《360安全:2018年勒索病毒疫情分析报告(32页).pdf》由会员分享,可在线阅读,更多相关《360安全:2018年勒索病毒疫情分析报告(32页).pdf(32页珍藏版)》请在三个皮匠报告上搜索。
1、 2018 年 勒索病毒疫情分析报告 2019 年 2 月 摘 要 全年受到攻击的计算机数量超过 430.0 万台(排除 WannaCry 及海外数据) 。2 月的攻击 量最低,11 月和 12 月则有较为明显的升高,总体上全年攻击量波动较为平稳。 2018 年全年,360 反勒索服务平台一共接收并处理了超过 2000 位遭受勒索病毒软件攻 击的受害者求助,同时,通过人工通道协助超过 200 名用户完成文件解密。 2018 年活跃的勒索病毒家族以 GandCrab、GlobeImposter、Crysis 为主。仅针对这三个 家族的反勒索申诉案例就占到了所有案例的 80.2%。 勒索病毒所攻击
2、的地区以信息产业发达和人口密集地区为主, 全年受到攻击最多的省份 前三为:广东、江苏、浙江。 被勒索病毒感染的系统中 Windows 7 系统占比最高,占到总量的 51.1%.而在个人系统 与服务器系统的对比中, 虽然个人系统被感染数量占绝对多数, 但服务器系统的感染量 也已到了不可忽视的地步。 据统计,在 2018 年中,受到勒索病毒攻击最大的行业前三分别为: 教育、餐饮&零售、 制造业,占比分别为 15.4%、14.4%、12.6% 根据反勒索服务的反馈数据统计, 受感染计算机的使用者多为 80 后和 90 后, 分别占到 总数的 51.0%和 32.5%。男性受害者占到了 93.1%,女
3、性受害者则仅为 6.9%。 2018 年,勒索病毒逐步放弃了对 C&C 服务器的使用。而根据入侵服务器的来源 IP 归 属地分析,来自美国的入侵最多,达到 22.5%。其后是俄罗斯,占到了 20.6%。 黑客入侵服务器的时段相对比较平均, 但23时至次日3时这一时间段略多于其他时段, 主要是由于该时段大多服务器处于无人值守状态,入侵成功率高。而全年中,5 月、6 月、9 月出现过三次入侵小高峰。 由于勒索病毒的主要目标转变为对服务器系统的攻击, 其传播方式也转变为以弱口令攻 击为主,此外还存在 U 盘蠕虫、软件供应链攻击、漏洞攻击等方式帮助勒索病毒进行 传播。 勒索病毒的技术在 2018 年有
4、了明显的变化和发展,其主要体现在更紧密的与漏洞利用 相结合、使用了更广泛的传播手段、出现了更多样的勒索形式。 预计在 2019 年,勒索病毒的攻击目标将进一步扩大化,各种版本的操作系统,服务和 应用都将成为勒索病毒攻击的目标。未来包括工控设备、各类嵌入式设备、IOT 设备在 内的各种智能设备面临勒索病毒攻击的风险也都将大大增加。 同时, 勒索病毒的攻击目 标也将更具多样化,针对特定个人、企业、行业的勒索病毒将更加广泛。 目 录 第一章 勒索病毒全年攻击形势 . 1 一、 勒索病毒总体攻击态势 . 1 二、 反勒索服务处理情况 . 2 三、 勒索病毒家族分布 . 3 四、 传播方式 . 4 第二
5、章 勒索病毒受害者分析 . 5 一、 受害者所在地域分布 . 5 二、 受攻击系统分布 . 6 三、 受害者所属行业分布 . 7 四、 受害者年龄层分布 . 8 五、 受害者性别分布 . 8 第三章 勒索病毒攻击者分析 . 10 一、 攻击者来源地域分布 . 10 (一) C&C 服务器分布 . 10 (二) 入侵 IP 分布 . 10 二、 黑客登录受害计算机时间分布 . 11 三、 攻击手段 . 12 (一) 弱口令攻击 . 12 (二) U 盘蠕虫 . 12 (三) 软件供应链攻击 . 13 (四) 系统/软件漏洞攻击 . 13 (五) “无文件”攻击 . 16 (六) RaaS . 1
6、6 第四章 未来趋势分析 . 17 一、 勒索病毒技术发展 . 17 (一) 紧跟漏洞发展趋势 . 17 (二) 更广泛的传播手段 . 17 (三) 更多样化的勒索形式 . 18 二、 攻击面、攻击目标与“黑灰色产业”发展 . 18 第五章 安全建议 . 20 一、 针对个人用户的安全建议 . 20 (一) 养成良好的安全习惯 . 20 (二) 减少危险的上网操作 . 20 (三) 采取及时的补救措施 . 20 二、 针对企业用户的安全建议 . 20 附录 1 2018 年勒索病毒大事件 . 22 一、 GANDCRAB被两度破解 . 22 二、 勒索病毒导致某省级儿童医院系统瘫痪 . 22
7、三、 国产 XIAOBA勒索病毒利用外挂传播 . 22 四、 勒索病毒 SATURN 首创传销式传播 . 22 五、 勒索病毒无差别攻击时代来临 . 22 六、 利用 WEBLOGIC漏洞的传播勒索病毒首次出现 . 23 七、 RAKHNI家族最新变种攻击 . 23 八、 SATAN勤奋更新不断破坏. 23 九、 UNNAMED1989 从微信支付到自投罗网 . 23 十、 冒牌 PETYA袭击半导体行业 . 24 附录 2 360 安全卫士反勒索防护能力 . 25 一、 服务器防护能力 . 25 二、 面向传播链的防护能力 . 26 三、 综合防护能力 . 26 附录 3 360 解密大师
8、. 28 1 第一章 勒索病毒全年攻击形势 2018 年以来, 360 互联网安全中心监控到大量针对普通网民和政企部门的勒索病毒攻击。 根据 360 互联网安全中心数据(包括 360 安全卫士和 360 杀毒的查杀数据) ,全年共监控到 受勒索病毒攻击的计算机 430 余万台,并处理反勒索申诉案件超过 2000 例。从攻击情况和 威胁程度上看, 勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。 本章主要针 对 2018 年全年,360 互联网安全中心检测到的勒索病毒相关数据进行分析。 一、 勒索病毒总体攻击态势 2018 年, 360 互联网安全中心共监测到受勒索病毒攻击的计算机 43
9、0.0 万台, 平均每天 有约 1.2 万台国内计算机遭受勒索病毒的攻击。该攻击量较 2017 年度有所减少,但总体态 势依然比较严峻。 下图给出了勒索病毒在 2018 年每月攻击的用户数情况。 从图中可见, 2 月攻击量最低, 仅 21.5 万台计算机遭到攻击,平均每天约 0.8 万台。而年末的 11 月和 12 月则出现了小幅 度的上涨, 攻击量分别达到了 45.0 万和 48.6 万, 平均每天分别有 1.5 和 1.6 万台计算机用 户受到勒索病毒攻击。注意,此部分攻击态势数据不包含 WannaCry 勒索病毒以及海外地区 的相关数据。 总体而言,2018 年勒索病毒的攻击态势相对比较
10、平稳。2 月的数据下降,主要是由于 2 月天数较少又加上春节期间计算机设备的活跃度明显下降, 所以数据层面看, 很自然的存在 下跌态势。 11月至12月出现的勒索病毒攻击量上涨, 主要是因为两个勒索病毒家族的更新。 其一, Satan 家族勒索病毒开始以每周一个新版本的速度频繁更新, 并进一步增加了对服务器的攻 击手段;其二,GandCrab 家族勒索病毒也在这个时期新增了蠕虫式的攻击手段。以上两个 家族的更新及传播动作, 导致了11月至12月两个月的攻击量与1月至10月的攻击量相比, 2 存在一个相对比较的上升。 二、 反勒索服务处理情况 2018 年全年,360 反勒索服务平台一共接收并处
11、理了 1745 位遭受勒索病毒软件攻击的 受害者求助,其中 1257 位经核实确认为遭到了勒索病毒的感染。结合 360 安全卫士论坛反 馈与其它反馈渠道,2018 年全年 360 反勒索服务累计服务用户超过 2100 人。并通过人工通 道帮助超过 200 名用户完成文件解密(不含 360 解密大师等解密工具数据) 。 下图给出了在 2018 年中,每月确认感染勒索病毒的有效申诉量情况。其峰值出现在 11 月,共计确认 277 位用户被确认感染勒索病毒,平均每天超过 9 位用户感染勒索病毒。而 12 月的感染量有所下降,但依旧出于高位,共 181 位用户被确认感染勒索病毒,平均每天 近 6 位用
12、户被感染。 2018 年 11 月至 12 月期间,勒索病毒感染量大幅度上升,主要是受到 GandCrab 和 UNNAMED1989(网称“微信支付勒索病毒” )两个勒索病毒家族的影响。由于感染了这两个勒 索病毒家族而申请反勒索服务的用户数在总反馈量中占据了非常大的比例。 3 三、 勒索病毒家族分布 下图给出的,是根据 360 反勒索服务数据所计算出的 2018 年勒索病毒家族流行度占比 分布图,PC 端 Windows 系统下 GandCrab、GlobeImposter、Crysis 这三大勒索病毒家族的 受害者占比最多, 合计占到了 80.2%。 而在 2018 年流行度前十的勒索病毒
13、中, 除 UNNAMED1989 勒索病毒外, 其余九个家族的勒索病毒都有涉及到针对企业用户的攻击, 企业用户是本年度 勒索病毒最为热衷的攻击对象。 而基于反馈者的实际感染时间,发现 GandCrab 勒索病毒家族在 11 月至 12 月的感染量 远超 GlobeImposter 和 Crysis 两个家族,其原因前文已经提到是由于该家族勒索病毒新增 了蠕虫式攻击手段。 此外,BTCWare 勒索病毒家族的活跃度主要集中在 2018 年上半年,在下半年所有确认 感染勒索病毒的反馈中,BTCWare 仅在 8 月份出现过 1 例,之后就再未出现过。 4 四、 传播方式 下图给出了攻击者向受感染计
14、算机传播勒索病毒的各种方式占比情况。通过统计相关 数据发现, 通过远程桌面弱口令攻击方式传播的勒索病毒在所有已知的感染方式中依然占比 最高, 并且是绝对主力的传播方式。 其次则是由于共享文件夹权限设置问题导致文件被加密。 而 2018 年首次出现的利用 U 盘蠕虫进播勒索病毒的案例,其占则达到了 10.4%,排在第三 位。 5 第二章 勒索病毒受害者分析 基于反勒索服务数据中,申诉用户所提供的信息。我们对 2018 年遭受勒索病毒攻击的 受害人群做了分析。 在地域分布方面并没有显著变化, 依旧以信息产业发达和人口密集地区 为主。而受感染的操作系统、所属行业则受今年流行的勒索病毒家族影响,与以往
15、有较为明 显的变化。受害者年龄层分布则集中在 80 后和 90 后,而性别依旧以男性为主。 一、 受害者所在地域分布 360 互联网安全中心监测显示,2018 年排名前十的地区中广东地区占比高达 18.5%。其 次是江苏占比 8.1%,浙江 7.2%。前三地区均属于东南沿海一带地区。下图给出了被感染勒 索病毒最多的前十个地区的占比情况。 6 2018 年受害者地区占比分布图如下。其中信息产业发达地区和人口密集地区是被攻击 的主要对象。 二、 受攻击系统分布 基于反勒索服务收到的反馈数据进行统计, 被勒索病毒感染的系统中 Windows 7 系统占 比最高,占到总量的 51.1%。其主要原因使用
16、该系统的用户基数较大。而根据对系统类型进 行统计发现, 虽然个人用户的占比依然是绝对多数, 但服务器系统的占比也足以说明近年来 勒索病毒攻击目标向服务器转移的现状。 下图分别给出了被勒索病毒感染的各版本系统占比 以及个人系统和服务器系统的占比对比。 7 三、 受害者所属行业分布 下图给出了受勒索病毒感染的受害者所属行业分布情况。 根据对受害者反馈数据的统计, 显示 2018 年度最易受到勒索病毒感染的行业前十分别为:教育、餐饮&零售、制造业、互联 网、服务业、金融&经贸、政府、媒体、医疗、设计。 8 四、 受害者年龄层分布 下图给出了 360 反勒索服务的申诉者年龄层分布情况。其中 80 后站
17、比高达 51%,超过 一半的申诉者来自 80 后, 其次是 90 后。 这主要是由于这两个年龄层用户是目前办公室白领 和系统运维人员的主要群体, 其接触计算机的时间明显高于其他年龄层的用户, 导致其受到 勒索病毒攻击的概率也远高于其他年龄层用户。 五、 受害者性别分布 下图展示的是 360 反勒索服务的申诉者的性别分布情况。 9 造成申诉者男女占比悬殊的原因主要有二点:其一、与计算机接触最为频繁的 IT 行业 或 IT 运维类岗位的男性员工占比明显多于女性。其二、很多女性用户遇到病毒问题,往往 会优先选择寻求身边男性朋友的帮助。 10 第三章 勒索病毒攻击者分析 2018 年,勒索病毒整体上已
18、经基本抛弃了 C&C 服务器的使用,仅上半年有少量新增 C&C 服务器域名。取而代之的,是黑客将传播的主要手段转变为了对服务器的直接入侵, 这其中远程桌面弱口令攻击是绝对的主力入侵方案。 一、 攻击者来源地域分布 (一)C&C 服务器分布 由于勒索病毒在与安全软件的对抗中不断提升自身的隐蔽性,并尽可能的减少代码行 为特征和溯源线索。勒索病毒使用到的 C&C 服务器也在不断减少,我们对不多的 C2 域名 进行了统计,其中最多的依然是.com通用域名。此外,还存在部分通过 PunyCode 进行编码 的泰语域名。 据统计, 2018年所出现的C&C服务器中, 有很大一部分是被黑产攻击并拿下的 “肉
19、鸡” , 推测应该是为了尽可能的避免被警方或安全厂商溯源。此外,本次所统计到的 C&C 域名大 多数出现在 2018 年上半年。也就是说,总体趋势来看,今后勒索病毒所使用的 C&C 域名 数量会进一步减少,甚至完全抛弃 C&C 服务器的使用。 (二)入侵 IP 分布 下图给出了登录过被攻陷机器的可疑 IP 归属地分布情况。 根据对这些数据的汇总发现, 来自美国地区的 IP 占比最高,达到 22.5%;其次是来自俄罗斯的 IP,为 20.6%;来自德国 的 IP 则占到了 7.4%,位居第三。 攻击来源 IP 归属地占比最高为美国,主要是因为美国的互联网服务业务高度发达,导 致来自世界各地的黑客
20、都常会租用或入侵位于美国的服务器作为跳板, 再对外发起各种网络 攻击。 11 二、 黑客登录受害计算机时间分布 下图给出了黑客成功攻陷计算机后的首次登录时间分布情况。针对被黑客攻击计算机 (多为服务器系统) 的相关数据进行分析, 发现攻陷计算机后的首次成功登录时间分布比较 平均,但 23 点到次日凌晨 3 点这个时间段内的登录占比稍高。主要原因是这个时间段内, 服务器多处于无人值守的状态,黑客的攻击可能受到的干扰最小。 下图则是对被攻陷机器的受攻击日期进行统计,发现在年初和年末被登录次数都是较 低,而在 5 月、6 月、9 月分别出现三次登录高峰。 12 三、 攻击手段 (一) 弱口令攻击 计
21、算机中涉及到弱口令攻击的主要包括远程桌面弱口令、数据库管理系统弱口令(例如 MySQL、SQL Server、Oracle 等)、Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。 统计分析发现, 本年度因系统遭遇弱口令攻击而导致数据被加密的情况占所有攻 击手段中的首位。 弱口令攻击成为黑客主要的攻击手段的主要原因有二: 其一、 各种弱口令攻击工具比较 完善,被公布在外的利用工具众多;其二、虽然不断有系统因弱口令原因导致系统被攻击、 数据被加密的事件出现,但目前依然存在大量系统,使用过于简单的口令。 通过对数据进行统计分析发现,远程桌面弱口令攻击已成为传播勒
22、索病毒的主要方式。 根据 360 互联网安全中心对远程桌面弱口令爆破的监控,本年度对此类攻击单日拦截超过 600 万次。 通过我们日常处理勒索病毒攻击事件的总结, 黑客常用的攻手法一般是: 首先攻击某个 网络段的公网机器,在获得一台机器的登录口令后,会利用这台机器做跳板,继续寻找内网 内其他易受攻击的机器,在内网中进一步扩散。在掌握一定数量的设备之后,就会向这些设 备植入挖矿木马和勒索病毒。 有时, 黑客还会利用这些被感染机器对其他公网机器发起攻击。 下图就给展示了这种攻击的一般流程。 (二) U 盘蠕虫 U 盘蠕虫是 U 盘中流行的一类病毒程序, 能不断复制自身到不同电脑磁盘或移动设备(U
23、盘、移动硬盘等)中。通过创建伪装成文档、文件夹等的病毒程序等欺骗用户打开,进而继 续传播平,部分 U 盘蠕虫也利用系统漏洞传播。本年度比较流行的 GandCrab 勒索病毒,就 使用了 U 盘蠕虫的方式做为它的一个传播渠道。 2018 年 11 月,国内首次出现利用 U 盘蠕虫传播勒索病毒的案例。蠕虫的引导部分就是 一个伪装成盘符的快捷方式, 再由这个快捷方式指向蠕虫病毒。 当蠕虫被激活后就会感染当 前宿主机, 并继续感染后续接入这台机器的其它移动硬盘和网络磁盘, 并在宿主机中安营扎 寨。11 月份开始这些安插下来的蠕虫开始下载 GandCrab 勒索病毒,所以很多用户是在“无 感知”情况下中
24、了勒索病毒。下图给出了这款勒索病毒的传播流程: 13 (三) 软件供应链攻击 软件供应链攻击, 是指利用提供软件的供应商与使用该软件用户之间的联系, 通过攻击 软件供应商,继而达到攻击软件使用者的目的。此类攻击手法在 2017 年 6 月就曾被 Petya 勒索病毒家族用来传播勒索病毒,并在俄罗斯和乌克兰造成较大影响。 2018 年 11 月底,国内也出现了利用此类方法传播的勒索病毒疫情。此次爆发的勒索病 毒被命名为 UNNAMED1989 勒索病毒(即网称的“微信支付勒索病毒” ) ,该勒索病毒主要是因 为开发者下载了带有恶意代码的易语言第三方模块, 导致调用该模块所开发出来的软件也均 被感
25、染了恶意代码。根据统计,在此次事件中被感染的软件超过 50 余种。 下图展示了软件供应链攻击的一般攻击流程。 (四) 系统/软件漏洞攻击 目前, 黑客用来传播勒索病毒的系统漏洞、 软件漏洞大部分都已被公开且厂商已经对相 关软件进行了安全升级或提供了补丁, 但并非所有用户都会及时打补丁或者升级软件, 所以 被公开的漏洞(Nday 漏洞)仍深受黑客们的青睐。一旦有利用价值高的漏洞出现,都会很 快被黑客加入到自己的攻击包中。 “永恒之蓝”工具所使用的就是一系列利用价值非常高的 漏洞,多个勒索病毒的后续传播中都用到过该系列漏洞。 14 由于大部分服务器会向局域网或互联网开放服务, 这意味着一旦系统漏洞
26、、 第三方应用 漏洞没有及时修补,勒索病毒就能乘虚而入。2018 年,多个勒索软件家族通过 Windows 系 统漏洞或 Web 应用漏洞入侵 Windows 服务器。 其中最具代表性的当属 Satan 勒索病毒, Satan 勒索病毒最早于 2018 年 3 月在国内传播,其利用多个 Web 应用漏洞入侵服务器。表 1 列出 来 Satan 勒索病毒所使用的漏洞简述及对应的漏洞编号。 JBoss 反序列化漏洞 CVE-2017-12149 JBoss 默认配置漏洞 CVE-2010-0738 JBoss 默认配置漏洞 CVE-2015-7501 WebLogic 反序列化漏洞 CVE-201
27、7-10271 Put 任意上传文件漏洞 “永恒之蓝”相关漏洞 CVE-2017-0146 Struts 远程代码执行漏洞 S2-052(仅扫描)CVE-2017-9805 WebLogic 任意文件上传漏洞 CVE-2018-2894 Spring Data Commons 远程代码执行漏洞 CVE-2018-1273 表表 1 1 SatanSatan 勒索病毒所利用的漏洞简述及编号勒索病毒所利用的漏洞简述及编号 15 下图展示了 Satan 勒索病毒的一般攻击流程。通过 360 互联网安全中心的研究人员研究 分析发现,Satan 勒索病毒作者在利用漏洞获取到服务器权限后,会在受害者服务器
28、上下发 传播模块、勒索病毒及挖矿木马,在利用“永恒之蓝”相关漏洞攻击武器攻击局域网中的其 他机器的同时, 继续利用上述表格中的多种漏洞对其他机器进行攻击, 达到扩散式传播的目 的。 16 (五) “无文件”攻击 “无文件攻击” 技术指的是攻击者在不释放文件到本地磁盘的情况下实施攻击。 这类攻 击技术能够有效躲避杀毒软件的静态特征查杀, 并且有利于恶意攻击载荷的持续驻留。 攻击 者一般通过在内存中加载恶意代码实现“无文件攻击” 。 GandCrab 勒索病毒是“无文件攻击”技术的狂热支持者。该勒索病毒允许传播者在成 功入侵到服务器当中后,利用系统自带的 PowerShell 程序直接加载并运行远
29、程恶意代码, 完成后续的加密工作。 由于没有在受害用户机器的硬盘中释放任何文件到磁盘中, 这一技术 使其能够躲避安全软件的传统静态特征扫描。 下图展示了传播者利用这一技术时所使用的命 令行代码。 (六) RaaS RaaS 是 Ransomware-as-a-Service 的缩写,即“勒索病毒即服务” ,其借鉴了 SaaS (Software-as-a-Service,软件即服务)模型。利用该模型,勒索病毒制作者为网络犯罪 组织开发勒索病毒, 而网络犯罪组织则负责传播勒索病毒, 双方根据合作协议瓜分赎金。 RaaS 模式在勒索病毒界已存在多年,其中以 GandCrab 和 Satan 最具代
30、表性。其中 Satan 勒索病 毒制作者已不再提供该服务,而 GandCrab 目前仍然以 RaaS 模式运作。 与 GandCrab 制作者合作的网络犯罪组织大多收入不菲: 下图是 GandCrab 的制作者自己 公布 2018 年 12 月第二周的收入情况, 仅仅在这一周的时间内, 与其合作的网络犯罪组织就 收入了近 10 万美元。 17 第四章 未来趋势分析 2018 年是勒索病毒继 2017 年之后又一个火爆之年,各种变种了攻击事情层出不穷,依 然是企业和个人年度最严重安全风险之一。 勒索病毒以其方便可靠, 而又行之有效的变现手 段受到各类黑客攻击团伙的青睐。以目前勒索病毒的发展趋势分
31、析,2019 年勒索病毒威胁 仍将继续领跑本年度安全话题, 成为企业和个人最严重的安全风险之一。 我们将选取攻击的 方式、对象、技术手段等几个方面进行分析。 一、 勒索病毒技术发展 (一) 紧跟漏洞发展趋势 2018 年勒索病毒在传播技术手段上可谓紧跟行业发展,多个新公开的漏洞马上被攻击 者用来传播勒索病毒。 比如GandCrab在2018年9月份的更新中, 就加入了对CVE-2018-0896 (Windows 10 提权漏洞) 的使用。 Satan在 V4.2 版的更新中加入了 CVE-2018-2894 (WebLogic 任意文件上传漏洞)的利用。使用 Nday 漏洞为勒索病毒攻击和传
32、播提供帮助已经成为勒索 病毒传播的一个重要手段。 预计在 2019 年勒索病毒将与漏洞传播有更紧密的结合,甚至有可能再次发生像 2017 年 WannaCry “想哭”勒索病毒那样的全球性爆发事件。针对重要目标,也可能会发生使用 0day 攻击的勒索病毒。这也提醒广大用户,做好计算机漏洞防护的重要性。 (二)更广泛的传播手段 2018 年,得益于勒索病毒的代理分成模式的兴起,勒索病毒的传播渠道也大为扩展。 以往由固定团伙制作传播的勒索病毒,开始更多的发展下线。如 GandCrab 勒索病毒就在全 球范围内招募传播者。传播手段也已经不再局限于漏洞攻击、远程爆破攻击等,常规的恶意 软件、木马病毒传播渠道中也均出现了勒索病毒的身影,如挂马、蠕虫