带你了解勒索病毒的“前世今生”
时间:2020-10-30 作者:安帝科技
近几年勒索软件增长迅猛,给全球的网络安全带来了很大的威胁,从1989第一个勒索软件出现至今,勒索的目标从最初的Windows系统到Linux系统、再到MAC系统,最后到工业系统,影响的范围在不断的扩大。
从2017年爆发的勒索病毒WannaCry“永恒之蓝”(EternalBlue)在世界范围内爆发。到近期美国政府发布安全公告称,美国的一家天然气压缩运营商遭勒索软件攻击及葡萄牙跨国能源公司EDP(Energias de Portugal)遭到勒索软件攻击。这些事件再次证明,近年来勒索软件已成为危害全球网络安全的最主要因素之一。
勒索软件又称勒索病毒,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。
根据勒索软件所使用的勒索方式,一般是为分三类:
第一类:影响用户系统的正常使用。会采用锁定系统屏幕、修改文件关联、增加注册启动项等行为方式,迫使系统用户付款,以换取对系统的正常使用。
第二类:恐吓用户。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买其“反病毒软件”。或根据用户所处地域不同而伪装成用户所在地的执法机构,声称用户触犯法律,迫使用户支付赎金。
第三类:绑架用户数据。这是近期比较常见的一种勒索方式,采用高强度的加密算法,加密用户文档,只有在用户支付赎金后,才提供解密文档的方法。
勒索软件的的传播方式,主要有以下几种:
借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行;
与其他恶意软件捆绑发布;
作为电子邮件附件传播;
借助可移动存储介质传播
1.勒索软件的演进
萌发期,这个时期是勒索软件刚刚起来阶段,数量也不多,危害程度低。最早勒索软件在1989年,由一名未毕业的 Joseph Popp 创建的“艾滋木马”病毒。2005 年出现了一种加密用户文件的木马(Trojan/Win32.GPcode)。该木马在被加密文件的目录下生成,具有警告性质的txt文件,要求用户购买解密程序。所加密的文件类型包括:.doc、.html、.jpg、.xls、.zip及.rar。活跃期,2010年以后进入了勒索软件的活跃期,2010 年伊朗“震网”病毒事件使得工业企业固有的工业控制系统是一个“信息孤岛”的思想开始转变,企业意识到隔离在整个工控系统网络安全防护中只是一种手段,并非解决一切问题的方法。2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒 Flame 在中东地区大范围传播。遭受该毒感染的国家包括伊朗、以色列、巴勒斯坦、苏丹、叙利亚等多个国家。在2014年尾,High-Tech Bridge信息安全公司甚至发现了将整个服务器上网站都加密的RansomeWeb病毒。爆发期。2015年以后勒索软件发展迅猛,蔓延到各个领域、各个行业、各个平台。2015 年12月,乌克兰电力部门的监控管理系统遭受到恶意代码攻击,导致超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。Kyivoblenergo 电力公司发布公告称公司因遭到入侵,导致 8 万用户断电。2017年5月17日,一个在后来成为全世界家喻户晓的勒索病毒蠕虫WannaCry第一次在西班牙对受害者进行袭击。在一小时内,就已经感染数个国家的上百台计算机。2019年5月24日Sodinokibi勒索病毒首次在意大利被发现。在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在短短几个月的时间内,已经在全球大范围传播,Sodinokibi勒索病毒是一种勒索即服务(RAAS)的模式进行分发和营销的,并采用了一些免杀技术避免安全软件检测。
2.勒索软件如何进入工控系统
1).通过漏洞入侵
工控网络存在大量已知漏洞,并且漏洞长期处于无修补的状态。勒索软件可能通过远程利用漏洞的方式感染工控系统设备,实施勒索或其他恶意行为。
2).绕过工控系统边界的防护装置
工控系统与外部网络通常是采用隔离装置来保护内部的网络,勒索软件可能通过U盘、邮件等渠道,通过工控系统的操作人员或工程师携带的设备带入内网,以绕过工控系统边界的防护装置进入工控网络。
3).通过供应链攻击进入工控网络
勒索病毒先对工控设备的供应商进行攻击,把勒索软件预置在新的工控设备中。将勒索病毒带入到最终的工控系统,当勒索软件进入工控系统环境中,再利用勒索蠕虫病毒中内置的漏洞利用代码在工控系统内网中进行横向渗透,发现并感染存在漏洞和脆弱性问题的其他工控系统设备。
3.如何避免勒索病毒进行工控环境
工控系统的勒索病毒和信息系统的勒索思路是一样的,也是利用工控环境系统或设备存在的漏洞进行渗透攻击。在预防工控系统免受勒索病毒入侵,建议有以下几点:
1).资产的识别及维护
通过主动发现技术、用户行为技术等结合实现资产自动发现、自动判断。发现存在安全隐患的资产,及时进行修复。对于不能修复的,可以借助外置的安全防护设备进行防护。
2).安全防护措施的建设
对重要的工控系统及时升级操作系统和更新杀毒软件,采购必要的安全产品进行防护。
3).定期进行风险评估
通过招纳专业人才或借助外面安全专业公司,对勒索病毒的研究和监测,并定期对整个工控环境进行风险评估工作。
参考链接:
https://www.secrss.com/articles/23623
http://www.djbh.net/webdev/web/AcademicianColumnAction.do?p=getYszl&id=8a818256675e91ab0169279a1a0c00c4
https://xueshu.baidu.com/usercenter/paper/show?paperid=837b3f6c5817dc8a9dc91d0c35141f04&site=xueshu_se
https://zh.vpnmentor.com/blog/%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E8%BD%AF%E4%BB%B6%E7%9A%84%E5%8E%86%E5%8F%B2%EF%BC%9A%E8%BF%87%E5%8E%BB%E3%80%81%E7%8E%B0%E5%9C%A8%E5%8F%8A%E6%9C%AA%E6%9D%A5/
http://www.jeepxie.net/article/156222.html
https://zh.wikipedia.org/