2005年起,勒索軟件便成為了最普遍的網(wǎng)絡(luò)威脅。公開(kāi)信息統(tǒng)計(jì),過(guò)去11年來(lái),勒索軟件感染數(shù)量比數(shù)據(jù)泄露事件數(shù)量還多,分別是7694件和6013起。
勒索軟件一直以來(lái)走的是兩種不同的技術(shù)路線:加密和鎖定?;诩用艿睦账鬈浖钦娴募用苁芎φ叩奈募?、目錄、硬盤等等。而基于鎖定的勒索軟件則只是鎖定設(shè)備,讓用戶無(wú)法登錄,常見(jiàn)于安卓系統(tǒng)中。
新一代勒索軟件融合了高級(jí)分發(fā)與開(kāi)發(fā)技術(shù),比如預(yù)置基礎(chǔ)設(shè)施以便簡(jiǎn)單而廣泛地分發(fā)新變種,利用加殼器確保難以逆向等等。另外,離線加密方法也越來(lái)越多地被勒索軟件加以利用,比如微軟的CrytoAPI之類合法系統(tǒng)功能就常被勒索軟件征用,省去了對(duì)命令與控制(C2)通信的需求。
Solutionary的安全工程和研究團(tuán)隊(duì)成員特倫斯對(duì)這些年的勒索軟件焦點(diǎn)事件及其進(jìn)化過(guò)程進(jìn)行了回顧。
"艾滋"木馬(AIDS)
第一款勒索軟件病毒——AIDS木馬,是哈佛學(xué)生約瑟夫·L·波普在1989年創(chuàng)造的。2萬(wàn)份受感染的軟盤被分發(fā)給了世衛(wèi)組織國(guó)際艾滋大會(huì)的參加者手中。該木馬的主要武器是對(duì)稱加密。解密工具沒(méi)花多少時(shí)間就修復(fù)了文件名,但這一舉動(dòng)激發(fā)了隨后近乎30年的勒索軟件攻擊。
Archievus
在首款勒索軟件散布17年后,另一款勒索軟件被發(fā)布了。很不幸,新勒索軟件比前者難清除得多,是勒索軟件歷史上第一款使用了RSA加密的。Archievus木馬會(huì)將系統(tǒng)中“我的文檔”里面的所有文件都加密,需要用戶從指定網(wǎng)站購(gòu)買密鑰才可以解密文件。Archievus也是首款已知的使用非對(duì)稱加密的勒索軟件。
2011年的無(wú)名木馬
相隔5年,主流匿名支付服務(wù)讓黑客利用勒索軟件秘密斂財(cái)更加容易了。產(chǎn)品相關(guān)的勒索軟件木馬在同年開(kāi)始成為主流。一款模仿Windows產(chǎn)品激活通知讓用戶重新激活系統(tǒng)的木馬就是詐騙用戶的勒索軟件。該軟件提供虛假在線激活選項(xiàng),但用戶無(wú)法通過(guò)這個(gè)選項(xiàng)激活產(chǎn)品,只能按照引導(dǎo)去撥打一個(gè)國(guó)際電話。勒索軟件宣稱該號(hào)碼是免費(fèi)的,但呼叫實(shí)際上一接通便被擱置,讓用戶在遭受勒索軟件感染之余還要承擔(dān)高額國(guó)際長(zhǎng)途話費(fèi)。
Reveton
名為Reveton的勒索軟件木馬開(kāi)始席卷歐洲。該款勒索軟件基于Citadel木馬,宣稱受感染計(jì)算機(jī)被用于非法活動(dòng),想解鎖系統(tǒng),用戶就得使用匿名預(yù)付現(xiàn)金服務(wù)的代金券支付罰款。在一些變種里,計(jì)算機(jī)屏幕會(huì)播放攝于該計(jì)算機(jī)攝像頭的視頻,制造“罪犯”在被記錄的假象。此事件后不久,涌現(xiàn)了一股“基于警方”的勒索軟件風(fēng)潮,其中包括有Urausy和Tohfy。
在美國(guó)也發(fā)現(xiàn)了Reveton的新變種,宣稱需要使用MoneyPak卡向FBI支付200美元罰款。
Cryptolocker
2013年9月是勒索軟件歷史上的一個(gè)轉(zhuǎn)捩點(diǎn),因?yàn)镃ryptoLocker誕生了。CryptoLocker是第一款通過(guò)被控網(wǎng)站下載或偽裝客戶投訴電郵附件進(jìn)行傳播的加密型惡意軟件。由于威脅行為人利用了現(xiàn)有的 GameOver Zeus僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施,CrytoLocker的擴(kuò)散非常迅速。2014年的Tovar行動(dòng)暫時(shí)遏制了 GameOver Zeus 木馬,CryptoLocker便開(kāi)始盯上分發(fā)和支持所用的點(diǎn)對(duì)點(diǎn)基礎(chǔ)設(shè)施進(jìn)行傳播。
CryptoLocker利用AES-256算法加密帶特定后綴名的文件,然后用C2服務(wù)器上產(chǎn)生的2048比特RSA密鑰來(lái)加密該AES-256密鑰。C2服務(wù)器建在Tor網(wǎng)絡(luò)中。這讓解密萬(wàn)分困難,因?yàn)楣粽邔SA公鑰保存在了他們的C2服務(wù)器上。使用CryptoLocker的黑客會(huì)威脅受害者說(shuō),如果沒(méi)在3天內(nèi)收到贖金,私鑰就會(huì)被刪除。
Cryptodefense
2014年,CryptoDefense,一款使用Tor和比特幣潛藏蹤跡,利用2048比特RSA加密的勒索軟件,發(fā)布了。CryptoDefense采用了Windows內(nèi)置CryptoAPI加密接口,私鑰存在受感染計(jì)算機(jī)的明文文本中——不幸的是,此一漏洞卻沒(méi)能立即被發(fā)現(xiàn)。
CryptoDefense的作者很快又推出了改進(jìn)版——CryptoWall。與CryptoDefense不同,CryptoWall不將加密密鑰存放在用戶能接觸到的地方了。因?yàn)槔昧薈utwail僵尸網(wǎng)絡(luò)垃圾郵件發(fā)送,CryptoWall成為了廣泛傳播的勒索軟件,其目標(biāo)主要針對(duì)美國(guó)。
CryptoWall通過(guò)Angler一類漏洞利用工具包分發(fā),是Upatre行動(dòng)最終下載的載荷。其數(shù)個(gè)活躍行動(dòng)都是由通過(guò)唯一ID追蹤它們的威脅行為人操控的。CryptoWall展示了惡意軟件開(kāi)發(fā)中的進(jìn)步之處,它能通過(guò)加入注冊(cè)表鍵值和將自身復(fù)制到自啟動(dòng)文件夾來(lái)在系統(tǒng)中長(zhǎng)期駐留。
2015年,網(wǎng)絡(luò)威脅聯(lián)盟針對(duì)一次全球性的CryptoWall行動(dòng)發(fā)布了一份報(bào)告,這次行動(dòng)需要包括4層以上的基礎(chǔ)設(shè)施才能操作,但斂取了3.25億美元財(cái)富。
Sypeng和Koler
Sypeng可謂是首款基于安卓的勒索軟件,它可以鎖定受害者屏幕,顯示FBI處罰警告消息。通過(guò)短信發(fā)送的虛假 Adobe Flash 更新是Sypeng的傳播途徑。價(jià)值200美元的MoneyPak卡是其索要的贖金。
Koler與Sypeng極其相似,也利用了虛假“警方”處罰和MoneyPak。Koler可被認(rèn)為是第一款“鎖定蠕蟲(chóng)”——它包含自我繁殖技術(shù),會(huì)向手機(jī)聯(lián)系人列表里的所有人發(fā)送定制消息,讓他們?cè)L問(wèn)特定URL,下載自身并鎖定受害者的系統(tǒng)。
CTB-Locker和SimplLocker
與之前的其他變種都不一樣,CTB-Locker直接與位于Tor網(wǎng)絡(luò)中的C2服務(wù)器進(jìn)行通信,絲毫不使用由代理、僵尸網(wǎng)絡(luò)、多個(gè)比特幣錢包等組成的多層基礎(chǔ)設(shè)施。它也是第一款開(kāi)始刪除Windows影子卷的勒索軟件。2016年,CTB-Locker進(jìn)行了升級(jí),專門針對(duì)網(wǎng)站。
SimplLocker同樣是在2014年被發(fā)現(xiàn)的。因?yàn)樗皇呛?jiǎn)單地鎖定設(shè)備不讓用戶登錄,而是加密文件和目錄,SimplLocker也被認(rèn)為是第一款“基于加密”的安卓移動(dòng)設(shè)備勒索軟件。
LockerPin
去年9月,美國(guó)開(kāi)始流傳一款侵略性的安卓勒索軟件。ESET安全研究人員發(fā)現(xiàn)這是第一款能真正重置手機(jī)PIN碼,永久鎖定設(shè)備的惡意軟件。該惡意軟件被命名為L(zhǎng)ockerPin,能修改受感染設(shè)備的PIN碼,留給受害者一個(gè)永遠(yuǎn)鎖屏的手機(jī)。LockerPin要求500美元才幫受害者解鎖。
勒索軟件即服務(wù)(RaaS)始于2015年。此類服務(wù)通常包含用戶友好的勒索軟件工具包,可在黑市上買到。價(jià)格在1000到3000美元之間,賣家會(huì)從買家收益中抽取10%到20%的抽成。通常認(rèn)為,Tox是首先出現(xiàn)且散布最廣的RaaS工具包。
TeslaCrypt
TeslaCrypt同樣出現(xiàn)于2015年,因?yàn)槠溟_(kāi)發(fā)者推出了約4個(gè)版本,有可能成為持續(xù)性威脅。它先是通過(guò)Angler漏洞利用工具包分發(fā),然后逐漸采用了其他工具投放。TeslaCrypt使用AES-256加密文件,然后用RSA-4096加密AES私鑰。Tor匿名網(wǎng)絡(luò)里的C2域被用來(lái)進(jìn)行數(shù)據(jù)支付和載荷投放。其基礎(chǔ)設(shè)施包含多個(gè)層級(jí),包括代理服務(wù)器。TEslaCrypt自身便十分先進(jìn),包含有能在受害機(jī)器上長(zhǎng)期駐留、自我修復(fù)的各種功能。2016年,TeslaCrypt作者將其主解密密鑰交給了ESET。
LowLevel04和Chimera
LowLevel04勒索軟件在2015年被發(fā)現(xiàn),針對(duì)的是遠(yuǎn)程桌面和終端服務(wù)。與其他勒索軟件行動(dòng)不同,攻擊是由攻擊者手動(dòng)完成,先遠(yuǎn)程潛入服務(wù)器,在手動(dòng)分發(fā)勒索軟件前映射出內(nèi)部系統(tǒng)和驅(qū)動(dòng)器。此案例中,攻擊者刪除了應(yīng)用、安全日志和系統(tǒng)日志。
Chimera在2015年年末被發(fā)現(xiàn)。這是第一款“doxing”勒索軟件,受害人的敏感或私密文件會(huì)被威脅要被發(fā)布到公網(wǎng)上。Chimera使用了BitMessage的P2P通信協(xié)議進(jìn)行C2通信。最后發(fā)現(xiàn),這些C2服務(wù)器其實(shí)就是Bitmessage節(jié)點(diǎn)。
RAnsom32和7ev3n
Ransom32是首款用JavaScript寫(xiě)成的勒索軟件。該惡意軟件自身體積非常之巨大,足有22MB。它的NW.js腳本可以執(zhí)行其他用C++或Delphi寫(xiě)成的勒索軟件所擁有的功能。Ransom32被認(rèn)為是游戲改變者——因?yàn)樗碚撋峡煽缙脚_(tái)使用,Linux、Mac OSX和Windows都不能幸免。
7ev3n為公眾所知只是近幾個(gè)月的事。它要求的贖金高達(dá)13比特幣,可以說(shuō)是索要贖金最高的勒索軟件了。7ev3n不僅僅是加密然后勒索,它還會(huì)搗毀Windows系統(tǒng)。該惡意軟件的作者是特別專注于確保7ev3n能摧毀修復(fù)被加密文件的任何可能性。7ev3n-HONE$T隨后被發(fā)布出來(lái),降低了贖金要求,添加了一些效率功能。
LOcky
2016年,EDA2和 Hidden Tear 的作者在GitHub上公布了源代碼,宣稱是為了研究意圖。發(fā)現(xiàn)了此代碼的人迅速?gòu)?fù)制并對(duì)代碼進(jìn)行了定制修改,造成了勒索軟件變種的大爆發(fā)。
同年,臭名昭著的Locky出現(xiàn)。通過(guò)泛濫的網(wǎng)絡(luò)釣魚(yú)和利用早已覆蓋全球的Dridex基礎(chǔ)設(shè)施,Locky開(kāi)始流傳開(kāi)來(lái)。由于肯塔基、加利福尼亞、堪薩斯和國(guó)外的多家醫(yī)院均遭感染,Locky登上了多家報(bào)紙頭條。威脅行為人馬上發(fā)現(xiàn),感染醫(yī)療保健必備設(shè)施的相關(guān)系統(tǒng)會(huì)帶來(lái)巨大收益,因?yàn)槎嗉裔t(yī)院都立即支付了贖金。于是,針對(duì)醫(yī)療保健行業(yè)的帶勒索軟件下載釣魚(yú)電郵攻擊趨勢(shì)抬頭。
SamSam
SamSam,或者說(shuō)SAMAS勒索軟件是專門針對(duì)JBoss服務(wù)器的。在利用漏洞安裝SamSam之前,威脅行為人先利用JexBoss工具偵察JBoss服務(wù)器。與其他勒索軟件不同,SamSam包含了一個(gè)信道,可供攻擊者通過(guò)一個(gè) .onion 網(wǎng)站與受害者直接實(shí)時(shí)聯(lián)系。
KeRanger
首款“官方” Mac OSX 勒索軟件,KeRanger發(fā)現(xiàn)于2016年,通過(guò)OSX的BT傳輸客戶端傳播。該勒索軟件使用了MAC開(kāi)發(fā)證書(shū)簽名,可以繞過(guò)蘋(píng)果的GateKeeper安全軟件。
Petya
Petya流傳于2016年,通過(guò)Drop-Box投放,能重寫(xiě)受感染機(jī)器的主引導(dǎo)記錄(MBR),然后加密物理硬盤驅(qū)動(dòng)器自身。在加密硬盤的時(shí)候還會(huì)顯示假冒的CHKDISK屏顯。如果其索要的431美元贖金未在7天之內(nèi)收到,贖金金額還會(huì)翻倍。Petya后來(lái)還進(jìn)行了升級(jí),包含了第二個(gè)載荷,也就是Mischa勒索軟件變種,該變種并不加密硬盤。
Maktub
Maktub同樣發(fā)現(xiàn)于2016年,且其開(kāi)發(fā)者還試圖創(chuàng)建極端復(fù)雜的變種。它還是第一款利用Crypter(加殼器)加密自身源代碼的勒索軟件。Maktub沒(méi)有使用C2服務(wù)器進(jìn)行密鑰檢索和存儲(chǔ),而是使用了 Windows CryptoAPI進(jìn)行離線加密。
Jigsaw
Jigsaw的勒索通告使用了《電鋸驚魂》系列電影里的Jigsaw角色(拼圖殺人狂)。如果150美元的贖金未被支付,它將會(huì)每60分鐘刪除一份文件。另外,如果受害者試圖終止該進(jìn)程,或者重啟機(jī)器,它就會(huì)馬上刪除1000份文件。
CryptXXX
2016年5月底,CryptXXX是散布最嚴(yán)重的最新勒索軟件變體。研究人員稱,鑒于感染過(guò)程中的相似足跡,該勒索軟件與Reveton有關(guān)聯(lián)。CryptXXX通過(guò)多種漏洞利用工具包進(jìn)行傳播,主要是Angler,但通常會(huì)在Bedep感染后發(fā)現(xiàn)CryptXXX的蹤跡。其包含的功能有,但不局限于:反沙箱技術(shù)、鼠標(biāo)活動(dòng)監(jiān)測(cè)、定制C2通信協(xié)議、Tor贖金支付。
ZCryptor
微軟發(fā)布了一篇文章詳細(xì)描述了一款名為ZCryptor的新型勒索軟件變體。除了其前輩們都有的加密文件、添加注冊(cè)表項(xiàng)確保駐留等功能,ZCryptor還可以被理解為首款“加密蠕蟲(chóng)”。它通過(guò)垃圾郵件傳播,有自繁殖技術(shù),能感染外部設(shè)備和網(wǎng)絡(luò)中的其他系統(tǒng),加密每臺(tái)機(jī)器和共享硬盤。
勒索軟件的“未來(lái)”
專家預(yù)測(cè),2016年還將繼續(xù)見(jiàn)證更多新變種的誕生。這些變種中,有可能只有少數(shù),會(huì)在其作者和網(wǎng)絡(luò)黑幫的努力下帶來(lái)嚴(yán)重影響。勒索軟件的作者在延續(xù)開(kāi)發(fā)周期,升級(jí)已有變種,或制作新變種的同時(shí),加強(qiáng)軟件彈性和駐留能力的額外功能也將成為勒索軟件的標(biāo)配。
帶有這些功能的變種,如果結(jié)合廣泛的基礎(chǔ)設(shè)施和匿名網(wǎng)絡(luò)及支付服務(wù),將會(huì)是全球噩夢(mèng)。隨著威脅行為人試圖確保花費(fèi)較少精力卻帶來(lái)更多收入,不遠(yuǎn)的將來(lái)還將包含進(jìn)繁殖技術(shù)絲毫不出乎預(yù)料。近期的變種開(kāi)始利用加殼器加密自身源碼就昭示著,勒索軟件作者已經(jīng)知道有研究人員試圖逆向他們的“作品”了。這些逆向工程和分析的結(jié)果將有助于勒索軟件開(kāi)發(fā)者改進(jìn)他們自己的勒索軟件變種。
似乎離線加密,那些不需要C2基礎(chǔ)設(shè)施來(lái)創(chuàng)建、維護(hù)和分發(fā)私鑰、公鑰的勒索軟件變種,將會(huì)繼續(xù)在基于Windows的勒索軟件中看到,攻擊者們會(huì)大量利用微軟的內(nèi)置功能。