一.報告摘要
2017年5月12日20時,全球爆發(fā)大規(guī)模比特幣勒索感染事件����。美國、英國����、俄羅斯、中國等多個國家都遭到了WannaCry勒索軟件的攻擊�����。一時關(guān)于比特幣勒索的相關(guān)報道呈井噴之勢,充斥于媒體報端��。但多數(shù)內(nèi)容不是流于表面�,就是過于片面化,并不系統(tǒng)���。經(jīng)過多年對比特幣勒索的密切關(guān)注和深刻理解,安華金和攻防實驗室總結(jié)整理出頗具技術(shù)含量的比特幣勒索發(fā)展報告�����,以下報告以比特幣勒索為研究對象�,以比特幣勒索的發(fā)展為綱,嘗試為各位勾勒出一副全面的比特幣勒索的攻擊和防護建議圖����。
本報告主要分為四部分:第一部分介紹比特幣勒索和歷史;第二部分介紹比特幣勒索的原理模型��;第三部分介紹數(shù)據(jù)庫比特幣勒索��;第四部分介紹數(shù)據(jù)庫比特別勒索應(yīng)該采取的防護手段����。
二.報告正文
1)比特幣勒索
在比特幣勒索事件頻發(fā),影響越發(fā)嚴重的今天����,深入理解比特幣勒索�,有助于我們更好地為客戶提供安全服務(wù)和安全產(chǎn)品����。簡單地說,比特幣勒索的核心就是“要錢”�����。黑客利用某些技術(shù)手段阻止受害者正常訪問數(shù)據(jù)或電子設(shè)備�,通過逼迫、恐嚇或威脅受害人的方式��,已達到騙取贖金的目的�����。通常��,黑客會給出交付贖金的時間����,并威脅超過規(guī)定時長之后,贖金將翻倍或數(shù)據(jù)會被清除。
比特幣勒索的危害不單是伴隨勒索帶來的經(jīng)濟損失����,更多的是因為勒索攻擊造成醫(yī)療、金融��、零售等行業(yè)服務(wù)中斷�����,從而引發(fā)的經(jīng)濟���、信譽、時間等方面的損失���。美國圣地亞哥州一所醫(yī)院遭到比特幣勒索攻擊����,最終所有醫(yī)生無法使用電子設(shè)備�����,只能通過紙筆重新為病人服務(wù)��。正是沒有電子設(shè)備的輔助,醫(yī)生無法準確判斷病人情況���,造成多起病情延誤�����,給病人以及家屬帶來無可挽回的損失��。
2)早期的比特幣勒索
現(xiàn)今�,比特幣勒索發(fā)生頻率日益頻繁���,已經(jīng)引起了各方的重視�。很多人以為比特幣勒索是新出現(xiàn)的黑客攻擊方法�。但實際上,比特幣勒索并非新鮮事�,最早在1989年就出現(xiàn)了第一款比特幣勒索軟件,而后直到2005年才開始廣泛使用�����。隨著計算機技術(shù)的發(fā)展���,2005年到2015年的10年發(fā)展中����,比特幣勒索經(jīng)歷了四次技術(shù)形態(tài)的進步。每次技術(shù)進步都在多個方面進行了優(yōu)化���,最終逐漸形成了現(xiàn)在的比特幣勒索軟件�。由于歷史所限����,每種技術(shù)都在一段時期內(nèi)占據(jù)著主導地位。2005年到2009年之間冒牌應(yīng)用軟件興起�;2010、2011兩年間“假殺毒軟件稱雄”���;2013、2014年以鎖勒索為主�;2015年之后比特幣勒索就逐漸進入加密勒索為主的時代。具體勒索軟件家族大事件表請見附錄A
現(xiàn)在比特幣勒索是一種結(jié)合了社會工程學��、軟件漏洞��、蠕蟲病毒����、TOR網(wǎng)絡(luò)等多種技術(shù)的黑客攻擊手法�����。在歷史上比特幣勒索也經(jīng)歷過初級階段:冒牌應(yīng)用軟件和假殺毒軟件�����。這兩者更多應(yīng)用的是社會工程學��,勒索的方式主要利用客戶對安全的無知��。冒牌應(yīng)用軟件時代出現(xiàn)在2005年���,當時出現(xiàn)很多輔助操作計算機的第三方工具。黑客編寫了會引起計算機異常的第三方系統(tǒng)工具供客戶使用��,客戶使用操作系統(tǒng)出現(xiàn)各種問題�,黑客再向客戶收取計算機維修費和安全檢測費用,通過這種方式詐騙錢財�。
接著2009年殺毒軟件大規(guī)模興起,很多黑客編寫能偽造安全問題的殺毒軟件����,客戶使用偽殺毒軟件很快就能發(fā)現(xiàn)很多根本不存在的安全問題。這時候假殺毒軟件以修復安全點為由���,向客戶進行收費��。每個假安全隱患收費在40美金到100美金之間�。為了取得用戶的信任,黑客偽造的殺毒軟件����,會在風格和樣式上和當時最流行的殺毒軟件保持一致。
但這兩種方式存在弊端�,即黑客難以避免和受害人相接觸。如此一來��,黑客一旦被發(fā)現(xiàn)就極易被執(zhí)法機關(guān)抓捕���,所以在2012年之后這兩種方式逐漸偃旗息鼓���,與此同時�,鎖勒索和加密勒索逐漸占據(jù)了整個比特幣勒索的市場。
3)現(xiàn)代的比特幣勒索
現(xiàn)在比特幣勒索主要指鎖勒索和加密勒索這兩類����。這兩類勒索利用TOR網(wǎng)絡(luò)和比特幣收款,有效的隱藏了收款中給執(zhí)法者留下的追蹤鏈條�,成功地減小了不法分子的被捕幾率���。這兩種勒索主要的區(qū)別在于,他們基于不同層來阻斷用戶訪問數(shù)據(jù)���。
第一類鎖勒索(locker ransomware)也稱為Computer locker����。這種方式一般是鎖定計算機或用戶界面��,然后要求用戶支付費贖金�,以恢復對數(shù)據(jù)的訪問。
鎖勒索這種方式現(xiàn)在較常出現(xiàn)在手機端�����。鎖屏幕主要是2種方式:一種是添加一個置頂框在界面上覆蓋界面�����,阻止用戶的正常操作���。這種方式未對低層文件并做任何修改����,只是添加了一層界面。該方式可以通過很多技術(shù)手段處理��,并不需要向黑客繳納贖金���。第二種方式是利用某些漏洞拿到root權(quán)限設(shè)置屏?;蛐薷逆i屏密碼�,然后對受害者進行勒索。這種方式可以在損失一定數(shù)據(jù)的情況下通過手機的recovery方式進行解鎖���??傮w來說��,鎖勒索這種方式比較容易被破解�,黑客的勒索界面也多偽裝成司法機關(guān),進行嚇唬式的勒索�����。如上圖就是黑客冒充的各國司法機關(guān)的勒索樣例����。
現(xiàn)在更多見的是第二種加密勒索(crypto ranspmware)����,也稱為data locker����。這種類型的勒索軟件被設(shè)計成可以查找用戶機器上所有有價值的數(shù)據(jù)����,然后對數(shù)據(jù)進行高強度的加密(AES 256等),加密后刪除原始數(shù)據(jù)����。客戶如果沒有備份�,難以通過單純的技術(shù)手段破解被加密的文件。
加密勒索�����,一般不會對操作界面���、鼠標和鍵盤等進行鎖定�����,數(shù)據(jù)文件被加密后��,不會導致操作系統(tǒng)出現(xiàn)異常����,受害者還可以使用計算機。
鎖勒索和加密勒索是當今比特幣勒索的兩種方式��。越來越多的黑客選擇使用加密勒索�����,主要因為加密勒索的贖金支付率比鎖勒索更高�。2016年加密勒索贖金支付率為4.3%,而鎖勒索的贖金支付率僅為1.5%���。
4)今天的比特幣勒索
今天的比特幣勒索已經(jīng)不是一種單純的黑客技術(shù)�,更不是單純的惡意軟件����,而是一種成熟的“商業(yè)模式”(ransomware as a service),圍繞比特幣勒索已經(jīng)形成了一條完善的產(chǎn)業(yè)鏈�����。在暗網(wǎng)中存在大量出售比特幣勒索服務(wù)的黑客團體,他們會提供模塊化的比特幣勒索服務(wù)組件���,這些組件可以客制化的生成勒索套件,旨在幫助不了解比特幣勒索的初級黑客完成比特幣勒索攻擊�����。而黑客只需要為該服務(wù)支付一定的費用��,指定收款錢包���,以及贖金金額即可�����。
黑客支付的比特幣勒索服務(wù)分為兩種模式:一種是不需要繳納費用����,但需要和開發(fā)者每筆分賬���,常見分賬比例多為4����、6開。另一種模式則采用單位時間或終身買斷制����,價格差別較大。筆者在暗網(wǎng)中發(fā)現(xiàn)最便宜的一款只需39美金就可終身買斷���。
比特幣勒索軟件提供者���,不只提供勒索軟件,更多的還會提供各種傳播比特幣勒索軟件的僵尸網(wǎng)絡(luò)����、惡意廣告、垃圾郵件等服務(wù)�。比特幣勒索的出現(xiàn),給黑產(chǎn)數(shù)據(jù)變現(xiàn)提供了更低廉的成本���、更便捷的方法�����、更小的被捕風險���、以及更簡易的操作方式�。
隨著Raas的成熟���,從2013年起比特幣勒索攻擊��,就開始進入高速發(fā)展期,2016年則直接進入瘋狂期�。2015年負責制作比特幣勒索的黑客團體一共29個,但到2016年底負責制作比特幣勒索的黑客團體已達到247個���,增幅達到752%����。
不光制造比特幣勒索的黑客團隊變多��,比特幣勒索的攻擊頻率也極速提升�����。據(jù)監(jiān)測����,2015年平均每天可檢測到全球遭到1000次比特別勒索軟件攻擊,而2016年全球可檢測到平均每日遭到比特幣勒索攻擊上升到4000次�����,一年間每日攻擊次數(shù)提升300%。
比特幣勒索在這種持續(xù)的高速發(fā)展下���,越來越多的黑客團伙從傳統(tǒng)惡意軟件����、銀行木馬���、間諜軟件�、網(wǎng)絡(luò)犯罪等模式中���,轉(zhuǎn)入比特幣勒索����。比特幣勒索已于2016年底占據(jù)了所有黑客攻擊模式的66%���。而回顧在同年1月份����,當時比特幣勒索占比只有18%��。發(fā)展的速度之快令人震驚,可以肯定比特幣勒索即將取代電信詐騙成為未來數(shù)據(jù)安全的頭號死敵���。
比特幣勒索�����,不單瞄準某些地區(qū)和行業(yè)����,而是采取了全球化布局����。常見的比特幣勒索工具已經(jīng)支持28個國家和地區(qū)����,黑客更是在全球范圍內(nèi)散布。經(jīng)監(jiān)測�,2016年初就發(fā)現(xiàn),有針對中國地區(qū)的比特幣勒索軟件��,2016年第四季度和2017年第一季度����,中國已和全球同步遭受多次比特幣勒索攻擊�����。具體攻擊事件見附錄B
5)比特幣勒索的經(jīng)濟效益
比特幣勒索的飛速發(fā)展和它背后的經(jīng)濟利益是密不可分的��。2016年負責編寫勒索軟件負載的黑客團體一年營收產(chǎn)值預(yù)計6000萬美元����,而這種黑客團體有200多個����,保守估計2017年比特幣勒索將是一個100億級別的市場。
2017年比特幣勒索軟件逐漸呈現(xiàn)兩種不同的發(fā)展方向��。一種方式偏向企業(yè)級目標���,采用“定點打擊式”��。這種方式黑客只追求高質(zhì)量的受害者���,而不是更多的受害者,往往單筆勒索贖金在一萬美金左右��。和這種“定點打擊式”相反的是“亂槍打鳥式”�����,這種主要類型的比特幣勒索以快速、廣泛�����、大量傳播為目�,主要依靠更多的感染者來詐取贖金。這種方式主要是針對個人目標進行攻擊����,他們攻擊的最終點是個人數(shù)據(jù),多在惡意廣告���、惡意信息中夾帶,感染源有很強的自動復制能力��,單筆贖金較低����,在300美金左右。
6)比特幣勒索的類型
比特幣勒索從1989年至今�����,歷經(jīng)二十余年的發(fā)展。逐漸從只針對DOS單一平臺的數(shù)據(jù)勒索軟件發(fā)展成橫掃DOS��、windows�、android 、mac�、關(guān)系型數(shù)據(jù)庫、nosql數(shù)據(jù)庫等多種數(shù)據(jù)存儲平臺的勒索軟件�。其中windows和android發(fā)展時間較長變化較多,而針對mac�、關(guān)系型數(shù)據(jù)庫和nosql數(shù)據(jù)庫的比特幣勒索都是在2016年才發(fā)現(xiàn)首例樣本。
DOS比特幣勒索
第一款比特幣勒索軟件PC Cyborg就是以當年流行的操作系統(tǒng)DOS為目標���。PC Cyborg的傳播方式是軟盤分發(fā)的形式��。軟盤名稱寫成“艾滋病信息”來誘導用戶讀取其中信息��。一旦用戶使用該軟盤���,軟盤會偷偷替換DOS系統(tǒng)目錄下的AUTOEXEC.BAT文件。該文件會記錄用戶開關(guān)機次數(shù)����,一旦滿足90次,PC Cyborg就隱藏用戶文件,提出信息提示用戶軟件許可過期�����,要求用戶給不法分子通過郵政寄去189美金��。
由于DOS當時缺乏有效的傳播方式�����,所以用戶不使用來歷不明的軟盤就可以避免被感染��,甚至用戶熟悉DOS系統(tǒng)���,可以通過手動的方式改回被不法分子隱藏的文件�。DOS階段由于傳播方式所限���,比特幣勒索并沒有大規(guī)模傳播的土壤�,所以影響并不大����。
Windows比特幣勒索
Windows是比特幣勒索變化最多的平臺�����。針對windows 平臺的勒索軟件有200多種,分別采用不同的方式阻止用戶正常訪問數(shù)據(jù)�����?;究梢苑殖涉i定系統(tǒng)屏幕、偽裝殺毒軟件���、偽裝當?shù)貓?zhí)法機構(gòu)���、隱藏用戶文件、刪除用戶文件和加密用戶文檔數(shù)據(jù)等多種方式�。大部分勒索軟件會采取其中多種方式聯(lián)合使用。由于windows系統(tǒng)多被用于生活和個人工作場景�����,垃圾郵件��、惡意廣告���、系統(tǒng)漏洞等都給windows系統(tǒng)遭受比特幣勒索感染提供了機會���。最近席卷全球的比特幣勒索就是利用windows 443的遠程執(zhí)行漏洞��,將比特幣勒索感染到目標機器�。
由于windows平臺感染方式較多��,安華金和攻防實驗室建議做好以下五點防護措施:1�、平時做好重要文件的異地備份;2�����、開啟系統(tǒng)防護墻���;3���、對于不使用的服務(wù)或端口進行手動關(guān)閉;4��、打開系統(tǒng)自動更新��,積極更新最新補?�?����;5�、不使用微軟停止支持的操作系統(tǒng)(xp、sever2003)���。
Android比特幣勒索
安卓比特幣勒索起步比windows比特幣勒索稍晚�,但勒索軟件種類和攻擊方式并不比windows少多少����。自從2013年發(fā)現(xiàn)首例冒充殺毒軟件的安卓比特幣勒索軟件后,安卓比特幣勒索就開始大量出現(xiàn)����。安卓平臺的比特幣勒索攻擊方式可以分為鎖定系統(tǒng)屏幕、攔截手機來電�、偽裝殺毒軟件、刪除用戶文件����、加密通訊錄等。
安卓比特幣勒索的傳播方式主要是通過惡意應(yīng)用����,很多安卓勒索軟件會偽裝成游戲的外掛��、刷贊��、刷鉆����、刷人氣的軟件��。由于大量安卓軟件商城允許第三方開發(fā)�,在上線軟件的時候并未做嚴格審查,使得惡意應(yīng)用堂而皇之的掛在商城出售�。惡意軟件冒充高排名軟件被受害人大量下載,受害人執(zhí)行惡意軟件后�����,導致手機被勒索����。
安華金和攻防實驗室對預(yù)防安卓比特幣勒索建議做到以下三點:1、從可信軟件源下載應(yīng)用��;2�、關(guān)鍵數(shù)據(jù)定時備份;3�、提高辨別勒索軟件的能力�����。勒索軟件有兩個特征,一是.勒索軟件一般小于1MB�����;二是勒索軟件會申請“SYSTEM_ALERT_WINDOW”權(quán)限或誘導用戶激活設(shè)備管器�����。
Mac 比特幣勒索
由于Mac嚴格的商店審核流程�,在安卓比特幣勒索泛濫的情況下,Mac就是移動端的一片凈土�����,無一例Mac比特幣勒索樣例����。然而2016年3月份這片凈土被打破,Mac發(fā)現(xiàn)首例比特幣勒索軟件��。
知名BT軟件Transmission中被惡意植入了包含惡意代碼的General.rtf文件��。該文件雖然使用正常的RTF圖標,但實際上卻是一個可執(zhí)行文件�,下載到惡意軟件的用戶在執(zhí)行該軟件后會加密目標文檔向客戶實施勒索。由于此事在發(fā)生四小時后就被發(fā)現(xiàn)�,蘋果第一時間下架存在惡意代碼的Transmission,所以此次比特幣勒索并未給用戶帶來太多影響���。
Nosql比特幣勒索
Nosql數(shù)據(jù)庫作為一種新型的數(shù)據(jù)庫�����,因自身特性��,在云上大放異彩���,數(shù)以萬計的Nosql數(shù)據(jù)庫在云上運行。由于Nosql在安全上還不夠成熟�,所在默認的Nosql存在安全漏洞和安全錯誤配置。2016年12月到轉(zhuǎn)年1月份的不足一個月時間里���,mongodb�、ElasticSearch�、Cassandra、redis、hadoop�����、CounchDB等多個Nosql數(shù)據(jù)庫遭到多組黑客輪番比特幣勒索攻擊����。
安華金和攻防實驗室建議用戶:1�、對Nosql數(shù)據(jù)庫進行安全配置(不要使用默認配置)并積極升級修復存在漏洞;2���、同時要做好關(guān)鍵數(shù)據(jù)對的備份工作����;3����、或者采用Nosql數(shù)據(jù)庫防火墻可以有效的保護Nosql數(shù)據(jù)庫免受比特幣勒索攻擊。
關(guān)系型數(shù)據(jù)庫比特幣勒索
關(guān)系型數(shù)據(jù)庫自身的安全設(shè)計已趨于完善���,處于內(nèi)網(wǎng)的環(huán)境中有效的減少了被勒索軟件攻擊的可能����。除去針對操作系統(tǒng)的加密勒索會對數(shù)據(jù)庫文件進行加密���,造成數(shù)據(jù)庫不可用外����。2016年發(fā)現(xiàn)有專門針對數(shù)據(jù)庫的勒索軟件出現(xiàn)。
專門針對數(shù)據(jù)庫的勒索軟件�����,多采用惡意代碼注入數(shù)據(jù)庫專用工具的方式����。為了防止被發(fā)現(xiàn),惡意代碼還對自己采用warp 做加密處理(一種oracle支持的加密方式)���。惡意代碼跟隨數(shù)據(jù)庫專用工具感染每一個被訪問的數(shù)據(jù)庫���。惡意代碼對每種不同的數(shù)據(jù)庫賬號分別使用不同的方式,以保證能控制受害者數(shù)據(jù)����,達到勒索效果。
安華金和攻防實驗室建議用戶:1��、對數(shù)據(jù)庫訪問工具做安全檢查防止帶入惡意代碼;2�����、做好關(guān)鍵數(shù)據(jù)對的備份工作���;3����、實時采用數(shù)據(jù)庫防火墻對每個訪問數(shù)據(jù)庫的包進行審查����,阻止惡意代碼進入數(shù)據(jù)庫��。相信做到以上幾條可以幫助��,數(shù)據(jù)庫免受比特幣勒索攻擊�。
7)比特幣勒索原理模型
比特幣勒索是一個相當復雜的攻擊流程,可以對多種平臺和軟件發(fā)動攻擊��。主流比特幣勒索軟件可以根據(jù)不同的軟硬間環(huán)境做出各種適應(yīng)性變化�,雖然各種比特幣勒索軟件千變?nèi)f化,但核心依然符合感染���,下載�����,執(zhí)行�,勒索,收款的的整體流程���。
感染
感染是整個比特幣勒索的第一步���,也是最關(guān)鍵的一步。這一步有多種處理方法����,主要可以分為:網(wǎng)絡(luò)安全漏洞、垃圾郵件�、下載器、僵尸網(wǎng)絡(luò)����、社會工程學和自我傳播。每種傳播分別適合不同的環(huán)境�����,同時也有大量組合使用的樣例。
社會工程學輔助下的垃圾郵件一直是分發(fā)各種網(wǎng)絡(luò)惡意軟件的首選方法���,比特幣勒索也不例外��。七成以上的比特幣勒索攻擊都是從垃圾郵件的附件開始����,為了保護自己不被追蹤����,發(fā)送垃圾郵件的服務(wù)器一般都使用屬于僵尸網(wǎng)絡(luò)的服務(wù)器進行發(fā)送,垃圾郵件通常包含惡意附件或惡意url�����,來對服務(wù)器進行感染�。
下載
當惡意URL或惡意軟件在被害者機器上打開時�����,會收集當前機器的信息�����。收集當前機器信息有兩個目的:1、識別被害機器操作系統(tǒng)���,選擇符合操作系統(tǒng)的惡意軟件下載�;2���、識別當前機器是否為虛擬機�����,如果是虛擬機或虛擬化環(huán)境����,為了逃避被發(fā)現(xiàn)�,部分勒索軟件會選擇,停止所有后續(xù)行為�,終止此次比特幣勒索攻擊。此舉有效的保護黑客所控制的C&C服務(wù)器�����,避免C&C服務(wù)器被發(fā)現(xiàn)��,而被列入通訊黑名單�����。如果確定為一臺實體機,在收集完信息后會把信息發(fā)送到黑客準備好的C&C服務(wù)器上��,同時從C&C服務(wù)器上自動下載一款適合目標機的惡意軟件����。
勒索
在真正執(zhí)行勒索軟件之前,惡意軟件會先嘗試利用漏洞來獲取一定的用戶權(quán)限�����,嘗試去關(guān)閉一些系統(tǒng)自帶的安全保護機制�,部分勒索軟件會根據(jù)關(guān)閉情況,判斷是否繼續(xù)攻擊���,但也有直接進行勒索攻擊的樣例��。
勒索軟件被部署到目標機器上��,下一步就要開始實施勒索。勒索的手法和勒索軟件使用的技術(shù)有關(guān)�。前文提到現(xiàn)在主流的勒索有兩種類型,一種是鎖勒索����,另一種是加密勒索。
鎖勒索主要是采用鎖定用戶屏幕的策略,勒索軟件顯示一個全屏幕窗口���,覆蓋整個桌面以顯示其勒索信息�,后臺會有一個進程時刻監(jiān)視勒索窗口是否被關(guān)閉���,一旦被關(guān)閉就立馬重啟一個�����,給受害者一種一直被鎖定的錯覺���。除了可以調(diào)用windows api實現(xiàn)外,還發(fā)現(xiàn)有使用瀏覽器鎖定桌面的�。分析后臺發(fā)現(xiàn),其實一直置頂?shù)拇翱谑莻€瀏覽器����,這種類型的鎖,只要殺死瀏覽器和輔助進程就可以破解��,但這種方式提供了一種跨操作系統(tǒng)平臺的鎖方式�����,不光PC端容易遭到這種勒索攻擊,移動端也會���。安卓系統(tǒng)主要是通過調(diào)用Android ExecutorService objects來定期檢查置頂?shù)幕顒哟翱?���,指定窗口一旦被關(guān)閉立馬重啟�,最終給用戶造成手機被鎖屏的錯覺。
實際上��,鎖勒索沒有修改底層的數(shù)據(jù)��,只是通過一些手段防止用戶使用而已�����。單純的鎖勒索會有很多方式破解����,但加密勒索就沒那么容易了,加密勒索對底層文件進行了修改����。比特幣勒索多采用對稱秘鑰和非對稱密鑰相結(jié)合的方式,對稱加密能保證加密的效率����,非對稱加密能保證密碼不被受害者獲得?�;谶@兩種加密方法的優(yōu)點���,現(xiàn)在基本加密模型均綜合使用兩種方法���。
首先,用戶的文件會被隨機生成的key用AES-256進行加密���,接著會把Key用RSA公鑰進行加密���。加密后存儲于被加密的文件中,最后把原始文件刪除�����。不同的勒索軟件在處理RSA公鑰的時策略不同�����,主要分兩種,一種是直接在勒索軟件中寫死RSA公鑰����,保證即便當時無法和黑客的C&C服務(wù)器通訊也可以順利完成整個加密過程,但缺點是需要每次生成不同的勒索軟件�。另一種是RSA公鑰來自當時的C&C服務(wù)器,其優(yōu)點是勒索軟件不需要生成不同的勒索軟件��,提高了自傳播的成功率��,但在加密的過程中如果無法正常訪問黑客的C&C服務(wù)器��,會導致加密失敗�。
擴散
這一步是和勒索步驟往往是同時進行的。勒索軟件有掃描模塊����,會自動通過被感染機器的網(wǎng)卡、驅(qū)動來探測網(wǎng)絡(luò)中的其他機器和機器上的其他電子設(shè)備����,發(fā)現(xiàn)可以訪問的設(shè)備后會嘗試把感染部分復制到有權(quán)限的其他機器或電子設(shè)備中。其他設(shè)備如果被感染�����,就又會重復感染、下載����、勒索����、擴散的過程,直至勒索軟件蔓延至整個內(nèi)網(wǎng)之中�����。
8)比特幣勒索的趨勢
近年來比特別勒索逐漸跳出windows和移動端的限制��,從勒索個人向勒索數(shù)據(jù)價值更高的金融�����、醫(yī)療�����、零售���、教育等行業(yè)進發(fā)����。2015年開始,有跡象表明����,大部分販賣比特幣勒索負載的黑客團體在嘗試并探索更多樣威脅企業(yè)數(shù)據(jù)的方法。企業(yè)的關(guān)鍵數(shù)據(jù)主要保存在數(shù)據(jù)庫中����,因此和數(shù)據(jù)庫相關(guān)的文件已經(jīng)成為勒索軟件的首要目標。據(jù)統(tǒng)計�����,2016年全年共有96%和81%的加密勒索軟件會針對數(shù)據(jù)庫數(shù)據(jù)文件和SQL文件進行加密勒索���。
除了利用操作系統(tǒng)對數(shù)據(jù)文件實施加密勒索的手法外���,安華金和攻防實驗室總結(jié)發(fā)現(xiàn)了大量直接針對數(shù)據(jù)庫的比特幣勒索攻擊,直接針對數(shù)據(jù)庫的比特幣勒索軟件在不同場景下有較大區(qū)別���。
9)針對數(shù)據(jù)庫的比特幣勒索攻擊
隨著黑客團體對數(shù)據(jù)庫的深入了解���,2016年底無論是云環(huán)境的數(shù)據(jù)庫還是內(nèi)網(wǎng)環(huán)境的數(shù)據(jù)庫都遭遇了大規(guī)模勒索攻擊��。從2016年12月27日開始����,云環(huán)境上的mongodb�、ElasticSearch、Cassandra����、redis��、hadoop�、CounchDB、mysql等數(shù)據(jù)庫接連遭到多個黑客團體實施比特幣勒索�,甚至出現(xiàn)一同臺數(shù)據(jù)庫被不同黑客組織重復勒索。此次大規(guī)模針對數(shù)據(jù)庫的持續(xù)勒索攻擊最終造成數(shù)以萬計的數(shù)據(jù)庫被黑客勒索�。就在同一時段內(nèi),網(wǎng)數(shù)據(jù)庫也遭遇了黑客的比特幣勒索�����,雖然內(nèi)網(wǎng)數(shù)據(jù)庫被感染的數(shù)量遠不如云上的數(shù)據(jù)庫���,但單筆勒索的費用要比云上數(shù)據(jù)庫高出許多��。
黑客在攻擊云上數(shù)據(jù)庫和內(nèi)網(wǎng)數(shù)據(jù)庫中采取了截然不同的思路��,云上更類似我們前面提到的亂槍打鳥式�。黑客基于43億個ipv4地址做整體掃描,通過未設(shè)身份驗證或弱口令��,入侵數(shù)據(jù)庫�,利用拿到的數(shù)據(jù)庫權(quán)限對數(shù)據(jù)進行刪除、隱藏或轉(zhuǎn)移�����,最后留下勒索信息��。雖然這種類型每筆勒索費用不高���,但龐大的基數(shù)還是給黑客團體帶來了豐厚的利潤�。針對內(nèi)網(wǎng)的數(shù)據(jù)庫勒索則采取了完全不同的打法���,他們在知名論壇上掛載夾雜惡意代碼的專業(yè)工具����,利用受害者使用工具的機會,把惡意代碼注入到數(shù)據(jù)庫中�����,在確認數(shù)據(jù)庫有足夠有價值的數(shù)據(jù)之后才實施勒索行為���,反之則會潛伏在數(shù)據(jù)庫上伺機爆發(fā)���。這種勒索軟件具有很強的隱藏性和反偵察性。
云上數(shù)據(jù)庫的比特幣勒索
針對云上數(shù)據(jù)庫的比特幣勒索具備明顯的特征化和自動化�,以2016年12月云上mongodb被勒索為例,此次攻擊黑客整個過程完全采用了自動化腳本����。攻擊主要分成兩大部分:第一部分是下圖的紅線區(qū)——掃描準備階段��。黑客利用腳本在43億的ipv4上對27017(27017端口是mongodb安裝后的默認通訊端口)端口進行批量掃描���,通過指紋識別目標ip是否存在mongodb數(shù)據(jù)庫���,如果存在,再次嘗試登錄��。如果登錄成功則把ip記錄在可入侵列表中,準備在第二階段使用�。(mongodb默認安裝無密碼,只要知道ip和端口就可以訪問)
在黑客獲得足夠多的可入侵ip后���,可以啟動圖中綠線的部分�����。這部分是實際進行勒索攻擊的部分��。自動化腳本從可入侵列表中批量取出ip地址����,利用pymongodb登錄目標數(shù)據(jù)庫�。然后通過mongodbdurp下載數(shù)據(jù)到指定服務(wù)器(后來發(fā)現(xiàn)此次有部分黑客根本沒轉(zhuǎn)移數(shù)據(jù)就直接刪除,也就是說即便受害者付了贖金依然無法取回數(shù)據(jù))��,刪除數(shù)據(jù)庫中數(shù)據(jù)����,最后插入勒索信息,等待贖金�����。
這種全自動化的勒索過程,往往需要目標數(shù)據(jù)庫廣泛存在安全漏洞或配置錯誤���。12月份到1月份的云上數(shù)據(jù)庫勒索慘劇就是利用了Nosql數(shù)據(jù)庫默認不做身份驗證的缺陷�。如果以足夠的安全標準來配置數(shù)據(jù)庫或積極升級�����,相信可以極大地避免此類勒索攻擊事件發(fā)生�。
內(nèi)網(wǎng)數(shù)據(jù)庫的比特幣勒索
內(nèi)網(wǎng)數(shù)據(jù)庫的比特幣勒索思路和云上的截然不同,不再是通過掃描和指紋發(fā)現(xiàn)數(shù)據(jù)庫����。而是通過把惡意代碼隱藏在數(shù)據(jù)庫工具中。例如同期爆發(fā)的Oracle比特幣勒索�����,就是在Oracle知名工具PL SQL Developer中加入惡意代碼���。惡意代碼在伴隨PL SQL Developer訪問數(shù)據(jù)庫后,會根據(jù)當前的用戶情況和環(huán)境采用不同的勒索路線�,具體見下圖。并且在勒索之前還會對數(shù)據(jù)庫的創(chuàng)建時間做判斷����,以保證只勒索有價值的數(shù)據(jù)庫����。如果當前數(shù)據(jù)庫創(chuàng)建時間較短�����,則會潛伏下來�,等到數(shù)據(jù)庫積累足夠多有價值的數(shù)據(jù)再進行勒索。
這種手術(shù)刀式的勒索方式相當精準��,基本可以做到勒索的每一個目標都是有數(shù)據(jù)價值的庫����,該勒索軟件在不同的用戶權(quán)限下也會采取不同的策略進行勒索。如果能拿到SYS(紅線)�,用戶就會直接對系統(tǒng)表下手,把系統(tǒng)表轉(zhuǎn)存到其他地方�����,再刪除系統(tǒng)表以此威脅用戶交錢���。如果只能拿到dba賬號(紫線)����,就采取刪除所有非系統(tǒng)表的方式對客戶進行數(shù)據(jù)勒索。如果只能拿到一般賬號(綠線)���,就會采用鎖賬號的方式阻止用戶訪問數(shù)據(jù)庫�����,從而實施勒索����。
在這個數(shù)據(jù)庫比特幣勒索軟件的身上���,我們看到已經(jīng)有一群黑客對數(shù)據(jù)庫做了深入的研究�����,讓勒索軟件可能按照環(huán)境和當前權(quán)限實現(xiàn)各種不同的勒索方式�����。為了提高準確性,減少暴露自己的可能,黑客還對數(shù)據(jù)庫建立時間做判斷����,沒有十足把握絕不出手,最后還利用編碼技術(shù)來躲避數(shù)據(jù)庫掃描類工具對改惡意代碼的檢查�,保證不會在潛伏階段被受害者發(fā)現(xiàn)。
10)防護比特幣勒索
比特幣勒索有著向數(shù)據(jù)庫深入的趨勢�����,無論是亂槍打鳥的云上比特幣勒索�,還是定點打擊的內(nèi)網(wǎng)比特幣勒索都應(yīng)該引起各位數(shù)據(jù)庫安全工作者的警惕。除了警告用戶注意垃圾郵件���、惡意廣告和定期備份數(shù)據(jù)�、數(shù)據(jù)庫注意安全配置����、使用高強度口令之外,我們還可以做得更多��。
安華金和攻防實驗室建議�,幫助用戶建立定期安全探查+預(yù)先防護的雙重保障。針對數(shù)據(jù)庫的定點型勒索攻擊會有一定的潛伏期這一特點����,定期做安全探查很可能在攻擊行為真正爆發(fā)前���,揪出潛伏在數(shù)據(jù)庫中的威脅,預(yù)先做好防護工作���,排除這些威脅�,防止數(shù)據(jù)庫信息或數(shù)據(jù)庫業(yè)務(wù)遭受損失���。
數(shù)據(jù)庫漏掃的授權(quán)檢測中有專門針對數(shù)據(jù)庫中異常包���、存儲過程、觸發(fā)器��、各項參數(shù)以及后門的檢測語句����,這些檢測語句可以幫助用戶早發(fā)現(xiàn)、早鏟除潛在的威脅?��,F(xiàn)在數(shù)據(jù)庫漏掃工具已經(jīng)可以準確檢測出數(shù)據(jù)庫是否被此次勒索軟件入侵����,并給用戶提出修復建議。
僅僅依賴于漏掃的定期巡檢是遠遠不夠的��,漏掃能發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅��,不過對未知的安全威脅的探查能力不足��。想要對未知的此類安全威脅做防護則需要具備能讀懂sql和能解密加密數(shù)據(jù)庫兩項能力的數(shù)據(jù)庫防火墻��。
能解密加密數(shù)據(jù)庫的意思就是可以對Oracle的密文存儲過程進行解密操作�����。第三方工具向Oracle發(fā)送大量數(shù)據(jù)�����,其中很多數(shù)據(jù)都會以加密包的形式發(fā)送���,只有準確破解加密包的內(nèi)容才可能為語法分析做好準備。Oracle的加密過程warp可以通過Oracle提供的函數(shù)完成��,但Oracle并不提供直接函數(shù)進行解密����,而需要自己實現(xiàn)����。解密并不復雜��,就是把上面wrap的過程反正來一次��,首先通過網(wǎng)絡(luò)分析把所有斷包攢成一個整包���,然后對這個加密的整包進行base64解碼��,接著將解碼后的每個字節(jié)按照一張固定的替換表進行單獨替換���,替換后字符串按照LZ算法進行解壓則可以獲得加密存儲過程的明文。
準確的破解這種加密存儲過程的能力�,不但在這個勒索案例中十分關(guān)鍵,也是防護未知第三放工具夾帶惡意存儲過程向數(shù)據(jù)庫發(fā)送的關(guān)鍵���。如果不能解決解密問題�����,最終只能對加密的惡意存儲過程進行指紋比對���。然而���,指紋比對的誤報率和漏洞率都是很高的(稍微調(diào)整下參數(shù)內(nèi)容或名稱就會使指紋匹配無法準確識別惡意包)。
能讀懂sql的意思是��,基于sql語法解析����,聯(lián)系上下文理解存儲過程或包中是否存在惡意行為����。在unwrap的支撐下數(shù)據(jù)庫防火墻能把所有去向數(shù)據(jù)庫的加密存儲過程明文化,再通過sql語法分析器對明文進行是否存在惡意行為的匹配���。數(shù)據(jù)庫防火墻在sql語法分析器后不是單純的就單句sql進行行為分析����,而是根據(jù)上下文環(huán)境的sql行為對整個sql語句包進行分析�。當整個sql語句包中存在命中安全規(guī)則的多個必要點時,則可以判斷該語句包存在惡意行為�����,從而主動阻斷該語句包����,并向相關(guān)人員進行危險告警�。至此�,完成針對勒索或后門型數(shù)據(jù)庫攻擊的主動防護。
數(shù)據(jù)庫防火墻���、數(shù)據(jù)庫漏掃����,從不同層面和角度實現(xiàn)了360度防護數(shù)據(jù)庫比特幣勒索攻擊��。數(shù)據(jù)庫防火墻依托上下文sql語境�,利用解密技術(shù)和sql分析技術(shù),動態(tài)抓出存在惡意行為的語句包進行實施攔截�。數(shù)據(jù)庫漏掃依托授權(quán)檢測中針對數(shù)據(jù)庫中異常包、存儲過程����、觸發(fā)器、各項參數(shù)以及后門的檢測語句����,進行對已知威脅的檢查,防止數(shù)據(jù)庫中存在安全隱患��。
二者分別側(cè)重于整個防護過程中的已知隱患掃描、特征隱患攔截和“惡源追蹤”�。但實際上,兩者既是相互獨立�,也是相互聯(lián)動的,數(shù)據(jù)庫防火墻攔截下一個新型隱患��,數(shù)據(jù)庫漏掃則根據(jù)該新型特征更新掃描檢測項�。一旦漏掃發(fā)現(xiàn)安全隱患,數(shù)據(jù)庫防火墻未發(fā)現(xiàn)��,則數(shù)據(jù)庫防火墻根據(jù)隱患特征更新防護策略��,優(yōu)化已有安全策略����,進一步降低誤報率�。
三.小結(jié)
比特幣勒索,一種需要構(gòu)建整體防護體系來防護的攻擊類型����,需要通過多個角度相互驗證才能在攻擊爆發(fā)前發(fā)現(xiàn)攻擊,并遏制攻擊�����。針對數(shù)據(jù)庫的比特幣勒索,安華金和攻防實驗室推薦采用兩類產(chǎn)品���,從多個角度展開立體化聯(lián)合防御��,以達到面對此類攻擊數(shù)據(jù)庫再無弱點可循的防護與應(yīng)對目標���。
四.附錄
A
B
安華金和版權(quán)所有,轉(zhuǎn)載請注明出處����。
《比特幣勒索攻擊技術(shù)演進與趨勢威脅分析報告》pdf下載。
產(chǎn)品咨詢:4000 258 365 
