第一階段:萌芽期
AIDS trojan是世界上第一個被載入史冊的勒索病毒����,從而開啟了勒索病毒的時代��?����!?989年,2萬張感染了“AIDSTrojan”病毒的軟盤被分發給國際衛生組織國際艾滋病大會的與會者,導致大量文件被加密�。早期的勒索病毒主要通過釣魚郵件����,掛馬�����,社交網絡方式傳播�,使用轉賬等方式支付贖金�����,其攻擊范疇和持續攻擊能力相對有限��,相對容易追查����。
第二階段:成型期
2013下半年開始��,是現代勒索病毒正式成型的時期�。勒索病毒使用AES和RSA對特定文件類型進行加密��,使破解幾乎不可能�。同時要求用戶使用虛擬貨幣支付����,以防其交易過程被跟蹤�����。這個時期典型的勒索病毒有CryptoLocker�,CTBLocker等�����。大多數情況下��,這些惡意軟件本身并不具有主動擴散的能力����。
第三階段
自2016年開始���,然而隨著漏洞利用工具包的流行���,尤其是“The ShadowBrokers” (影子經紀人)公布方程式黑客組織的工具后�,其中的漏洞攻擊工具被黑客廣泛應用���。勒索病毒也借此廣泛傳播����。典型的例子���,就是WannaCry勒索蠕蟲病毒的大發作��,兩年前的這起遍布全球的病毒大破壞�,是破壞性病毒和蠕蟲傳播的聯合行動�����,其目的不在于勒索錢財�,而是制造影響全球的大規模破壞行動��。在此階段�����,勒索病毒已呈現產業化���、家族化持續運營����。在整個鏈條中���,各環節分工明確��,完整的一次勒索攻擊流程可能涉及勒索病毒作者�,勒索實施者��,傳播渠道商����,代理�。
第四階段
自2018年開始����,常規的勒索木馬技術日益成熟��。已將攻擊目標從最初的大面積撒網無差別攻擊�����,轉向精準攻擊高價值目標��。比如直接攻擊醫療行業��,企事業單位����、政府機關服務器�,包括制造業在內的傳統企業面臨著日益嚴峻的安全形勢����。
編程人群基數的迅速增加�,越來越多基于腳本語言開發出的勒索病毒開始涌現����,意味著將有更多的黑產人群進入勒索產業這個領域�����,也意味著該病毒將持續發展泛濫����。
勒索病毒攻擊原理分析
攻擊者通過攻陷企業郵件服務器����,向企業內部所有用戶發送釣魚郵件(偽裝成office圖標的exe程序���,帶病毒的文檔��、播放器等)�。用戶無意中打開釣魚郵件中的文件導致被勒索�����。
攻擊者通過爆破等方式獲取企業內部人員vpn賬號����,在企業內網進行系統漏洞/弱口令掃描�����,一旦用戶主機未做好必要防護便會被勒索�����。
攻擊者通過業務系統/服務器漏洞攻陷Web服務器�����,對其進行加密并勒索���。
攻擊者通過攻陷業務系統��,獲取相應數據庫信息�����,在內網進行數據庫漏洞/弱口令掃描���,一旦數據庫未做好必要防護便會被勒索��。
Wanna Cry攻擊原理:
mssecsvc2.0——服務函數中執行感染功能��,對網絡中的計算機進行掃描��,利用MS17-010漏洞和DOUBLEPULSAR后門��,傳播勒索病毒惡意樣本����。taskche.exe——設置對應的注冊表項實現開機自啟動�。執行勒索軟件加密行為�����。遍歷目錄�����,如Program Files�,Windows
(3)文件加解密(簡化版)——非對稱加密
常見勒索方式演示
流程:攻擊者通過ms17-010漏洞直接拿到目標主機系統權限��,上傳病毒程序并運行����,使目標主機被加密��。
主機:Windows 7 安裝了帶勒索病毒的數據庫連接軟件plsql
流程:使用者使用帶病毒的數據庫連接軟件連接數據庫服務器���,導致服務器被加密��。
流程:使用者通過文件上傳等漏洞將WebShell上傳至業務系統����,獲取服務器系統權限���,通過蟻劍連接數據庫并執行相關加密代碼對數據庫信息進行加密�����。
勒索防護
組織層面:
1.對于計算機網絡而言����,我們要對網絡進行分層分域管理��,比如根據不同的職能和部門劃分安全域����,對于各區域邊界進行嚴格的出入控制���。在等保2.0中叫安全邊界管理�����。
2.對于網絡和主機��,都要有嚴格的準入控制系統��,不在白名單內的用戶和主機不允許接入網絡��,不在白名單內的進程和程序不允許運行��。發現可疑主機要及時隔離處理�,發現可疑進程馬上啟動相應的應急處理機制��。3.一旦發現感染病毒�,不要急于格式化重裝系統����,一定要先進行取證溯源����,分析攻擊流程�,尋找攻擊者以及可能的被感染者�����,防止病毒二次傳播��。這個過程是一個很重要但也很難的過程���,很多黑客攻擊也并不是直接入侵的����,而是通過一些僵尸主機或者跳板進行����。而且攻擊后并不會只攻擊一臺��,往往是同時攻下了好多臺電腦��,只不過只在其中一臺或幾臺實施了破壞��,其它沒有被破壞不代表就是安全的��。通過追溯就能發現其他被攻擊的電腦有哪些�����。4. 加強宣傳��,通過相應的網絡安全講座����,讓大家意識到網絡安全的重要性�����,提高安全意識���,增強基本的安全技能�����,養成良好的安全習慣�����。這樣才能有效降低被病毒感染的風險�。
1�、 沒有必要不要訪問外網�����,尤其是一些非正規網站�,減少文件和目錄共享�����。
2����、 使用U盤����、打開郵件附件都要先掃描病毒再打開��。
3����、 不要下載和使用盜版軟件以及來路不明的軟件�。
4�����、 及時為系統/數據庫安裝安全更新���,安裝個人防火墻�,對進出流量進行控制�。
5�、 對于電腦端口加強防范��,使用主機防火墻關閉不必要的端口�。
6��、 發現問題要及時反饋給信息中心����,不要自行處理�����。
7����、 了解必要的病毒知識���。
8����、 要有安全意識�,人是網絡安全中最重要也是最薄弱的環節����。
結合我們的產品