2018勒索病毒白皮书（政企篇）.pdf

2018勒索病毒白皮书(政企篇)360终端安全实验室2019年2月2摘 要 2 0 1 8 年 ， 勒 索 病 毒 攻 击 整 体 态 势 以 服 务 器 定 向 攻 击 为 主 ， 辅 以 撒 网 式 无 差 别攻 击 手 段 。 2 0 1 8 年 共 有 4 3 0 余 万 台 （ 只 包 括 国 内 且 不 含 WannaCry 数 据 ） 计 算 机 遭 受 勒索 病 毒 攻 击 ； GandCrab、 GlobeImposter、 CrySis 这 三 大 家 族 勒 索 病 毒 的 受 害者 最 多 ， 合 计 占 比 高 达 8 0 .2 %； 勒 索 病 毒 最 常 使 用 的 攻 击 手 段 是 远 程 桌 面 弱口 令 暴 力 破 解 攻 击 。 勒 索 病 毒 对 政 企 单 位 的 攻 击 以 单 点 试 探 为 主 ， 7 9 .8 %仅 尝 试 攻 击 一 台 终 端 ；政 府 行 业 的 单 位 最 容 易 遭 到 勒 索 病 毒 攻 击 ， 占 被 攻 击 单 位 总 数 的 2 1 .0 %； 金融 行 业 的 终 端 最 容 易 遭 到 勒 索 病 毒 攻 击 ， 占 被 攻 击 终 端 总 数 的 3 1 .8 %。 5 月 是 政 企 单 位 感 染 勒 索 病 毒 的 最 高 峰 ， 其 数 值 是 最 低 谷 （ 2 月 ） 的 5 .3 倍 ；政 府 单 位 是 感 染 勒 索 病 毒 的 重 灾 区 ， 被 感 染 数 量 占 被 感 染 单 位 总 数 的 2 4 .1 %；GlobeImposter 最 难 防 范 ， 3 4 .0 %的 受 害 政 企 单 位 感 染 了 该 勒 索 病 毒 ； 各 大 勒索 病 毒 都 爱 感 染 政 府 行 业 。 政 企 单 位 可 以 通 过 业 务 系 统 无 法 访 问 、 电 脑 桌 面 被 篡 改 、 文 件 后 缀 被 篡 改 等方 式 判 断 是 否 感 染 了 勒 索 病 毒 。 如 果 已 经 感 染 了 勒 索 病 毒 ， 建 议 通 过 隔 离 中招 主 机 、 排 查 业 务 系 统 、 联 系 专 业 人 员 进 行 自 救 等 多 种 方 式 ， 在 等 待 专 业 人员 救 助 之 前 有 效 止 损 。 政 企 单 位 防 范 勒 索 病 毒 建 议 从 七 个 方 面 着 手 ， 即 及 时 更 新 最 新 的 补 丁 库 、 杜绝 弱 口 令 、 重 要 资 料 定 期 隔 离 备 份 、 提 高 网 络 安 全 基 线 、 保 持 软 件 使 用 的 可信 、 选 择 正 确 的 反 病 毒 软 件 、 建 立 高 级 威 胁 深 度 分 析 与 对 抗 能 力 。3目 录第 一 章 ， 勒 索 病 毒 整 体 攻 击 态 势 .1一 、 整 体 态 势 .1二 、 活 跃 家 族 .1三 、 传 播 特 点 .2第 二 章 ， 政 企 遭 遇 勒 索 攻 击 分 析 .5一 、 攻 击 力 度 .5二 、 感 染 分 析 .6第 三 章 ， 勒 索 病 毒 发 展 趋 势 预 测 .9一 、 紧 跟 漏 洞 发 展 步 伐 .9二 、 更 多 的 传 播 方 式 .9三 、 攻 击 面 和 目 标 扩 大 化 .9四 、 被 攻 击 的 设 备 种 类 不 断 扩 大 .9第 四 章 ， 勒 索 病 毒 应 急 响 应 指 南 .10一 、 如 何 判 断 中 毒 .10二 、 如 何 紧 急 自 救 .11三 、 如 何 进 行 恢 复 .11四 、 如 何 避 免 中 毒 .13附 录 1、 2018 热 点 勒 索 病 毒 事 件 .15附 录 2、 关 于 360 终 端 安 全 实 验 室 .17附 录 3、 关 于 360 天 擎 新 一 代 终 端 安 全 管 理 系 统 .17附 录 4、 关 于 360 天 擎 终 端 安 全 响 应 系 统 .181第一章，勒索病毒整体攻击态势2018 年 ， 勒 索 病 毒 攻 击 特 点 也 发 生 了 变 化 ： 2017年 ， 勒 索 病 毒 由 过 去 撒 网式 无 差 别 攻 击 逐 步 转 向 以 服 务 器 定 向 攻 击 为 主 ， 而 2018年 ， 勒 索 病 毒 攻 击 则 以服 务 器 定 向 攻 击 为 主 ， 辅 以 撒 网 式 无 差 别 攻 击 手 段 。一、整体态势摘 要 ： 2018 年 共 有 430 余 万 台 计 算 机 遭 受 勒 索 病 毒 攻 击 ， 12 月 攻 击 最 盛 。根 据 360互 联 网 安 全 中 心 的 数 据 （ 包 括 360安 全 卫 士 和 360杀 毒 的 查 杀 数 据 ） ，2018年 共 计 430余 万 台 计 算 机 遭 受 勒 索 病 毒 攻 击 （ 只 包 括 国 内 且 不 含 WannaCry数 据 ） 。 值 得 关 注 的 是 ， 在 2018年 11月 和 12月 ， 由 于 GandCrab勒 索 病 毒 增 加了 蠕 虫 式 （ 蠕 虫 下 载 器 ） 攻 击 手 段 以 及 Satan勒 索 病 毒 加 强 了 服 务 器 攻 击 频 次 ，导 致 攻 击 量 有 较 大 上 升 。需 要 指 出 的 是 ， 以 上 趋 势 仅 基 于 监 控 数 据 ， 实 际 许 多 用 户 是 黑 客 通 过 服 务 器攻 击 渗 透 入 侵 内 网 后 投 放 的 勒 索 病 毒 ， 亦 或 用 户 终 端 不 联 网 通 过 内 网 其 他 机 器 感染 的 勒 索 病 毒 ， 这 些 情 形 下 是 无 法 监 控 到 数 据 的 。二、活跃家族摘 要 ： 2018 年 G andCrab、 G lobeImposter、 CrySis 这 三 大 家 族 勒 索 病 毒 的 受 害者 最 多 ， 合 计 占 比 高 达 80.2%。根 据 360反 勒 索 服 务 统 计 的 数 据 ， 2018年 GandCrab、 GlobeImposter、 CrySis这 三 大 家 族 勒 索 病 毒 的 受 害 者 最 多 ， 合 计 占 比 约 80.2%。 本 年 度 的 活 跃 家 族 除 了少 数 病 毒 ， 都 有 针 对 政 企 用 户 进 行 的 攻 击 ， 因 此 企 业 用 户 仍 然 是 勒 索 病 毒 最 热 衷的 攻 击 对 象 。 360终 端 安 全 实 验 室 统 计 的 用 户 反 馈 数 据 ， 大 体 和 这 个 数 据 类 似 ，后 文 将 有 详 细 分 析 。2以 下 是 360反 勒 索 服 务 统 计 数 据 得 到 的 分 析 图 ：三、传播特点摘 要 ： 2018 年 度 勒 索 病 毒 最 常 使 用 的 攻 击 手 段 是 远 程 桌 面 弱 口 令 暴 力 破 解 攻 击 。勒 索 病 毒 采 用 的 传 播 手 段 和 其 他 病 毒 类 似 ， 不 过 2018年 度 最 为 常 用 的 攻 击手 段 却 是 远 程 桌 面 弱 口 令 暴 力 破 解 攻 击 ， 大 量 政 企 、 个 人 用 户 反 馈 的 勒 索 病 毒 都是 基 于 此 攻 击 方 式 。下 面 根 据 病 毒 传 播 影 响 范 围 、 危 害 大 小 列 出 最 常 用 的 几 种 攻 击 方 式 。1.弱 口 令 攻 击有 多 种 系 统 或 软 件 的 弱 口 令 遭 受 攻 击 ， 这 里 勒 索 病 毒 最 常 用 的 是 远 程 桌 面 登录 弱 口 令 。 除 此 外 ， 勒 索 病 毒 弱 口 令 攻 击 还 包 括 针 对 数 据 库 系 统 、 Tomcat 管 理账 户 、 VNC等 弱 口 令 的 攻 击 。2.U 盘 蠕 虫U盘 蠕 虫 过 去 主 要 用 于 传 播 远 控 和 挖 矿 病 毒 ， 但 在 2018年 11月 突 然 出 现 传播 GandCrab勒 索 病 毒 的 现 象 。 360终 端 安 全 实 验 室 曾 对 该 类 蠕 虫 做 了 详 细 分 析 ，具 体 可 参 见 ：mp.weixin.qq/s?_biz=MzI2MDc2MDA4OA=&mid=2247485868&idx=1&sn=96ccb8bd5f34d2187173abc49bdad18e这 种 传 播 方 式 的 出 现 ， 导 致 2018 年 11月 GandCrab 勒 索 病 毒 突 然 成 规 模 的爆 发 ， 令 许 多 用 户 遭 受 攻 击 。33.系 统 、 软 件 漏 洞由 于 许 多 用 户 安 全 意 识 不 足 ， 导 致 许 多 NDay漏 洞 被 黑 客 利 用 进 行 攻 击 。 2018年 ， 有 多 个 勒 索 软 件 家 族 通 过 Windows系 统 漏 洞 或 Web应 用 漏 洞 入 侵 Windows服 务 器 。 其 中 最 具 代 表 性 的 当 属 Satan勒 索 病 毒 ， Satan勒 索 病 毒 最 早 于 2018年3月 在 国 内 传 播 ， 其 利 用 多 个 Web应 用 漏 洞 入 侵 服 务 器 ， 如 下 表 所 示 。简 述 漏 洞 编 号JBoss 反 序 列 化 漏 洞 CVE-2017-12149JBoss 默 认 配 置 漏 洞 CVE-2010-0738JBoss 默 认 配 置 漏 洞 CVE-2015-7501WebLogic反 序 列 化 漏 洞 CVE-2017-10271Put任 意 上 传 文 件 漏 洞“ 永 恒 之 蓝 ” 相 关 漏 洞 CVE-2017-0146Struts远 程 代 码 执 行 漏 洞 S2-052（ 仅 扫 描 ） CVE-2017-9805WebLogic任 意 文 件 上 传 漏 洞 CVE-2018-2894Spring Data Commons远 程 代 码 执 行 漏 洞 CVE-2018-12734.其 他 攻 击 方 式相 比 前 面 几 种 攻 击 方 式 ， 其 他 攻 击 方 式 的 影 响 要 小 不 少 ， 这 些 方 式 主 要 包 括 ：（ 1） 软 件 供 应 链 攻 击 ： 以 unnamed1989 勒 索 病 毒 （ “ 微 信 支 付 勒 索 病 毒 ” ）为 代 表 ， 该 勒 索 病 毒 主 要 是 因 为 开 发 者 下 载 了 带 有 恶 意 代 码 的 易 语 言 第 三 方 模 块 ，导 致 调 用 该 模 块 所 开 发 出 来 的 软 件 均 被 感 染 了 恶 意 代 码 。 根 据 统 计 ， 在 此 次 事 件中 被 感 染 的 软 件 超 过 50 余 种 。 此 外 RushQLOracle数 据 库 勒 索 病 毒 也 属 于 软 件供 应 链 攻 击 。（ 2） 无 文 件 攻 击 方 式 ： 比 如 GandCrab 勒 索 病 毒 就 采 用 了 “ 无 文 件 攻 击 ” 进行 传 播 ， 其 技 术 原 理 主 要 通 过 Powershell将 GandCrab编 码 加 密 后 以 内 存 载 荷 方式 加 载 运 行 ， 实 现 全 程 无 恶 意 代 码 落 地 ， 从 而 躲 避 安 全 软 件 的 检 测 。（ 3） 邮 件 附 件 传 播 ： 这 种 方 式 通 过 邮 件 附 件 传 播 病 毒 下 载 器 ， 诱 使 用 户 点击 运 行 下 载 器 下 载 勒 索 病 毒 后 中 毒 。 此 方 式 在 2016-2017年 是 勒 索 病 毒 最 常 见 的传 播 方 式 ， 但 在 2018年 已 经 很 少 被 采 用 。下 图 是 360反 勒 索 平 台 接 收 到 的 反 馈 案 例 统 计 ， 可 以 看 到 通 过 远 程 桌 面 弱 口令 攻 击 方 式 传 播 的 案 例 占 比 最 高 ， 高 达 62.9%， 其 次 是 共 享 文 件 被 加 密 ， 占 比 为11.1%， 而 通 过 U盘 蠕 虫 进 行 传 播 的 案 例 占 比 则 为 10.4%。4（ 以 上 数 据 直 接 引 用 360互 联 网 安 全 中 心 的 数 据 ）5第二章，政企遭遇勒索攻击分析由 于 感 染 政 企 客 户 更 有 可 能 获 得 赎 金 ， 再 加 上 勒 索 病 毒 本 身 也 以 服 务 器 定 向攻 击 为 主 ， 所 以 ， 2018年 政 企 客 户 被 勒 索 病 毒 攻 击 的 势 头 尤 其 凶 猛 ， 各 行 各 业都 遭 到 了 无 差 别 攻 击 。一、攻击力度本 节 数 据 来 自 360企 业 安 全 公 有 云 安 全 监 测 数 据 （ 只 包 括 国 内 且 不 含WannaCry数 据 ） ， 以 每 日 被 攻 击 终 端 为 基 本 研 究 单 位 ， 本 地 已 经 可 以 查 杀 的 勒 索病 毒 不 在 统 计 之 列 。摘 要 ： 勒 索 病 毒 对 政 企 单 位 的 攻 击 以 单 点 试 探 为 主 ， 79.8%仅 尝 试 攻 击 一 台 终 端 。在 政 企 单 位 所 遭 遇 的 勒 索 病 毒 攻 击 事 件 中 ， 单 日 单 次 攻 击 事 件 仅 针 对 一 台 终端 的 比 例 占 到 攻 击 事 件 总 量 的 79.8%， 仅 有 0.6%的 攻 击 事 件 针 对 的 终 端 总 数 超过 50台 。摘 要 ： 政 府 行 业 的 单 位 最 容 易 遭 到 勒 索 病 毒 攻 击 ， 占 被 攻 击 单 位 总 数 的 21.0%。在 遭 遇 勒 索 病 毒 攻 击 的 政 企 单 位 中 ， 政 府 单 位 的 数 量 最 多 ， 占 到 被 攻 击 单 位总 数 的 21.0%； 其 次 是 卫 生 、 能 源 单 位 ， 占 比 分 别 为 12.1%、 8.8%。6摘 要 ： 金 融 行 业 的 终 端 最 容 易 遭 到 勒 索 病 毒 攻 击 ， 占 被 攻 击 终 端 总 数 的 31.8%。在 遭 遇 勒 索 病 毒 攻 击 的 政 企 终 端 中 ， 金 融 行 业 终 端 最 多 ， 占 到 总 攻 击 终 端 数量 的 31.8%； 其 次 是 政 府 、 能 源 终 端 ， 占 比 分 别 为 10.4%、 9.0%。二、感染分析本 节 数 据 来 自 360终 端 安 全 实 验 室 接 到 的 政 企 单 位 感 染 勒 索 病 毒 后 的 应 急响 应 请 求 。 总 体 政 企 用 户 感 染 范 围 达 到 历 史 新 高 ， 可 以 说 是 前 所 未 有 的 影 响 。摘 要 ： 5 月 是 政 企 单 位 感 染 勒 索 病 毒 的 最 高 峰 ， 其 数 值 是 最 低 谷 时 的 5.3 倍 。2018年 ， 政 企 单 位 感 染 勒 索 病 毒 的 最 高 峰 出 现 在 5月 ， 最 低 谷 出 现 在 2月 ，最 高 峰 月 份 感 染 勒 索 病 毒 的 单 位 数 量 是 最 低 谷 时 的 5.3倍 。7摘 要 ： 政 府 单 位 是 感 染 勒 索 病 毒 的 重 灾 区 ， 数 量 是 被 感 染 政 企 单 位 总 数 的 24.1%。在 被 勒 索 病 毒 感 染 的 政 企 单 位 中 ， 政 府 单 位 的 占 比 最 高 ， 占 到 被 感 染 政 企 单位 总 数 的 24.1%； 其 次 是 卫 生 、 公 检 法 单 位 ， 占 比 分 别 是 14.9%、 7.2%。摘 要 ： G lobeImposter 最 难 防 范 ， 34.0%受 害 政 企 单 位 感 染 了 该 勒 索 病 毒 。在 感 染 勒 索 病 毒 的 政 企 单 位 中 ， 34.0%感 染 了 GlobeImposter， 22.0%感 染 了GandCrab， 17.6%感 染 了 Crysis， 10.1%感 染 了 Satan， 仍 然 有 7.5%单 位 感 染WannaCry。