針對移動互聯(lián)網(wǎng)勒索病毒事件,進行系統(tǒng)的專業(yè)分析

搜狐號
佚名
在這個移動互聯(lián)網(wǎng)大時代下,各種勒索病毒頻繁出現(xiàn),現(xiàn)今年5月、6月發(fā)生的勒索病毒,據(jù)不完全統(tǒng)計至少涉及150個國家、30萬用戶,造成損失達80億美元,影響金融、能源、醫(yī)療等眾多行業(yè),造成了非常巨大的影響。針對移...

在這個移動互聯(lián)網(wǎng)大時代下,各種勒索病毒頻繁出現(xiàn),現(xiàn)今年5月、6月發(fā)生的勒索病毒,據(jù)不完全統(tǒng)計至少涉及150個國家、30萬用戶,造成損失達80億美元,影響金融、能源、醫(yī)療等眾多行業(yè),造成了非常巨大的影響。針對移動互聯(lián)網(wǎng)勒索病毒事件,對勒索病毒的形式、產(chǎn)業(yè)鏈等進行了系統(tǒng)的專業(yè)分析。

2017年5月,一種名為WannaCry的勒索病毒肆虐席卷全球,造成100多個國家和地區(qū)超過10萬臺電腦遭到了勒索病毒攻擊、感染。6月出現(xiàn)一種“Petya”變體勒索軟件,相繼歐洲多國遭遇勒索病毒襲擊,政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機場都不同程度受到影響。

國內(nèi)移動互聯(lián)網(wǎng)已經(jīng)成為新的主體,為了預(yù)防移動互聯(lián)網(wǎng)勒索病毒大規(guī)模爆發(fā),避免企業(yè)、個人遭受損失,同時也為行業(yè)監(jiān)管機構(gòu)出臺政策法規(guī)提供移動互聯(lián)網(wǎng)勒索病毒依據(jù),通付盾移動安全實驗室發(fā)布2017年度《移動互聯(lián)網(wǎng)勒索病毒研究報告》,對勒索病毒形式、產(chǎn)業(yè)鏈等進行了系統(tǒng)的專業(yè)分析,希望引起大家對移動互聯(lián)網(wǎng)安全重視,保障中國移動互聯(lián)網(wǎng)安全。

移動勒索病毒綜述

2017年5月份,WannaCry“蠕蟲”式勒索病毒全面入侵,對PC端造成了嚴重危害。隨后,其變種病毒逐漸向移動平臺蔓延,嚴重威脅了移動平臺的安全。作為移動互聯(lián)網(wǎng)的重要載體,智能手機、平板、可穿戴設(shè)備等移動終端設(shè)備都有可能成為勒索病毒的攻擊目標。

1. 歷史追溯

勒索病毒最早可追溯到1989年,隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,勒索病毒也在不斷的演變進化。2014年以Koler為首的家族勒索病毒在Android平臺大面積爆發(fā),勒索病毒實現(xiàn)從PC端到移動端的轉(zhuǎn)變。各類變種病毒在移動互聯(lián)網(wǎng)中肆意傳播,2016年至今,勒索病毒持續(xù)增長。據(jù)統(tǒng)計,5月份爆發(fā)的WannaCry“蠕蟲式”勒索病毒在席卷全球僅僅一天的時間就有242.3萬個IP地址遭受該病毒攻擊,近3.5萬個IP地址被該勒索軟件感染,其中我國境內(nèi)受影響IP約1.8萬個。高校、醫(yī)院、政府、企業(yè)等單位為主的網(wǎng)絡(luò)大范圍癱瘓。臺灣、北京、上海、江蘇、天津等地成為受災(zāi)重區(qū)。隨后,在移動端發(fā)現(xiàn)大量“WannaCry”勒索病毒變種。

2. 傳播形式

雖然在各類應(yīng)用程序中的表現(xiàn)形態(tài)不盡相同,但是其傳播形式卻大同小異,主要通過偽裝、誘騙的手段吸附在各類應(yīng)用程序中,具體表現(xiàn)為:

1)偽裝成游戲、社交軟件、時下流行軟件的插件等,當用戶運行時,終端界面就會被惡意程序自身的界面置頂,并無法進行操作;

2)勒索病毒子包隱藏在資源文件中,系統(tǒng)后臺自動安裝運行,并將子包復(fù)制到系統(tǒng)目錄下,偽裝成系統(tǒng)應(yīng)用。

3. 實現(xiàn)形式

勒索病毒表現(xiàn)出的流氓屬性十分強烈,根據(jù)其攻擊目的對被攻擊者的終端進行操作及系統(tǒng)的破壞,強制被攻擊者付費后被攻擊者終端才可以被解鎖,否則一般被攻擊者將無法對其終端進行繼續(xù)操作。

多數(shù)勒索病毒實現(xiàn)需要申請系統(tǒng)權(quán)限或者激活設(shè)備管理器權(quán)限,兩種主要實現(xiàn)方式如下:

1)控制手機懸浮窗屬性制作一種特殊的全屏懸浮窗并強制置頂;

2)通過直接激活設(shè)備管理器,設(shè)置系統(tǒng)解鎖密碼,被攻擊用戶因無法得知解鎖密碼而無法對手機進行操作。

4. 贖金形式

不同于PC端勒索病毒,移動端勒索病毒支付贖金的方式比較簡單、靈活,除了比特幣支付外,還可以進行微信支付、QQ支付、支付寶等直接轉(zhuǎn)賬支付形式。此類勒索單次支付金額較低,但存在重復(fù)勒索,關(guān)卡收費的情況。以QQ支付為例,被攻擊者在解鎖過程中需要繳納入群費、解鎖費甚至學徒費。

贖金繳納類型示意

勒索病毒威脅分析

我們對《網(wǎng)絡(luò)安全威脅信息共享通報》(以下簡稱《通報》)中勒索病毒作專項調(diào)查和分析,以《通報》中216個勒索病毒樣本為分析對象,基于通付盾全渠道應(yīng)用監(jiān)測平臺,實現(xiàn)對全網(wǎng)勒索病毒數(shù)據(jù)的挖掘與分析,共發(fā)現(xiàn)5萬余個含關(guān)聯(lián)惡意行為的惡意應(yīng)用。下面我們將從攻擊目標、傳播來源、威脅行為三個方面對勒索病毒進行威脅趨勢分析。

1. 偽裝類型分析

根據(jù)挖掘出的惡意樣本數(shù)據(jù)分析,我們發(fā)現(xiàn)惡意應(yīng)用主要偽裝成外掛、插件等。其中QQ搶紅包、刷鉆助手、王者榮耀輔助、黑客工具箱、神器等應(yīng)用名稱頻繁出現(xiàn)且占比較大。

全網(wǎng)勒索病毒分布圖譜

根據(jù)勒索病毒應(yīng)用名稱,主要可分為社交類、游戲類、免流插件類以及視頻四類。其中,社交類軟件已成為惡意攻擊的首選,全網(wǎng)勒索病毒中共發(fā)現(xiàn)28,143個社交類應(yīng)用,占總數(shù)的55%;其次是免流插件類軟件,共9,732個;游戲類軟件作為移動端熱門應(yīng)用,同樣也是勒索病毒攻擊的高發(fā)區(qū),全網(wǎng)共發(fā)現(xiàn)6,754個相關(guān)勒索病毒,排名第三。

2.傳播來源分析

a)地域分析

根據(jù)全網(wǎng)的勒索病毒數(shù)據(jù)分析結(jié)果來看,勒索病毒主要分布在互聯(lián)網(wǎng)發(fā)展較好地區(qū)或鄰近地區(qū)。就國內(nèi)而言,勒索病毒主要來源于監(jiān)管不嚴、審核機制不完善的小型應(yīng)用市場;從應(yīng)用市場地理分布來看,勒索病毒的攻擊區(qū)域主要集中在廣東、北京、湖北等互聯(lián)網(wǎng)行業(yè)發(fā)展較好、經(jīng)濟較發(fā)達的省市,其中,廣東省勒索軟件發(fā)生頻次最高,捕獲惡意勒索病毒樣本876個。其次是北京地區(qū),捕獲惡意勒索病毒樣本873個。

b)病毒開發(fā)者分析

我們對《通報》中的惡意樣本進行逆向分析,發(fā)現(xiàn)不同病毒樣本在代碼結(jié)構(gòu)上存在很多共性,且不同病毒開發(fā)者之間具有關(guān)聯(lián)性。我們對勒索病毒樣本中預(yù)留的QQ號以及開發(fā)者信息進行追蹤,共發(fā)現(xiàn)近百個具有代表性的QQ群組,數(shù)萬人受影響。該類QQ群在作為解鎖贖金收取渠道之外,群內(nèi)還通過百度云、貼吧等方式售賣鎖機源碼、教程、插件、教學視頻,傳播勒索病毒。受害者加入群之后,往往被誘惑成為黑產(chǎn)下線,利用群內(nèi)兜售的教程向他人發(fā)起二次攻擊,轉(zhuǎn)變?yōu)?ldquo;菜鳥黑客”,進一步擴大病毒的傳播范圍,影響惡劣。不同QQ群成員之間具有關(guān)聯(lián)性,且成員的個人信息一般設(shè)定為00后、90后學生。

攻擊者攻擊模式示意圖

我們對搶紅包和王者榮耀皮膚兩類勒索病毒中共同存在的鎖屏信息進行攻擊者溯源分析,追蹤到以推廣和售賣鎖機源碼、搶紅包、免流插件、秒贊工具等為主的“彼岸花技術(shù)”黑產(chǎn)團隊,該團隊以QQ群、網(wǎng)店的形式活躍,通過百度網(wǎng)盤傳播勒索病毒,人數(shù)總計數(shù)百人,相關(guān)聯(lián)群成員總數(shù)達千余人。除了進群時需要支付費用之外,群內(nèi)源碼、工具的獲取也需要另外付費。下圖展示“彼岸花技術(shù)”團伙的溯源過程,我們可以看出,大部分病毒開發(fā)者之間相互關(guān)聯(lián)。

“彼岸花”團隊溯源分析圖

c)威脅行為分析

我們對活躍度集中區(qū)的勒索病毒進行分析,根據(jù)鎖屏實現(xiàn)方式,大體將勒索病毒威脅行為分為兩大類:一類是通過修改設(shè)備的開機密碼來實現(xiàn),另一類是通過控制懸浮窗置頂屬性來實現(xiàn)。

這兩類鎖屏在實現(xiàn)流程上存在共性,首先,通過偽裝獲取設(shè)備的系統(tǒng)權(quán)限;然后,通過系統(tǒng)權(quán)限直接激活設(shè)備管理器,修改系統(tǒng)開機密碼,或控制手機懸浮窗強制置頂屬性,使用戶無法正常使用設(shè)備。同時,有些勒索病毒為防止被破解,設(shè)置可反復(fù)鎖屏機制,即用戶在破解第一層鎖屏之后會出現(xiàn)第二層鎖屏,反復(fù)循環(huán)。最后被攻擊者需要通過被鎖屏幕中預(yù)留的QQ碼、郵箱、手機號等信息聯(lián)系勒索者繳納贖金方可解鎖。下圖展示了勒索病毒實現(xiàn)的具體流程。

勒索病毒實現(xiàn)流程圖

威脅趨勢分析 1. 勒索病毒活躍度總體呈上升趨勢

本次報告中,我們采樣的數(shù)據(jù)為2016年9月到2017年9月全網(wǎng)范圍內(nèi)的惡意勒索病毒,從分析結(jié)果來看,勒索病毒活躍度總體呈上升趨勢,每月新增病毒數(shù)持續(xù)增加。其中,2017年4月份勒索病毒急劇增加,新增病毒總數(shù)達812個,比3月份增加了160.2%。國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心從4月份起發(fā)布一系列勒索病毒通報,相關(guān)單位和部門對勒索病毒采取了一定的防御措施。5月份之后,雖然勒索病毒總體仍然處于上升趨勢,但每月病毒新增速度有所放緩。9月份新增 219個勒索病毒,增長速度有所下降但仍然相當活躍。

2.勒索病毒仍將主要攻擊經(jīng)濟發(fā)達地區(qū)

從惡意樣本的地理分布圖中可以看出,勒索病毒主要活躍在廣東、北京等互聯(lián)網(wǎng)氛圍較好地區(qū)。2016年9月份到2017年1月份,勒索病毒集中活躍在北京、廣東、湖北經(jīng)濟發(fā)達地區(qū),2017年2月至5月份,勒索病毒活躍范圍在原來的基礎(chǔ)上向湖南、福建、安徽、四川、天津等鄰近省市擴散,直至9月份,北京、廣東仍然是勒索病毒攻擊的重災(zāi)區(qū),除此以外,在上海、浙江等經(jīng)濟發(fā)展較好的省市也發(fā)現(xiàn)了勒索病毒的蹤跡并且數(shù)量逐月增加,經(jīng)濟發(fā)達地區(qū)仍將是勒索病毒的主要攻擊目標。

3.勒索病毒查殺成本或?qū)⑻岣?/p>

為了逃避安全產(chǎn)品的查殺,病毒開發(fā)者開始利用各種手段,提高病毒免殺能力。我們在逆向分析病毒樣本時發(fā)現(xiàn),部分勒索病毒使用加密平臺進行加密保護,不僅難以破解,而且加密過后能夠躲過病毒防御類產(chǎn)品檢測查殺。某些加固產(chǎn)品無安全認證機制,免費為各類開發(fā)者包括病毒程序開發(fā)者提供加密服務(wù)。經(jīng)過此類加固平臺加固的病毒,惡意代碼被隱藏,查殺難度增大,提高了查殺成本。下圖為捕獲到的使用某加固平臺加固后的病毒樣本代碼示例。

使用加固平臺加密的病毒樣本截圖示意

總結(jié) 1. 不法收益誘惑下的網(wǎng)絡(luò)攻擊仍將持續(xù)

當移動端遭受惡意攻擊時,被攻擊者通常為非專業(yè)技術(shù)人員,比起報案或請求技術(shù)破解,絕大部分被攻擊者更愿意“主動”交費以解除威脅。而攻擊者的主要目的就是通過非法手段索取錢財,從這一角度來看,移動端具有“誘人”的黑色收益,且這種收益并不會隨著技術(shù)的創(chuàng)新或防御手段提升而減少,反而攻擊者利用用戶的依賴心理表現(xiàn)的更加肆無忌憚,移動端的勒索攻擊將持續(xù)發(fā)生。

2. 社會工程學成為主流攻擊手段

勒索攻擊在社會工程學中的主要表現(xiàn)為直接誘惑和利用好奇心理達到攻擊目的。直接誘惑中,攻擊者將惡意程序喬裝成與用戶利益直接相關(guān)或有利可圖的助手軟件,如在社交類軟件中,“紅包”幾乎是聊天必備,“搶紅包”作為一種新型慶祝和游戲方式十分受用戶歡迎。攻擊者利用紅包的誘惑偽裝成紅包助手類應(yīng)用誘導(dǎo)下載,如“秒搶紅包”、“紅包速搶”、“紅包外掛”等帶有直接誘惑性的詞語。另一種不同的心理攻擊方法則是利用人的好奇心理,通常惡意應(yīng)用的名稱帶有一定的“勸誡或阻撓”意義,如勒索軟件“不要點我”、“千萬別點開”等。當用戶“不聽勸誡”點開軟件圖標則面臨系統(tǒng)鎖住的危險。

3. 勒索攻擊低齡化、團體化

以00后、90后為主的互聯(lián)網(wǎng)技術(shù)愛好者、學習者在金錢的誘惑下或為滿足自身的欲望逐漸成為“新人”黑客,在網(wǎng)絡(luò)攻擊中占比較大。病毒開發(fā)者呈現(xiàn)低齡化趨勢。此類“菜鳥黑客”由于年齡小,缺乏健全的法制教育,自身抵制誘惑的能力較弱,在非法收益驅(qū)動下,對網(wǎng)絡(luò)攻擊的熱情相對較高。雖然“菜鳥黑客”散布的病毒目前沒有達到完全免殺,但技術(shù)能力仍然持續(xù)提升。“菜鳥黑客”攻擊范圍日益擴大,難清理、難監(jiān)管,逐漸成為網(wǎng)絡(luò)攻擊的主力軍,需要重點打擊。

4. 攻擊團伙較為集中,存在市場化攻擊服務(wù)

勒索病毒開發(fā)者之間相互關(guān)聯(lián),攻擊團伙相對固定。從捕獲到的病毒樣本分析來看,雖然威脅行為相同,但收款賬號信息卻不盡相同,我們認為同一勒索病毒程序在反復(fù)流轉(zhuǎn)過程中如鎖屏圖片、收款信息等部分信息可根據(jù)需求實現(xiàn)定制化,地下黑產(chǎn)行業(yè)已由原先的“個體戶”變成“服務(wù)商”。惡意程序、鎖機工具等開發(fā)者團隊或視頻教程、源碼售賣團隊擔當“源碼服務(wù)商”的角色向黑產(chǎn)下游團隊提供豐富的用戶數(shù)據(jù)資源以及攻擊技術(shù),并形成完整的攻擊方案,使得地下黑產(chǎn)行業(yè)運作流程市場化。此類服務(wù)的提供,縮短病毒開發(fā)的周期、降低成本,使得攻擊收益大幅提高。

移動互聯(lián)網(wǎng)的蓬勃發(fā)展,不僅滿足了公眾多樣化的需求,服務(wù)水平和質(zhì)量也大幅提升。與此同時,業(yè)務(wù)多樣性、 系統(tǒng)復(fù)雜性、技術(shù)綜合性等因素導(dǎo)致安全隱患相伴而生。通過對全網(wǎng)勒索病毒移動應(yīng)用的監(jiān)測分析,發(fā)現(xiàn)移動應(yīng)用安全問題對企業(yè)用戶和個人用戶的隱私、財產(chǎn)安全造成極大威脅。

(原標題:2017移動互聯(lián)網(wǎng)勒索病毒專項研究報告)

THEEND

本月熱門