勒索攻擊的演進
2005年至今,勒索類攻擊至少經(jīng)歷了四次技術(shù)形態(tài)的“演進”:
· 2005年-2009年:冒牌應(yīng)用軟件興起���;
· 2010年-2011年:假冒殺毒軟件泛濫��;
· 2013年-2014年:“鎖勒索”攻擊肆虐��;
· 2015年至今:進入以“比特幣”支付贖金為主的“加密勒索”時代�。
1����、“起步”期:冒牌應(yīng)用軟件和假殺毒軟件
2005年,市場上出現(xiàn)了很多輔助操作計算機的第三方工具����,而黑客借此編寫了能夠引起計算機異常的第三方系統(tǒng)工具。不知情的客戶一旦使用此類“冒牌應(yīng)用軟件”就會導(dǎo)致操作系統(tǒng)出現(xiàn)各種問題���,然后黑客就以向客戶收取計算機維修費和安全檢測費用為由詐騙錢財���。
2009年,殺毒軟件大規(guī)模興起,很多黑客又開始編寫能夠偽造安全問題的“假殺毒軟件”��?���?蛻羰褂眠@種“殺毒軟件”自然就會發(fā)現(xiàn)很多根本不存在的安全問題,然后“假殺毒軟件”就會以修復(fù)安全問題為由�,向蒙在鼓里的客戶收取費用——處理每個假安全問題的費用高達40-100美金!同時�,為了不讓被騙客戶起疑,黑客偽造的殺毒軟件在界面設(shè)計風(fēng)格及樣式上都會與當(dāng)時主流殺毒軟件保持一致��。
不過���,以上兩種方式存在一個“弊端”����,即在行騙過程中��,黑客無法完全置身事外�,不可避免要與受害人相接觸,從而留下蛛絲馬跡����;正因如此�,騙局一旦東窗事發(fā)�,執(zhí)法機關(guān)就很容易順藤摸瓜,最終抓捕犯案的黑客�。
2�、“成熟”期:鎖勒索和加密勒索
2012年之后,對黑客而言更“安全”的鎖勒索和加密勒索開始成為主流���。這兩種勒索攻擊行為大多采用TOR網(wǎng)絡(luò)和比特幣贖金���,從而有效隱藏了收款過程中給執(zhí)法者留下的追蹤鏈條,大大降低了不法分子的被捕幾率��。不過鎖勒索和加密勒索也存在明顯區(qū)別���,因為二者是基于不同層來阻斷用戶訪問數(shù)據(jù)的����。
鎖勒索
鎖勒索(locker ransomware)��,也被稱為Computer locker���。一般是通過鎖定受害人計算機或手機的操作系統(tǒng)界面(大多僅是鎖定屏幕)���,繼而以“恢復(fù)正常訪問”相要挾勒索比特幣贖金�����?����?傮w來說��,鎖勒索相對容易被破解��,黑客的勒索界面大多偽裝成司法機關(guān)以便于“威嚇”�。
以手機端為例���,鎖勒索主要有兩種方式:
第一種方式���,黑客添加一個置頂框在操作界面之上(覆蓋住界面),從而達到阻止用戶正常操作的目的��。實際上�,這種方式并未對系統(tǒng)中的底層文件做任何修改,只是添加了一層“阻斷”界面而已,因此大都可以通過技術(shù)手段解除鎖定�,并不需要向黑客繳納贖金�����。
第二種方式�,黑客利用某些系統(tǒng)漏洞拿到了root權(quán)限��,從而設(shè)置屏?;蛐薷逆i屏密碼��,并以此對受害者進行勒索����。這種方式也能夠在損失一定數(shù)據(jù)的前提下,通過手機的recoery方式進行解鎖�。
加密勒索
加密勒索(crypto ranspmware)也被稱為data locker。此種類型的勒索軟件專門查找用戶機器上有價值的數(shù)據(jù)��,然后對這些數(shù)據(jù)進行高強度加密(如AES 256等)��,還會在加密的同時刪除原始數(shù)據(jù)����;加密勒索攻擊一般不會對操作界面、鼠標(biāo)和鍵盤等進行鎖定�����,雖然數(shù)據(jù)文件被加密,但通常不會導(dǎo)致操作系統(tǒng)出現(xiàn)異常���,受害者還可以使用計算機����,只是難以通過單純的技術(shù)手段破解被加密的文件等��。如果受害者事先沒有對數(shù)據(jù)進行備份�,則很可能迫于壓力向黑客支付比特幣贖金。
3��、“商業(yè)”期:勒索軟件即服務(wù)
今時今日�����,勒索軟件攻擊的范疇定義已不再是單純的黑客技術(shù)或惡意軟件����,其儼然形成了一套成熟的商業(yè)模式——“勒索軟件即服務(wù)”(RaaS:Ransomware as a service),并圍繞比特幣勒索建立起了一條完善的產(chǎn)業(yè)鏈��。例如:暗網(wǎng)中就存在大量出售比特幣勒索服務(wù)的黑客團體��,他們會提供模塊化的比特幣勒索服務(wù)組件,這些組件可以定制化的生成勒索套件����,從而用來“幫助”那些還不了解或有特殊需求的惡意分子完成比特幣勒索攻擊,而惡意分子只需為相關(guān)服務(wù)支付一定的費用���,以及指定收款錢包和贖金金額等即可�。憑借種種“優(yōu)勢”���,比特幣勒索自2013年起進入發(fā)展的“快車道”���,越來越多的黑客團伙從傳統(tǒng)的惡意軟件�、銀行木馬、間諜軟件�����、網(wǎng)絡(luò)犯罪等模式轉(zhuǎn)入比特幣勒索���。
比特幣勒索攻擊對象
1��、偏向企業(yè)級目標(biāo)的“定點打擊”式勒索
在這種方式下����,黑客只追求高質(zhì)量的目標(biāo),而不是制造更多的受害者�����,往往單筆勒索的比特幣金額超過一萬美金�����。
2�、偏向個人目標(biāo)的“亂槍打鳥”式勒索
在這種方式下,黑客主要是針對個人目標(biāo)開展攻擊����,攻擊的最終落點是個人數(shù)據(jù),并通過快速�、廣泛、大量傳播以感染更多受害者��,繼而詐取比特幣贖金�����;這類勒索軟件和病毒大多藏身于各種來路不明的廣告或信息中,且感染源有很強的自動復(fù)制能力���,雖然看似單筆勒索金額較低�����,但對于個人電腦��、手機用戶的危害一點都不亞于前者����。
比特幣勒索攻擊模型
比特幣勒索是一個相當(dāng)復(fù)雜的攻擊流程��,可以對多種平臺和軟件發(fā)動攻擊�。主流比特幣勒索軟件可以根據(jù)不同的軟硬件環(huán)境做出各種適應(yīng)性變化,雖然比特幣勒索軟件千變?nèi)f化�,但核心依舊符合“感染、下載�、執(zhí)行��、勒索�、收款”這五大步驟。
1��、感染
感染是整個比特幣勒索的第一步,也是最關(guān)鍵的一步�,主要包括:網(wǎng)絡(luò)安全漏洞、垃圾郵件����、下載器、僵尸網(wǎng)絡(luò)�����、社會工程學(xué)和自我傳播等途徑����;其中,不同的傳播途徑通常適用于不同的目標(biāo)環(huán)境���,當(dāng)然也有大量組合使用的案例存在�����。例如:社會工程學(xué)輔助下的垃圾郵件一直是分發(fā)各種網(wǎng)絡(luò)惡意軟件的首選方法��,比特幣勒索也不例外��。據(jù)統(tǒng)計��,有七成以上的比特幣勒索攻擊是從包含惡意附件或惡意url的垃圾郵件開始的�,而黑客為了保護自己不被追蹤,發(fā)送垃圾郵件一般都會使用屬于僵尸網(wǎng)絡(luò)的服務(wù)器完成����。
2、下載
當(dāng)不知情的用戶打開帶有“感染源”的郵件���、網(wǎng)址等等之后����,惡意軟件便會開始收集當(dāng)前機器的信息�,其主要目的有二:
第一,識別當(dāng)前機器的操作系統(tǒng)��,直接選擇一款“適合”對應(yīng)操作系統(tǒng)的惡意軟件并開始下載�����;
第二�,識別當(dāng)前機器是否為虛擬機,如果確定是虛擬機或虛擬化環(huán)境���,為了避免被發(fā)現(xiàn),部分勒索軟件還會選擇終止此次攻擊;如果確定是實體機����,勒索軟件則會把收集到的信息發(fā)送至黑客準(zhǔn)備好的服務(wù)器上,同時從該服務(wù)器上自動下載一款“適合”目標(biāo)機器的惡意軟件�����。
3���、勒索
在真正執(zhí)行勒索軟件之前����,惡意軟件會先嘗試?yán)寐┒磥慝@取一定的用戶權(quán)限���,同時嘗試關(guān)閉一些系統(tǒng)自帶的安全保護機制����;其中一些勒索軟件還會根據(jù)嘗試關(guān)閉的情況��,判斷是否要繼續(xù)開展攻擊�。當(dāng)勒索軟件被成功部署到目標(biāo)機器上以后,下一步就要開始正式實施勒索攻擊���,而勒索攻擊的方式則與勒索軟件使用的技術(shù)有關(guān)��,例如:兩大主流勒索攻擊類型——鎖勒索和加密勒索(前文已經(jīng)講過�����,這里不再贅述)�����。
4�、擴散
這一步和勒索攻擊往往是同時進行的。勒索軟件的掃描模塊會自動通過被感染機器的網(wǎng)卡���、驅(qū)動來探測網(wǎng)絡(luò)中的其他機器以及機器上的其他電子設(shè)備�,一旦發(fā)現(xiàn)可以訪問的設(shè)備就會嘗試把“感染源”復(fù)制到這些新的機器或電子設(shè)備之中���,然后在新的機器或電子設(shè)備上繼續(xù)重復(fù)這一套動作——感染�����、下載��、勒索���、擴散,直至勒索軟件蔓延到其所能觸及的整個網(wǎng)絡(luò)范圍�����。
5�����、收款
與其他貨幣不同�����,比特幣不依靠特定貨幣機構(gòu)發(fā)行���,而是依據(jù)特定算法�,通過大量計算產(chǎn)生���。更重要的是�,比特幣應(yīng)用密碼學(xué)設(shè)計確保貨幣在流通交易環(huán)節(jié)的安全性與匿名性��。黑客在勒索成功后��,要求受害者以比特幣支付贖金正是出于對其“安全性”的考量?�?梢哉f�����,比特幣的出現(xiàn)“無意間”為黑客實施勒索攻擊開辟了一條更加隱秘的通道�,也值得所有企業(yè)和個人加以關(guān)注和重視。
攻擊類型
防護建議
攻擊趨勢
攻擊目標(biāo):數(shù)據(jù)庫
(未完待續(xù))
【精彩內(nèi)容 · 敬請期待】
產(chǎn)品咨詢:4000 258 365 
