可能部分用户还没有认识到,如今的网络环境的每一步应用场景,几乎都有可能被攻击者利用成勒索攻击的传播方式与侵入途径。
安天垂直响应服务平台运营组基于我司历史勒索攻击分析报告及相关资料,将目前已知的攻击者惯用传播方式与侵入途径进行了归类整理,通过本文呈现,旨在为用户制定勒索攻击防护方案时提供参考。
一般为垃圾邮件、钓鱼邮件与鱼叉式钓鱼邮件,逻辑是通过邮件中的时事热点信息或与受害者相关的内容(包括标题),诱使用户点击或运行内嵌了勒索软件的附件(格式多为Word文档、Excel表格、JavaScript脚本或exe文件等),或打开邮件正文中的恶意链接。用户一旦进行相关操作,勒索软件将会自动下载和运行。
垃圾邮件在非定向勒索攻击中较为常见,以“广撒网”的方式进行传播,邮件内容一般为时事热点、广告、促销信息或伪装成打招呼邮件(如标题为“好久不见”等)。
钓鱼邮件与鱼叉式钓鱼邮件则常用于定向勒索攻击中,由于攻击者通常在事前已通过侦察手段获取到了受害者的相关信息,因此会将邮件包装成官方或工作伙伴发送的邮件(如:“XX最新政策信息”、“XX年度XX工作表”、“公司将升级XX系统”等相关标题与内容),甚至会模仿熟人发信的语气,增加收件人上当的概率。
这类传播及侵入的目标多为企业、高校、医院机构等单位,这些单位组织中的本地设备通常保存有较重要的文件,一旦侵入成功,即可造成极大威胁。
例:安天曾在《LooCipher勒索软件分析报告》[1]中指出:LooCipher勒索软件主要通过垃圾邮件进行传播,邮件附件为包含恶意宏代码的Word文档。该文档诱使用户启用宏以查看文档内容,宏代码的功能为连接Tor服务器并下载执行程序,将该文件重命名为LooCipher.exe,然后执行该文件。
攻击者利用各类系统或软件漏洞(包括已公开且已发布补丁的漏洞)组合,或通过黑色产业链中的漏洞利用套件(如:Exploit Kit)来传播勒索软件。
由于未能及时修补漏洞,因此用户即便没有不安全用网行为,也可能遭到攻击者侵入;同时,攻击者还会扫描同一网络中存在漏洞的其他设备,以扩大威胁攻击范围。
例:“魔窟”(WannaCry)就是利用Windows操作系统中,名为“永恒之蓝”的安全漏洞进行全球范围传播的。
由于部分服务器会使用弱口令(可简单理解为复杂度较低的密码)远程登录,攻击者便利用这一弱点实施暴力破解,实现远程登陆并手动下载运行勒索软件。譬如:通过弱口令尝试暴力破解RDP端口、SSH端口和数据库端口等。
即使服务器安装了安全软件,攻击者也可手动将其退出。该手段具有较高的隐蔽性、机动性,因此极难被安全软件发现。
例:2021年3月,安天就曾发布《对HelpYou勒索软件的分析报告》[2],发现该勒索软除了通过邮件之外,还可以利用RDP弱口令渗透进行传播。
僵尸网络是指:采用一种或多种传播方式,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
例:攻击者利用已经被僵尸网络控制的系统主机进行病毒传播,特点是传播范围广,隐秘性高,感染速度快。2021年8月,安天发布了《对AstraLocker勒索软件的分析报告》[3],该勒索软件主要通过垃圾邮件和僵尸网络进行传播。
攻击者会向网页代理投放广告(弹窗广告、悬浮窗广告等),并在其中植入跳转链接,从而避开针对广告系统的安全机制,诱导用户点击广告、访问网站并触发恶意代码,进而下载勒索软件并执行。
有些攻击者则会选择直接攻击网站,并植入恶意代码,用户一旦访问就会感染。
也有一些攻击者会自主搭建包含恶意代码的网站,或者仿造制作与知名站点相似的“假网站”,以此来诱骗用户访问。
例:安天在《对Maze勒索软件的分析》[4]中发现,该勒索软件擅长使用FalloutEK漏洞利用工具,或通过网页挂马的方式传播;被挂马的网页,多用于黄赌毒以及某些软件内嵌的广告页面等。
软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播、安装和升级过程中,通过软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到传播侵入的攻击类型。
例:2021年7月3日,美国技术管理软件供应商Kaseya遭遇REvil勒索软件的攻击。REvil团伙在Kaseya供应链攻击中利用了0day漏洞。据媒体报道,至少有1000家企业受到了攻击的影响,受害者来自至少17个国家,包括英国、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚等。而REvil勒索团伙当时索要的赎金高达7000万美元[5]。
攻击者通过隐藏U盘、移动硬盘等移动存储介质中的原有文件,创建与移动存储介质盘符、图标等相同的快捷方式并植入病毒,一旦用户点击就会运行勒索软件,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索软件攻击行为。
由于PE类文件(常见后缀为exe、dll、ocx、sys、com的都是PE文件)被感染后具有了感染其他文件的能力,如果此文件被用户携带(U盘、移动硬盘、网络上传等)到别的设备上运行,就会使得其他设备的文件也被全部感染。许多内网隔离环境,就是被藏在移动存储介质里的恶意软件感染的。
例:2021年3月,安天捕获到的BleachGap勒索软件就具备添加自启动、改写MBR、通过可移动介质传播等多项特征[6]。
攻击者在受害者必经之路设置了一个“水坑(陷阱)”,致使受害者上当。譬如:攻击者会分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
例:勒索软件“Bad Rabbit”就曾采用水坑攻击的方式传播,通过伪装成Adobe flashplayer欺骗用户安装,感染后会在局域网内扩散[7]。
勒索攻击的传播方式与侵入途径与常见的计算机网络威胁攻击大体一致,但“魔鬼藏在细节中”,用户的不当用网习惯、对系统或软件漏洞修补的忽略、对安全防护措施的忽视等,都有可能导致勒索攻击趁虚而入。
因此,养成日常安全用网习惯、构建安全防护体系、提升安全运营水平,是有效防御勒索攻击传播侵入的首要行动条件。
下一期主题:勒索攻击“杀伤链”分析,敬请期待。
“安天垂直响应服务平台”是安天旗下专注满足中小企业和个人(家庭)用户安全刚需的“一站式服务平台”。
平台通过持续为个人安全、中小企业安全、开发安全与安全分析领域的用户,提供轻量级的产品与服务支撑,以实现快速响应用户在各类场景下的安全需求。
专业、精准、纯净、高效,是我们的服务宗旨;达成客户有效安全价值、提升客户安全获得感、与客户共同改善安全认识,是我们不变的初心与使命。
[1] 《LooCipher勒索软件分析报告》.2019/07/08
https://www.antiy.cn/research/notice&report/frontier_tech/2019190.html
[2] 《安天周观察269期》.2021/03/15
https://www.antiy.cn/research/notice&report/frontier_tech/2021269.html
[3] 《安天周观察293期》.2021/08/27
https://www.antiy.cn/research/notice&report/frontier_tech/2021293.html
[4] 《Maze勒索病毒变种分析报告》.2019/06/10
https://www.antiy.cn/research/notice&report/frontier_tech/2019187.html
[5] 《REvil Used 0-Day in Kaseya Ransomware Attack, Demands $70 MillionRansom》.2021/07/04
https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html
[6] 《通过U盘传播的多功能勒索软件分析》.2021/03/12
https://www.antiy.cn/research/notice&report/research_report/20210316.html
[7] 《坏兔子来袭,安天智甲有效防护》.2017/10/26
https://www.antiy.cn/research/notice&report/research_report/20171026.html