2017勒索软件威胁形势分析报告.pdf

2017 勒索软件威胁形势分析报告 360 互联网安全中心 2017 年 12 月 20 日摘要 2017 年 1-11 月， 360 互联网安全中心共截获电脑端新增勒索软件变种 183 种，新增控制域名 238 个。全国至少有 472.5 多万台用户电脑遭到了勒索软件攻击，平均每天约有1.4 万台国内电脑遭到勒索软件攻击。在向 360 互联网安全中心求助的勒索软件受害者中， Cerber、 Crysis、 WannaCry 这三大勒索软件家族的受害者最多，共占到总量的 58.4%。其中， Cerber 占比为 21.0%， Crysis 占比为 19.9%， WannaCry 占比为 17.5%。 2017 年，勒索软件的传播方式主要有以下五种：服务器入侵传播、利用漏洞自动传播、邮件附件传播、通过软件供应链进行传播和利用挂马网页传播。遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中，广东占比最高，为 14.9%，其次是浙江 8.2%，江苏 7.7%。排名前十省份占国内所有被攻击总量的 64.1%。抽样调研显示，在遭到勒索软件攻击的政企机构中，能源行业是遭受勒索软件攻击最多的行业，占比为 42.1%，其次是医疗行业为 22.8%，金融行业为 17.8%。 2017 年，勒索软件的攻击主要呈现以下特点：无 C2 服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、境外攻击者多于境内攻击者。 2017 年，约 15%的勒索软件攻击是针对中小企业服务器发起的定向攻击，尤以 Crysis、xtbl、 wallet、 arena、 Cobra 等家族为代表。 2017 年 1 月至 11 月， 360 反勒索服务共接到了 2325 位遭遇勒索软件攻击的受害者求助。调研数据显示，男性是最容易受到勒索软件攻击的对象，占比高达 90.5%，而女性占比仅为 9.5%。在向 360互联网安全中心求助的所有勒索软件受害者中， IT/互联网行业的受害者最多，占比为 27.0%；其次是制造业，占比为 18.6%；教育行业占比为 14.8%。从求助的受害者工作职位来看，普通职员超过受害者总数的一半以上，占 51.8%，其次是经理、高级经理，占 33.0%，企业中、中高管理层，占 13.4%， CEO、董事长、总裁等占比为 1.8%。从求助的受害者文件感染类型可以看出， 87.6%是受害者电脑上的办公文档被感染，其次， 77.4%的图片文件被感染， 54.0%的视频文件被感染， 48.7%的音频文件被感染， 8.2%的数据库文件被感染。在求助的受害者中，已有 5.8%的受害者为了恢复文件而支付赎金，另外 94.2%的受害者选择了拒绝为恢复文件而支付赎金。 2017 年 5 月，影响全球的勒索软件永恒之蓝勒索蠕虫（ WannaCry）大规模爆发。它利用了据称是窃取自美国国家安全局的黑客工具 EternalBlue（永恒之蓝）实现了全球范围内的快速传播，在短时间内造成了巨大损失。不同行业遭受永恒之蓝勒索蠕虫攻击的情况也有所不同，工程建设行业是遭受攻击最多的行业，占比为 20.5%，其次制造业为 17.3%，能源行业为 15.3%。本次报告还总结了勒索软件攻击与应急响应的十大典型案例，其中五个为永恒之蓝攻击与响应典型案例，另五个为服务器入侵攻击与响应典型案例。 2018 年勒索软件攻击趋势预测：从整体态势来看，勒索软件的质量和数量将不断攀升，并且会越来越多的使用免杀技术；从攻击特点来看，勒索软件的自我传播能力将越来越强，静默期也会不断延长；从攻击目标来看，勒索软件攻击的操作系统类型将越来越多，同时定向攻击能力也将更加突出；此外，勒索软件造成的经济损失会越来越大，受害者支付赎金的数量也会越来越多，但由于各种原因，通过支付赎金恢复文件的成功率将大幅下降。在反勒索软件方面，以下技术最有可能成为主流趋势：文档自动备份隔离保护技术、智能诱捕技术、行为追踪技术、智能文件格式分析技术和数据流分析技术等。对于企业级用户来说，云端免疫技术、密码保护技术等也将起到至关重要的作用。目录研究背景 .1 第一章勒索软件的大规模攻击 .2 一、勒索软件的攻击量 . 2 二、勒索软件的家族分布 . 3 三、勒索软件的传播方式 . 4 四、勒索软件攻击的地域 . 5 五、勒索软件服务器分布 . 6 六、勒索软件攻击的行业 . 6 七、勒索软件的攻击特点 . 7 第二章勒索软件受害者特征分析 . 10 一、受害者的求助情况 . 10 二、受害者的基本特征 . 10 三、受害者的感染情况 . 12 四、赎金支付与支付方式 . 14 五、影响赎金支付的因素 . 15 六、恢复感染文件的方法 . 16 第三章 WANNACRY 勒索软件的大规模攻击 . 19 一、勒索蠕虫的空前影响 . 19 二、 WANNACRY 攻击态势分布 . 19 三、三位一体的新型病毒 . 20 四、自杀开关的成败得失 . 21 五、 WANNACRY 整体攻击流程 . 23 六、 WANNACRY 穿透内网原因 . 23 七、其他暴露出来的问题简析 . 25 第四章勒索软件攻击与响应典型案例 . 28 一、永恒之蓝攻击与响应典型案例 . 28 二、混入升级通道的类 PETYA 勒索病毒 . 31 三、服务器入侵攻击与响应典型案例 . 32 第五章 2018 年勒索软件趋势预测 . 38 一、整体态势 . 38 二、攻击特点 . 38 三、攻击目标 . 39 四、造成损失 . 39 第六章勒索软件防御技术新趋势 . 41 一、个人终端防御技术 . 41 二、企业级终端防御技术 . 42 第七章给用户的安全建议 . 43 一、个人用户安全建议 . 43 二、企业用户安全建议 . 43 附录 1 2017 年勒索软件重大攻击事件 . 45 一、 MONGODB数据库被窃取 . 45 二、知名搜索引擎 ELASTICSEARCH 被勒索敲诈 . 45 三、港珠澳桥资料遭黑客加密勒索 . 45 四、 WANNACRY 在全球大规模爆发 . 45 五、欧洲大规模爆发类 PETYA 病毒 . 46 六、多国正在遭遇彼佳勒索病毒袭击 . 46 七、韩国网络托管公司 NAYANA 再遭勒索 . 46 八、 SPORA 窃取凭据并记录您输入的内容 . 47 九、勒索病毒坏兔子来袭俄乌等国中招 . 47 十、通用汽车制造中心遭勒索软件攻击 . 47 附录 2 WANNACRY 攻击技术详解 . 48 附录 3 从 DNS 和 S INKHOLE视角看 WANNACRY 蠕虫 . 64 附录 4 360 安全卫士反勒索服务 . 71 附录 5 360 天擎敲诈先赔服务 . 72 附录 6 360 勒索软件协同防御解决方案 . 73 1 研究背景勒索软件是近两年来影响最大，也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式，向受害者的电脑终端或服务器发起攻击，加密系统文件并勒索赎金。 2016 年，包括 IBM、 Symantec、 360 等国内外多家知名安全机构已经开始高度关注勒索软件攻击。 2016 年 12 月， 360 互联网安全中心发布了 2016 敲诈者病毒威胁形势分析报告（年报）。报告指出， 2016 年，全国至少有 497 万多台用户电脑遭到了勒索软件攻击，成为对网民直接威胁最大的一类木马病毒。 2017 年，勒索软件继续呈现出全球性蔓延态势，攻击手法和病毒变种也进一步多样化。特别是 2017 年 5 月全球爆发的永恒之蓝勒索蠕虫（ WannaCry，也有译作“ 想哭 ”病毒）和随后在乌克兰等地流行的 Petya 病毒，使人们对于勒索软件的关注达到了空前的高度。在全球范围内，政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。与 WannaCry无差别的显性攻击相比，针对中小企业网络服务器的精准攻击则是隐性的，不为多数公众所知，但却也已成为 2017 年勒索软件攻击的另一个重要特点。统计显示，在2017 年的国内勒索软件的攻击目标中，至少有 15%是明确针对政企机构的，其中由以中小企业为主要目标。相比于一般的个人电脑终端或办公终端，服务器数据的珍贵程度和不可恢复性更强（针对服务器的渗透式勒索攻击一般不会留下死角或备份），因此被勒索者支付赎金的意愿也相对更强。为进一步深入研究勒索软件的攻击特点和技术手段，帮助个人电脑用户和广大政企机构做好网络安全防范措施， 360 互联网安全中心对 2017 年的勒索软件攻击形势展开了全面的研究，分别从攻击规模、攻击特点、受害者特征、典型案例、趋势预测等几个方面进行深入分析。 2 第一章勒索软件的大规模攻击 2017 年以来， 360 互联网安全中心监测到大量针对普通网民和政企机构的勒索软件攻击。勒索软件已成为对网民直接威胁最大的一类木马病毒。本章内容主要针对， 2017 年 1 月-11 月期间， 360 互联网安全中心监测到的勒索软件的相关数据进行分析。一、勒索软件的攻击量 2017 年 1-11 月， 360 互联网安全中心共截获电脑端新增勒索软件变种 183 种，新增控制域名 238 个。全国至少有 472.5 多万台用户电脑遭到了勒索软件攻击，平均每天约有 1.4万台国内电脑遭到勒索软件攻击。特别说明， 2017 年截获的某些勒索病毒，如 Cerber 病毒，会向某个 IP 地址段进行群呼，以寻找可能响应的控制服务器。病毒这样做的目的可能是为了避免其服务器被拦截。如果没有服务器响应群呼消息，病毒则会按照其他既定流程执行代码。 2017 年， 360 互联网安全中心共截获新增此类 IP 地址段 51 个。下图给出了勒索软件 1 月至 11 月期间每月攻击用户数的情况。从图中可见， 4 月攻击高峰期时的攻击量为 81.1 万，一天之内被攻击的电脑平均可达 2.7 万台。 11 月是第二个攻击小高峰，一天之内被攻击的电脑平均可达 3.1 万台。下图分别给出了 2017 年 1 月至 11 月勒索软件每月攻击的态势分析图形。注意，此部分攻击态势分析数据不包含 WannaCry 勒索蠕虫的相关数据。 2017 年四月份发生的大规模勒索软件攻击，主要是因为 Shadow Brokers（影子经纪人）组织公开了披露美国国家安全局发现的漏洞“永恒之蓝 ”，虽然 “ WannaCry”是在五月份爆发的，但此漏洞一直都有被别的勒索软件利用进行攻击。 10 月至 11 月发生的大规模勒索软件攻击，主要是因为在 10 月份时出现了一种以 .arena为后缀的勒索软件， 11 月份时出现了一种以 .java 为后缀的勒索软件。这两款勒索软件主要是由攻击者通过娴熟的手法入侵服务器后释放勒索病毒的。以 .arena 和 .java 为后缀的勒索软3 件在 10 月至 11 月流行的主要原因有三： 1）攻击者入侵手段升级导致成功率大幅提高； 2）这两款勒索软件成功入侵了大量企业的服务器； 3）以 .arena 和 .java 为后缀的这两款勒索软件都属于 Crysis 家族，这个家族每次更换新的私钥都会换一个后缀（ 10 月份是 .arena 后缀， 11 月份是 .Java 后缀）。新出现的 .arena 和 .java替代了 .wallet 开始流行。二、勒索软件的家族分布统计显示，在向 360 互联网安全中心求助的勒索软件受害者中， Cerber、 Crysis、 WannaCry这三大勒索软件家族的受害者最多，共占到总量的 58.4%。其中， Cerber 占比为 21.0%， Crysis 占比为 19.9%， WannaCry 占比为 17.5%，具体分布如下图所示。结合 360 互联网安全中心的大数据监测分析，下图给出了 2017 年不同勒索软件家族在国内的活跃时间分析。特别需要说明的是： “ 类 Petya” 勒索病毒（该病毒说明请参考第四章的第二节介绍），虽然在国外发动了大规模的攻击行为，产生了及其重要影响，但是在国内基本就没有传播，所以在下图中没有体现这两个家族。 4 三、勒索软件的传播方式 360 互联网安全中心监测显示，黑客为了提高勒索软件的传播效率，也在不断更新攻击方式，钓鱼邮件传播依然是黑客常用的传播手段，服务器入侵的手法更加娴熟运用，同时也开始利用系统自身的漏洞进行传播。今年勒索软件主要采用以下五种传播方式： 1）服务器入侵传播以 Crysis 家族为代表的勒索软件主要采用此类攻击方式。黑客首先通过弱口令、系统或软件漏洞等方式获取用户名和密码，再通过 RDP（远程桌面协议）远程登录服务器，一旦登录成功，黑客就可以在服务器上为所欲为，例如：卸载服务器上的安全软件并手动运行勒索软件。所以，在这种攻击方式中，一旦服务器被入侵，安全软件一般是不起作用的。服务器能够被成功入侵的主要原因还是管理员的帐号密码被破解。而造成服务器帐号密码被破解的主要原因有以下几种：为数众多的系统管理员使用弱密码，被黑客暴力破解；还有一部分是黑客利用病毒或木马潜伏在用户电脑中，窃取密码；除此之外还有就是黑客从其他渠道直接购买账号和密码。黑客得到系统管理员的用户名和密码后，再通过远程登录服务器，对其进行相应操作。 2）利用漏洞自动传播今年，通过系统自身漏洞进行传播扩散成为勒索软件的一个新的特点。上半年震动世界的 WannaCry 勒索病毒就是利用微软的永恒之蓝（ EternalBlue）漏洞进行传播。黑客往往抓住很多人认为打补丁没用还会拖慢系统的错误认识，从而利用刚修复不久或大家重视程度不高的漏洞进行传播。如果用户未及时更新系统或安装补丁，那么即便用户未进行任何不当操作，也有可能在完全没有预兆的情况下中毒。此类勒索软件在破坏功能上与传统勒索软件无异，都是加密用户文件勒索赎金。但因为传播方式不同，导致更加难以防范，需要用户自身提高安全意识，尽快更新有漏洞的软件或安装对应的安全补丁。 3）软件供应链攻击传播软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过5 传统安全产品检查达到非法目的的攻击类型。 2017 年爆发的 Fireball、暗云 III、类 Petya、异鬼 II、 Kuzzle、 XShellGhost、 CCleaner 等后门事件均属于软件供应链攻击。而在乌克兰爆发的类 Petya 勒索软件事件也是其中之一，该病毒通过税务软件 M.E.Doc 的升级包投递到内网中进行传播。 4）邮件附件传播通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件，在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件，便会执行里面的脚本，释放勒索病毒。这类传播方式的针对性较强，主要瞄准公司企业、各类单位和院校，他们最大的特点是电脑中的文档往往不是个人文档，而是公司文档。最终目的是给公司业务的运转制造破坏，迫使公司为了止损而不得不交付赎金。 5）利用挂马网页传播通过入侵主流网站的服务器，在正常网页中植入木马，让访问者在浏览网页时利用 IE或 Flash 等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播，并没有特定的针对性，一般中招的受害者多数为裸奔用户，未安装任何杀毒软件。四、勒索软件攻击的地域 360 互联网安全中心监测显示，遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中，广东占比最高，为 14.9%，其次是浙江 8.2%，江苏 7.7%。排名前十省份占国内所有被攻击总量的 64.1%。 6 2017 年勒索软件攻击地域分布如下图所示。五、勒索软件服务器分布 360 互联网安全中心针对最为活跃的部分勒索软件的 C2 服务器域名后缀的归属地进行了分析，结果显示：域名被使用的最多，约为总量的一半，为 48.7%，和占比分别为 3.8%和 1.7%。此外，属于欧洲国家的域名最多，占 31.9%，其次是亚洲国家 4.6%，南美洲国家 1.7%，大洋洲国家 1.7%，北美洲国家 1.3%。特别值得注意的是，主流的大勒索家族都不再使用 C2 服务器加密技术了，但还是有很多小众勒索家族在使用 C2 服务器的加密技术。六、勒索软件攻击的行业为更加深入的了解各行业勒索软件遭到攻击的情况， 360 威胁情报中心联合全国一百余家政府机构、事业单位和大中型企业的 IT 管理人员，对各企业遭勒索软件攻击情况展开7 了深入的调查分析。并希望此项研究能够对更多机构的网络管理者提供有价值的参考信息。不同行业政企机构遭受勒索软件攻击的情况分析显示，能源行业是遭受攻击最多的行业，占比为 42.1%，其次为医疗行业为 22.8%，金融行业为 17.8%，具体分布如下图所示。需要说明的是，遭到攻击多不代表被感染的设备多。攻击量是通过企业级终端安全软件的监测获得的。从上图中，我们知道能源、医疗卫生、金融是遭受勒索软件攻击最多的三个行业，那么究竟是哪些家族对这三个行业发动的攻击呢？下表分别给出了每个行业遭受勒索软件攻击最多的前五个家族，具体如下表所示。可以看出，针对不同行业，攻击者者所使用的勒索软件类型是有很大区别的。能源医疗卫生金融家族 TOP5 占比家族 TOP5 占比家族 TOP5 占比 locky 29.5% cerber 43.7% cerber 61.6% cerber 24.9% spora 18.1% 类 petya 17.7% cryptomix 9.5% crysis 8.2% locky 10.5% globeimposter 7.4% sage 5.4% shade 1.8% btcware 7.2% locky 4.5% spora 1.8% 表 1 能源、医疗卫生、金融行业遭受勒索攻击的家族 TOP5 七、勒索软件的攻击特点如果说，挂马攻击是 2016 年勒索软件攻击的一大特点，那么 2017 年，勒索软件的攻击则呈现出以下六个明显的特点：无 C2 服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、影响大的家族赎金相对少、境外攻击者多于境内攻击者。 (一 ) 无 C2 服务器加密技术流行 2017 年，我们发现黑客在对文件加密的过程中，一般不再使用 C2 服务器了，也就是说现在的勒索软件加密过程中不需要回传私钥了。 8