本文来自微信公众号“中国信息安全”,【作者】 韩志辉,国家计算机网络应急技术处理协调中心。
当前,在政府和企业大力推动数字化快速增长的背景下,对IT和运营系统的依赖日益增加。与此同时,网络犯罪的收益不断上涨,攻击者不断采取先进的网络犯罪技术与策略。其中,勒索软件已经成为全球组织面临的主要网络威胁,攻击者的数量不断增加,勒索手段也愈发多样化和复杂化。
一、勒索软件的定义与分类
勒索软件通过加密用户数据或锁定用户设备的方式,迫使受害者支付赎金以恢复访问权限,这种犯罪行为不仅给个人用户带来损失,也让企业面临巨大的运营和财务风险。为了更有效地防范和应对勒索软件攻击,我们有必要理解其定义及多样化的分类。
(一)勒索软件的定义
勒索软件(Ransomware),也被称为勒索病毒,是指以加密数据、锁定设备、损坏文件为主要攻击方式,使计算机无法正常使用或者数据无法正常访问,并以此向受害者勒索钱财的恶意软件,也被归类为“阻断访问式攻击”(denial-of-accessattack)。
勒索软件的攻击手段多种多样。它会遍历本地磁盘文件,加密除系统文件外的各种重要格式文件,例如数据库文件、Office文档、图片和源代码,并在加密后留下勒索提示信息。攻击者通常会先窃取内网中重要数据,攻陷一台机器后作为跳板尝试攻击内网的其他机器,以加密更多设备并勒索更高赎金。为防止受害者通过备份数据恢复,勒索软件还会删除备份数据。
(二)勒索软件的分类
根据勒索软件对受害用户的系统和重要数据的处置方法,勒索软件可分为“系统锁定类”“数据破坏类”“文件加密类”和“数据窃取类”四个大类。
一是系统锁定类。通过修改磁盘MBR、VBR、分区表、原始数据等方式实现对整个磁盘的加密操作,阻止用户访问整个磁盘;或者加密UEFI或设置锁屏程序,使计算机基本功能无法进行,导致用户无法正常使用计算机。
二是数据破坏类。该类型勒索软件不是加密文件,而是用随机字符覆写文件,永久性地破坏用户数据,但在破坏数据之后仍会索要赎金。
三是文件加密类。文件加密类勒索软件是最早出现,也是最为典型的一类勒索病毒。此类勒索软件通过特定的加密算法(如AES、RSA、DES和RC4等)对设备中存储的文件进行加密处理,导致用户无法正常打开和编辑文件,并以此要挟索要赎金。大多数勒索软件在未得到对应密钥的解密工具时暂时无法解密,而部分则因算法逻辑错误导致文件可以解密。
四是数据窃取类。数据窃取类勒索软件是2020年以后出现的一类新型勒索软件。此类勒索软件在发动勒索攻击前,会在受害系统内驻留一段时间,在此期间窃取数据文件。在窃取工作完成后,它会发动勒索攻击,加密系统中的文件,并通知受害者文件被窃取,如不按期支付勒索赎金,则会公开窃取到的数据文件,给予受害者压力,从而迫使受害者尽早支付赎金。该类型的勒索软件强调的是获取受害者的数据,并以泄露这些数据为要挟,迫使受害者交付赎金。
勒索攻击类型的网络犯罪将会影响企业和组织的正常运营。自2020年以来,越来越多的勒索团伙使用双重勒索策略攻击目标企业,即加密文件并窃取公司数据。这种以泄露数据为主要威胁的策略对大型企业非常有效,文件被加密,企业可以通过重建系统恢复,但如果被窃数据泄露,将面临法律风险,并可能需要为违规泄密支付高额的罚金,从而引发一系列连锁反应,对公司的声誉造成重大打击。
二、勒索软件发展演进
勒索软件最早出现于1989年,由哈佛大学毕业的Joseph Popp创建了“AIDS”勒索软件,当时2万张感染了“AIDS”病毒的软盘被分发给国际卫生组织国际艾滋病大会的与会者,导致大量文件被加密。勒索软件要求用户向“PC Cyborg Corporation”支付189美元以便获得修复工具。这是历史上第一个勒索软件,采取了对称加密方式进行加密,尽管解密工具很快就被发布,但该恶意代码开启了勒索软件攻击的时代。国内首个勒索软件Redplus出现在2006年,通过隐藏用户的文档、数据库、压缩包等文件,形成用户文档丢失的假象,向用户敲诈70元至200元不等的赎金,后来攻击者被公安机关查获。
由于勒索软件犯罪经济获利高,随着网络犯罪的发展,以及加密算法、匿名支持服务和加密货币等技术的兴起,勒索软件的开发技术日趋成熟,勒索软件快速进化蔓延,勒索手段与策略不断增加。
(一)加密算法的进步
2006年,首款利用非对称加密(RSA)算法加密的勒索软件Archiveus Trojan发布,它会对系统中“我的文档”目录中所有内容进行加密,并要求用户从特定网站购买商品以获取密码解密文件。自此之后,大量勒索软件开始采用非对称加密算法进行文件加密。对于使用RSA算法加密的勒索软件来说,一旦文件被加密,在目前计算机算力有限的情况下,基本无法暴力破解密钥和数据,勒索的成功率大大提高。
(二)匿名支付服务的兴起
2011年,主流匿名支付服务开始兴起。随着加密货币的诞生,其去中心化、匿名和隐私等特性深得黑客的青睐,大量黑客开始采用加密货币进行勒索交易。从2011年开始,勒索软件的发展进入增长期,使用加密货币进行交易的勒索软件开始疯狂增长。
(三)勒索软件即服务(RaaS)的广泛利用
近年来,勒索软件即服务(RaaS)模式(如图1所示)的兴起,使得勒索攻击变得更加普遍和高效。2015年,第一款RaaS工具包/勒索软件Tox出现,虽然其很快遭到了封禁,但随后RaaS的模式如雨后春笋般涌现。RaaS模式为缺乏高级技术能力的攻击者提供了便利,攻击者可以通过订阅服务的方式,使用专业团队开发的攻击工具来执行攻击,大大降低了网络犯罪的技术门槛。
RaaS模式的运作机制使勒索软件攻击事件大量增加。它不仅为攻击者提供了一种快速获得非法收益的途径,而且通过分工合作,使攻击行为更加专业化和隐蔽化。在这种模式下,攻击者专注于制定攻击策略和进行勒索谈判,而技术提供者则负责开发和维护勒索软件。
攻击装备的开发人员负责编写勒索软件、窃取信息和其他恶意程序。RaaS的运营人员将这些攻击工具进行整合,并在赋予品牌属性后进行市场推广,他们通过特定的交互平台招募附属成员,并达成分成协议。一旦协议达成,附属成员便可以使用这些攻击工具进行勒索攻击,利用多种手段侵入受害者的网络环境,实施窃取信息和勒索等恶意行为。
当受害者与攻击者通过特定渠道进行谈判并同意支付赎金后,受害者将赎金支付到指定的加密货币钱包地址。RaaS运营人员会从收到的赎金中抽取一定比例作为分成,剩余的部分则作为附属成员的非法收入。这一趋势使得黑产人员获取勒索软件的渠道更为简单,大大降低了勒索软件攻击的门槛,同时黑产人员利用已有的僵尸网络等途径广泛散播勒索软件,也极大增强了勒索软件的传播范围。
图1 勒索软件即服务模式示意图
(四)广撒网向定向攻击的转变
近年来,随着高级持续性威胁(APT)攻击的愈演愈烈,勒索软件也在不断调整攻击策略,开始瞄准高价值目标进行勒索活动,从而更高效地获取经济收益。例如,2021年5月,DarkSide勒索团伙针对美国大型燃油运输管道运营商科洛尼尔管道运输公司实施的定向攻击,成功勒索到440万美元赎金,并一度造成美国东部燃油短缺,引起了全球的震动和广泛关注。不仅是DarkSide勒索团伙,从近年的勒索攻击事件来看,勒索团伙的攻击形式已经从过去蠕虫式传播和广撒网式的攻击逐渐转向定向化、高效化的攻击发展,黑客们偏向于利用渗透攻击的手段进入重要部门的内部网络植入勒索软件。这种以勒索目标价值为导向的高度定向攻击已经和APT攻击无异,APT的攻击手段皆有可能被勒索软件攻击者使用。
(五)双重勒索和多重勒索
勒索软件的攻击方式从单一的加密文件和锁定设备,发展到了更为复杂的多重勒索模式。比较常见的模式为“双重勒索”和“三重勒索”。双重勒索的策略是在加密受害者数据库之前提取敏感商业数据,然后威胁要公布这些私人数据,以加大压力。而三重勒索则是在此基础上增加了对组织和客户或供应商的攻击目标,威胁要暴露从受害组织收集的数据。这种模式使得组织更难拒绝支付赎金的要求,因为拒绝支付可能导致数据被公开,而支付赎金也可能无法确保数据安全。
根据Venafi的调查,83%成功的勒索软件攻击具有双重或三重勒索特征,而且即使受害者支付了赎金,数据泄露的风险仍然存在。
(六)重要基础设施成为勒索软件攻击重点目标
在经济利益的驱动下,勒索软件不断调整攻击策略,开始瞄准高价值目标进行勒索活动。制造业、餐饮、零售、教育、金融贸易、医疗、互联网、政府、能源、建筑和服务业成为勒索攻击最多的行业。这些行业大部分属于关键信息基础设施行业,关系到社会经济稳定运行和国计民生。这些行业的企业或部门通常拥有大量敏感数据,对服务器的稳定运行要求极高。勒索软件选择这些企业作为目标,一旦成功,便能获得更大的利益,迫使受害者进行谈判。根据《2023勒索软件趋势分析报告》显示,2023年遭受勒索软件攻击的行业仍然主要集中在制造业、互联网和医疗卫生行业。
三、勒索软件主要攻击手法与攻击流程
勒索软件的攻击手法多变,攻击流程也相当复杂,通常经过精心设计,以确保攻击者能够最大化地控制受害者的资源。了解勒索软件的攻击手法和典型攻击流程对于构建有效的防御措施至关重要。本节将深入剖析勒索软件的攻击策略,揭示其攻击流程的各个阶段。
(一)主要攻击手法
勒索软件入侵途径多样化,可经由弱口令、钓鱼邮件、软件或系统漏洞、僵尸网络、供应链、网页挂马、移动介质等方式进入到受害者的信息系统中。
1.弱口令攻击
口令爆破攻击,是黑客投放勒索软件的常见手段。用户使用过于简单的口令、已经泄露的口令或一些内置的固定口令是造成设备被攻陷的最常见原因。主要包括远程桌面弱口令、SSH弱口令、SMB弱口令、RPC远程过程调用、数据库管理系统弱口令(例如MySQL、SQL Server、Oracle等)、Tomcat弱口令、phpMyAdmin弱口令、VNC弱口令、FTP弱口令等。根据《2023年勒索软件流行态势报告》显示,2023年,弱口令依然是排在第一位的入侵方式,远程桌面弱口令和数据库弱口令等入侵方式占比超过60%。
2.钓鱼邮件
恶意代码伪装在邮件附件中,格式多为Word文档、Excel表格和JavaScript脚本文件等,利用时事热点或与受害者相关话题的内容诱使受害者打开附件(恶意宏文档、恶意软件)。例如,近几年就出现使用新型冠状病毒感染(COVID-19)相关内容作为钓鱼诱饵的攻击,使用的主题有“疫苗、口罩供应不足”“健康调查报告”和“冠状病毒最新信息”等。
3.利用系统与软件漏洞攻击
利用各类漏洞组合和通过黑色产业链中的Exploit Kit漏洞套件来传播勒索软件。黑客用来传播勒索软件的系统漏洞、软件漏洞,大部分都是已被公开且厂商已经修补了的安全问题,但并非所有用户都会及时安装补丁或者升级软件,所以即使是被修复的漏洞(Nday漏洞)仍深受黑客们的青睐。根据《2023年勒索软件流行态势报告》显示,2023年,漏洞利用是排名第二的入侵方式,占比接近25%。其中,主要是针对Web服务器的漏洞攻击,例如TellYouThePass家族,多次针对OA、财务类Web系统发动攻击,单次攻击的规模从数千台到上万台不等。对外提供服务的各类应用系统,是防范勒索攻击的重中之重。
4.网站挂马
挂马网站常见的攻击方式,包括通过攻击正常站点、插入恶意代码实施挂马,也有攻击者搭建恶意站点诱骗用户访问的情况。攻击者常常使用恶意广告链接传播勒索软件,向网页代理投放广告,从中附有跳转,从而避开广告系统的安全机制。
5.僵尸网络
网络犯罪分子通常会寻求感染和控制成千上万,甚至数百万台计算机,使自己成为一个大型“僵尸网络”(或者说机器人网络)的主人。在某些情况下,网络犯罪分子将僵尸网络的访问权限以出租或直接出售的形式卖给其他犯罪分子。垃圾邮件发送者可能租用或购买一个僵尸网络,以发起大规模的垃圾邮件活动。从2019年起,僵尸网络开始作为勒索软件的一个分发渠道,向特定的僵尸网络受害者节点下发勒索软件。利用已被僵尸网络控制的系统主机进行传播,因而传播范围广、效率高。
6.软件供应链攻击
软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品的检查达到非法目。供应链攻击一般通过产品软件官网或软件包存储库进行传播,攻击者会瞄准某些软件或者服务商的官网服务器,入侵后篡改产品源代码,将经过恶意修改的软件分发给用户。
7.移动介质
许多内网隔离环境是通过搭载移动介质的恶意软件感染的,这些移动介质包括U盘和移动硬盘等。
(二)典型攻击流程
近年来,勒索软件攻击普遍采用双重勒索,不仅加密受害者的数据,还威胁如果不支付赎金,就会公开敏感数据。这种攻击方式增加了受害者的损失,因为即使支付了赎金,他们的数据仍有可能被公开。
双重勒索攻击(如图2所示)通常包括两个核心行为:数据窃取和数据加密。攻击者通过一系列精心策划的手段,对目标系统进行渗透,例如利用钓鱼邮件、远程桌面协议(RDP)暴力破解,或通过社交工程手段建立初始访问。一旦获得访问权限,攻击者会进一步进行内网渗透,扩大攻击范围。攻击者会利用系统漏洞和其他黑客技术进行横向移动,以在内部网络环境中部署窃取和加密数据的恶意载荷。
完成数据窃取和加密后,攻击者会通过发送勒索信件和赎金邮件的方式,向受害者索要赎金。攻击者威胁受害者,如果不支付赎金,不仅加密的文件无法恢复,而且窃取的数据可能会被公开曝光或出售给第三方,从而给受害者带来进一步的损失和声誉风险。这种双重勒索策略不仅对受害者的财务状况构成威胁,同时也对数据隐私和企业声誉造成严重影响。
图2 双重勒索攻击示意图
四、结语
当前,勒索软件攻击形势严峻,其攻击手段日益复杂,不仅针对个人用户,更频繁地瞄准企业与关键信息基础设施,造成数据丢失、业务中断和巨额经济损失。攻击者利用社会工程学技巧和漏洞利用,快速传播勒索软件,其加密技术使得数据恢复变得异常困难。因此,增强网络安全意识,加强防御措施,建立应急响应机制,对于保护个人和组织免受勒索软件侵害至关重要。
(本文刊登于《中国信息安全》杂志2024年第8期)