一個攻擊事件次數(shù)持續(xù)不斷增長的年份，但是攻擊事件的創(chuàng)新性是有限的。

（本文著重強(qiáng)調(diào)了勒索軟件的關(guān)鍵時間點。）

2、大規(guī)模爆發(fā)并不全是看上去那樣

WannaCry

WannaCry爆發(fā)于5月12日，那時安全社區(qū)發(fā)現(xiàn)了近10年都未曾見過的東西：一個由無法控制傳播的蠕蟲病毒進(jìn)行的網(wǎng)絡(luò)攻擊，在這種情況下，蠕蟲被設(shè)計成在受蠕蟲感染的主機(jī)上安裝WannaCry crypto-ransomware（加密型勒索軟件，參見《Ransomware Defending Against Digital Extortion》一書，將勒索軟件分為文件加密型和系統(tǒng)鎖定型）。

WannaCry在全球范圍內(nèi)感染了成千上萬的主機(jī)，為了實現(xiàn)傳播，蠕蟲采用了永恒之藍(lán)的漏洞以及一個DoublePulsar的后門，它們都是由Shadow Broker組織在WannaCry爆發(fā)前一個多月公開的。該蠕蟲自動將所有本地子網(wǎng)內(nèi)的主機(jī)作為目標(biāo)，并且也將局域網(wǎng)外的隨機(jī)IP網(wǎng)段作為攻擊目標(biāo)，實現(xiàn)在全球范圍內(nèi)快速傳播。

為了感染一個機(jī)器，WannaCry利用了Windows SMB協(xié)議的漏洞。微軟已經(jīng)在2017年3月公布了這個漏洞的補(bǔ)丁，但是還有許多未打補(bǔ)丁的主機(jī)在此次WannaCry事件傳播的影響。

在WannaCry感染了一臺機(jī)器并執(zhí)行了一項例程之后，它會加密一些受害主機(jī)的有價值文件，并出示了一個要求贖金的頁面。不支付贖金而完全解密這些受影響的文件是不可能的——盡管分析師在WannaCry的代碼中發(fā)現(xiàn)了一些缺陷，可以使受害者在不支付贖金的情況下恢復(fù)部分?jǐn)?shù)據(jù)。

WannaCry的影響范圍

這次WannaCry攻擊事件是與行業(yè)無關(guān)的，受害者主要都是有網(wǎng)絡(luò)系統(tǒng)的組織。WannaCry同時也對嵌入式系統(tǒng)進(jìn)行了攻擊，它們通常都是在舊的操作系統(tǒng)上運(yùn)行，因此也非常脆弱。受害者收到要求支付比特幣的勒索單，有報告顯示受害者的最終數(shù)量可能高達(dá)一百萬的四分之三。

雷諾汽車制造公司因此不得不關(guān)閉它在法國的工廠，英國的醫(yī)院不得不選擇轉(zhuǎn)移病人，德國運(yùn)輸巨頭Deutsche Bahn、西班牙通信公司Telefónica、西孟加拉電力公司、FedEx、HiTachi（日立）和俄羅斯政府部門也同樣受到的攻擊。在WannaCry爆發(fā)了一個月之后得到了控制，仍有受害者不斷爆出，包括本田（Honda）被破關(guān)閉了一個生產(chǎn)系統(tǒng)和澳大利亞的55 Speed cameras。

 WannaCry懸而未決的問題

WannaCry作為一次針對企業(yè)的目標(biāo)式破壞性攻擊事件是非常成功的，但作為以獲得大量的金錢為目的的勒索軟件攻擊事件，它是失敗的。將以賺錢為目的的威脅通過蠕蟲進(jìn)行傳播是不明智的。據(jù)估計，由于比特幣的可見性，這次WannaCry攻擊事件僅僅收獲了5.5萬美元的比特幣。WannaCry代碼某些部分非常差，因此有人說在其代碼在未完全準(zhǔn)備好就被拿來使用了。同時有專家提出其早期的代碼相似度與朝鮮的攻擊組織Lazarus使用的代碼相似。

WannaCry攻擊事件的真實目的可能永遠(yuǎn)不會知道，其勒索軟件代碼出現(xiàn)了問題？還是這是一起精心策劃的以勒索軟件攻擊作為掩飾的一次故意的破壞性攻擊事件？

ExPetr

第二波大規(guī)模勒索軟件攻擊在WannaCry六周之后（6月27日）。這次傳播主要通過感染軟件供應(yīng)鏈和目標(biāo)機(jī)器實現(xiàn)，受感染范圍主要集中在烏克蘭、俄羅斯和西歐?？ò退够臄?shù)據(jù)顯示受感染用戶已超過5000，受害者收到的勒索要求大約在300美元的比特幣，后來結(jié)果證明受害用戶無法恢復(fù)他們的受感染文件。

Expetr是一次復(fù)雜的攻擊，它涉及了許多入侵手段，包括修改版的永恒之藍(lán)（WannaCry使用過的），和永恒浪漫漏洞利用、以及雙脈沖星后門DoublePulsar來進(jìn)行傳播，受感染的MeDoc會計軟件通過軟件更新來分發(fā)惡意軟件；一個被攻陷的烏克蘭Bakhmut地區(qū)的新聞?wù)军c被攻擊者用來進(jìn)行水坑攻擊。

更有甚者，Expetr能夠傳播感染那些在相同本地網(wǎng)絡(luò)中最初受感染且已經(jīng)安裝補(bǔ)丁的主機(jī)。為了做到這一點，Expetr從受感染系統(tǒng)中獲得了證書，通過一種類似mimikatza的工具并使用PsExec或WMIC工具進(jìn)行橫向移動。

Expetr的加密組件在兩個級別上運(yùn)行：用AES-128算法加密受害者的文件以及通過另一個惡意程序GoldenEye(原始Petya家族的繼承者)下載安裝一個修改過的引導(dǎo)加載程序。這惡意引導(dǎo)加載程序?qū)FT（NTFS的系統(tǒng)的一個關(guān)鍵的數(shù)據(jù)結(jié)構(gòu)）進(jìn)行加密，并阻止進(jìn)一步的引導(dǎo)過程，要求支付贖金。

Expetr的影響范圍

Expetr的受害者包括許多類似港口、超市、廣告機(jī)構(gòu)和法律公司的大型組織，例如Maersk、FedEx（TNT）和WPP。在該攻擊過去之后的一個月，TNT的物流系統(tǒng)仍然受影響，以SMB客戶系統(tǒng)為最嚴(yán)重。另一個受害者是消費(fèi)品巨頭 Reckitt Benckiser，它在攻擊發(fā)生的短短45分鐘之內(nèi)，失去了對15000臺筆記本、2000臺服務(wù)器和500臺電腦系統(tǒng)的訪問權(quán)限，估計將損失達(dá)到一億三千萬美元。Maersk發(fā)布聲明在這波攻擊中損失達(dá)到三億美元。

Expetr懸而未決的問題

卡巴斯基實驗室發(fā)現(xiàn)了Expetr代碼與早期BlackEnergy組織使用的KillDisk代碼是相似的，但是Expetr的真實意圖和目的仍在未知。

BadRabbit

在10月下旬，另外一個稱為“BadRabbit”的加密型蠕蟲出現(xiàn)了。最初的感染通過一些被入侵的網(wǎng)站提供的模仿Adobe Flash Player更新的“Drive-by download”（重定向下載）服務(wù)進(jìn)行的。當(dāng)在一個受害者的計算機(jī)上啟動時，BadRabbit的蠕蟲組件試圖利用“永恒浪漫”的漏洞進(jìn)行自我傳播，并采用類似于ExPetr所使用的橫向移動技術(shù)。BadRabbit大部分目標(biāo)都位于俄羅斯、烏克蘭、土耳其和德國。

BadRabbit的勒索軟件組件對受害者文件進(jìn)行加密，然后使用合法的DiskCryptor工具的模塊對整個磁盤分區(qū)進(jìn)行加密。通對BadRabbit樣本的代碼技術(shù)分析表明，它與惡意代碼ExPetr有顯著的相似之處，但是與ExPetr不同，BadRabbit它似乎并不是一個磁盤清理程序，因為它的加密技術(shù)允許攻擊者對受害主機(jī)進(jìn)行解密。

3、泄露的漏洞利用武裝了新的大規(guī)模攻擊

上述提到的勒索軟件爆發(fā)事件背后的罪犯，并不是唯一使用被影子經(jīng)紀(jì)人泄露的漏洞利用代碼而造成嚴(yán)重破壞的人。我們還發(fā)現(xiàn)了一些不那么臭名昭著的勒索軟件家族在某一時刻也利用了同樣的漏洞，包括：AES-NI(Trojan-Ransom.Win32.AecHu)和Uiwix(Trojan-Ransom.Win32.Cryptoff的一種變體)。這些惡意軟件的家族是“純粹的勒索軟件”，在某種意義上說它們不包含任何蠕蟲的能力（自我復(fù)制），這也就是為什么他們并沒有像WannaCry的那樣廣泛傳播的原因。然而，這些惡意軟件背后的攻擊者們在最初的感染過程中都利用了受害主機(jī)上相同的漏洞。

4、幾個勒索軟件家族的萬能密鑰被釋放

除了大規(guī)模的勒索軟件感染事件震撼了世界，2017年第二季度還出現(xiàn)了一個有趣的趨勢：在不同的勒索軟件背后的幾個攻擊組織隱藏著他們的活動并公布了能夠解密受害主機(jī)文件的密鑰。

下面是在今年二季度被公開秘鑰的勒索軟件家族：

CrysisCrysis (Trojan-Ransom.Win32.Crusis);

AES-NI (Trojan-Ransom.Win32.AecHu);

xdata (Trojan-Ransom.Win32.AecHu);

Petya/Mischa/GoldenEye (Trojan-Ransom.Win32.Petr).

在ExPetr爆發(fā)后的很短時間內(nèi)，Petya/Mischa/GoldenEye的萬能密鑰被公布，可能是一種嘗試最初的Petya的作者證明了他們不是ExPetr后面的那個人。

5、Crysis的重現(xiàn)

盡管Crysis勒索軟件似乎在2017年5月所有萬能密鑰被公布之后就已不再活躍，然而它并沒有消失太久。在2017年8月，我們開始發(fā)現(xiàn)這類勒索軟件的大量新樣本，結(jié)果幾乎是一樣的以前分布的樣本副本，其中只存在一些差異：它們有新的萬能密鑰、用來聯(lián)系攻擊者的新電子郵件地址，加密文件的新擴(kuò)展后綴。除此之外，其他一切仍保持不變——甚至是PE header中的時間戳。經(jīng)過徹底的分析比對新舊樣本，分析人員得出最有可能的結(jié)論是：新樣本是通過使用十六進(jìn)制編輯器進(jìn)行二進(jìn)制補(bǔ)丁的方法創(chuàng)建的。其中一個可能的原因是新樣本背后的犯罪分子并沒有掌握源代碼，只能簡單地對勒索軟件進(jìn)行逆向工程，為了自己的目的讓Crysis死而復(fù)生。

6、RDP感染量繼續(xù)增長

2016年，我們注意到勒索軟件出現(xiàn)的一種新趨勢：攻擊者并不試圖欺騙受害者執(zhí)行惡意可執(zhí)行文件或使用漏洞利用工具，而是轉(zhuǎn)向另一個感染途徑——通過暴力破解RDP（遠(yuǎn)程桌面）登錄和密碼實現(xiàn)，而這些資源可以在互聯(lián)網(wǎng)上獲得。在2017年，通過RDP的感染方法成為幾類勒索軟件家族（例如：Crysis、Purgen/GlobeImposter、Cryakl）的主要傳播途徑之一，這也提醒我們的安全專家在保護(hù)網(wǎng)絡(luò)時，應(yīng)該記住阻止從外部網(wǎng)絡(luò)到公司內(nèi)部網(wǎng)絡(luò)的RDP訪問。

7、勒索軟件一年的數(shù)量

重要的是不要去在意那些過時的數(shù)字，因為數(shù)字反應(yīng)了檢測技術(shù)的變化，并且一直在變化。不得不說，有一些值得注意的趨勢是：

創(chuàng)新的水平似乎正在下降——在2017年，38個新種族的加密勒索軟件被認(rèn)為是有趣的，能夠被認(rèn)為是新的家族，與2016年的62個相比呈現(xiàn)下降趨勢。這可能是由于加密型勒索軟件模型具有相當(dāng)?shù)木窒扌裕瑢τ趷阂廛浖_發(fā)人員來說，要發(fā)明一些新的東西變得越來越難了。

所發(fā)現(xiàn)的對新型和現(xiàn)有的勒索軟件的修改更多：2017年發(fā)現(xiàn)了超過96000個，而2016年只有54000個。修改的增加可能反映了一個現(xiàn)象：由于現(xiàn)有安全解決方案能夠更好檢測它們，使得攻擊者為了逃避檢測而選擇混淆他們的勒索軟件。

針對卡巴斯基實驗室客戶的攻擊數(shù)量仍然相當(dāng)穩(wěn)定。事實上，2016年的高峰已經(jīng)被一種更穩(wěn)定每月傳播量所取代?？偟膩碚f，在2017年，只有不到95萬的用戶遭到攻擊，相比之下，2016年該數(shù)字是150萬。然而,這些數(shù)據(jù)包括了勒索軟件的加密器和下載器，如果只考慮加密器這一個數(shù)字來說，2017年的攻擊數(shù)據(jù)與2016年類似。如果從攻擊者開始通過各種手段分發(fā)勒索軟件考慮，例如爆破口令和人工啟動等，這個數(shù)字是有意義的。這些數(shù)字并不包括世界上的包含未在我們的解決方案中的許多計算機(jī)，據(jù)估計約有727000個獨(dú)立IP地址在WannaCry中受到感染。

WannaCry，ExPetr和BadRabbit針對企業(yè)的攻擊在2017年是26.2%，在2016年這一比例為22.6%，只是略微增加，且超過4%的目標(biāo)是中小型企業(yè)。

8、卡巴斯基實驗室的年度信息技術(shù)安全調(diào)查

在2017年，被勒索軟件攻擊的企業(yè)中，有65%表示失去了對重要的甚至全部數(shù)據(jù)的訪問，29%表示盡管他們能夠解密自己的數(shù)據(jù)，但仍有相當(dāng)數(shù)量的文件永遠(yuǎn)消失了。這些數(shù)字與2016年的情況一致。

受影響的人群中，有34%的人每周都要花上一星期的時間來恢復(fù)完全的接觸，而在2016年，這一比例為29%。

36%的人選擇支付贖金，但這其中仍有17%的人無法恢復(fù)他們的數(shù)據(jù)。2016年這兩個數(shù)字分別是32%和19%。

9、結(jié)論：勒索軟件的未來？

在2017年，我們看到了勒索軟件顯然是被高級的攻擊者用于對大規(guī)模攻擊行動，主要為的是破壞數(shù)據(jù)而不是對獲得金錢。受攻擊的目標(biāo)中，中小企業(yè)和公司數(shù)目仍然很高，但主要是由現(xiàn)存的或已知家族修改后的勒索軟件造成的。

卡巴斯基實驗室在2018年對密碼貨幣的威脅預(yù)測表明：為安裝挖礦軟件為目的攻擊將增加，勒索軟件只是提供了潛在的一次性的大額收入機(jī)會，而挖礦軟件會帶來更低但更長期的收益，這對許多勒索軟件攻擊者來說是非常有誘惑的。但有一件事是可疑肯定的，勒索軟件不會消失（既不作為直接威脅，也不是作為對更深層次攻擊的偽裝）。

10、與勒索軟件的對抗仍在繼續(xù)

通過合作對抗：在2016年7月25日，是由卡巴斯基實驗室、荷蘭國家警察局、歐洲刑警組織、McAfee聯(lián)合發(fā)起了“No More Ransom initiative”（不再主動支付贖金）這項倡議，它聯(lián)合公私力量打擊網(wǎng)絡(luò)罪犯和為受害者提供專業(yè)知識、技巧和解密工具，這在歷史上是獨(dú)一無二的例子。一年內(nèi)，該項目已有109個合作伙伴，支持26種語言；在線網(wǎng)站提供54個解密工具，覆蓋了104個勒索軟件家族。迄今為止，超過有28000個設(shè)備被解密，挽救了950萬美元的贖金。

通過情報對抗：卡巴斯基實驗室從一開始就對勒索軟件的威脅進(jìn)行了監(jiān)控，也是最早提供關(guān)于勒索軟件威脅情報更新的公司之一，促進(jìn)產(chǎn)業(yè)界的安全意識。公司定期發(fā)布公告，闡述對不斷發(fā)展的勒索軟件景觀的看法。

通過技術(shù)對抗：卡巴斯基實驗室提供多層次的保護(hù)來抵御這種廣泛而日益增加的威脅，包括免費(fèi)的反勒索軟件工具，任何人都可以下載和使用。公司產(chǎn)品還包括更進(jìn)一步的技術(shù)系統(tǒng)監(jiān)視器，它可以阻止和回滾設(shè)備上的惡意更改。