中國(guó)福建網(wǎng)

通付盾首發(fā)2017移動(dòng)互聯(lián)網(wǎng)勒索病毒專(zhuān)項(xiàng)研究報(bào)告

作者: 編輯 來(lái)源:互聯(lián)網(wǎng) 發(fā)布時(shí)間:2018-05-25

┊文章閱讀:

  原標(biāo)題:通付盾移動(dòng)安全實(shí)驗(yàn)室全國(guó)首發(fā)2017移動(dòng)互聯(lián)網(wǎng)勒索病毒專(zhuān)項(xiàng)研究報(bào)告

  2017年5月,一種名為WannaCry的勒索病毒肆虐席卷全球,不法分子利用NSA泄露的危險(xiǎn)漏洞“EternalBlue”(永恒之藍(lán))傳播。在這場(chǎng)全球性互聯(lián)網(wǎng)災(zāi)難,據(jù)不完全統(tǒng)計(jì)數(shù)據(jù)顯示,100多個(gè)國(guó)家和地區(qū)超過(guò)10萬(wàn)臺(tái)電腦遭到了勒索病毒攻擊、感染。6月出現(xiàn)一種“Petya”變體勒索軟件,相繼歐洲多國(guó)遭遇勒索病毒襲擊,政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場(chǎng)都不同程度地受到影響。

  國(guó)內(nèi)移動(dòng)互聯(lián)網(wǎng)已經(jīng)成為新的主體,為了預(yù)防移動(dòng)互聯(lián)網(wǎng)勒索病毒大規(guī)模爆發(fā),避免企業(yè)、個(gè)人遭受損失,同時(shí)也為行業(yè)監(jiān)管機(jī)構(gòu)提供政策制定提供移動(dòng)互聯(lián)網(wǎng)勒索病毒依據(jù),通付盾移動(dòng)安全實(shí)驗(yàn)室依托多年專(zhuān)業(yè)的移動(dòng)安全的服務(wù)能力和技術(shù)積累發(fā)布《移動(dòng)互聯(lián)網(wǎng)勒索病毒研究報(bào)告》,對(duì)勒索病毒形式、產(chǎn)業(yè)鏈等進(jìn)行了系統(tǒng)的專(zhuān)業(yè)分析,希望引起大家對(duì)移動(dòng)互聯(lián)網(wǎng)安全重視,保障中國(guó)移動(dòng)互聯(lián)網(wǎng)安全。

image.png

  查看完整報(bào)告,請(qǐng)?jiān)凇?通付盾移動(dòng)安全實(shí)驗(yàn)室”公眾號(hào)回復(fù)關(guān)鍵詞“勒索病毒”。

  一、 移動(dòng)勒索病毒綜述

  2017年5月份,WannaCry“蠕蟲(chóng)”式勒索病毒全面入侵,對(duì)PC端造成了嚴(yán)重危害。隨后,其變種病毒逐漸向移動(dòng)平臺(tái)蔓延,嚴(yán)重威脅了移動(dòng)平臺(tái)的安全。作為移動(dòng)互聯(lián)網(wǎng)的重要載體,智能手機(jī)、平板、可穿戴設(shè)備等移動(dòng)終端設(shè)備都有可能成為勒索病毒的攻擊目標(biāo)。移動(dòng)終端中保存著大量的個(gè)人數(shù)據(jù),一旦遭受攻擊,很可能造成隱私泄露、財(cái)產(chǎn)損失等危害。

  1.歷史追溯

  勒索病毒最早可追溯到1989年,隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,勒索病毒也在不斷的演變進(jìn)化。2014年以Koler為首的家族勒索病毒在Android平臺(tái)大面積爆發(fā),勒索病毒實(shí)現(xiàn)從PC端到移動(dòng)端的轉(zhuǎn)變。各類(lèi)變種病毒在移動(dòng)互聯(lián)網(wǎng)中肆意傳播,2016年至今,勒索病毒持續(xù)增長(zhǎng)。據(jù)統(tǒng)計(jì),5月份爆發(fā)的WannaCry“蠕蟲(chóng)式”勒索病毒在席卷全球僅僅一天的時(shí)間就有242.3萬(wàn)個(gè)IP地址遭受該病毒攻擊,近3.5萬(wàn)個(gè)IP地址被該勒索軟件感染,其中我國(guó)境內(nèi)受影響IP約1.8萬(wàn)個(gè)。高校、醫(yī)院、政府、企業(yè)等單位為主的網(wǎng)絡(luò)大范圍癱瘓。臺(tái)灣、北京、上海、江蘇、天津等地成為受災(zāi)重區(qū)。隨后,在移動(dòng)端發(fā)現(xiàn)大量“WannaCry”勒索病毒變種。

image.png

  2.傳播形式

  雖然在各類(lèi)應(yīng)用程序中的表現(xiàn)形態(tài)不盡相同,但是其傳播形式卻大同小異,主要通過(guò)偽裝、誘騙的手段吸附在各類(lèi)應(yīng)用程序中,具體表現(xiàn)為:

  1. 偽裝成游戲、社交軟件、時(shí)下流行軟件的插件等,當(dāng)用戶(hù)運(yùn)行時(shí),終端界面就會(huì)被惡意程序自身的界面置頂,并無(wú)法進(jìn)行操作;

  2. 勒索病毒子包隱藏在資源文件中,系統(tǒng)后臺(tái)自動(dòng)安裝運(yùn)行,并將子包復(fù)制到系統(tǒng)目錄下,偽裝成系統(tǒng)應(yīng)用。

  3.實(shí)現(xiàn)形式

  勒索病毒表現(xiàn)出的流氓屬性十分強(qiáng)烈,根據(jù)其攻擊目的對(duì)被攻擊者的終端進(jìn)行操作及系統(tǒng)的破壞,強(qiáng)制被攻擊者付費(fèi)后被攻擊者終端才可以被解鎖,否則一般被攻擊者將無(wú)法對(duì)其終端進(jìn)行繼續(xù)操作。

  多數(shù)勒索病毒實(shí)現(xiàn)需要申請(qǐng)系統(tǒng)權(quán)限或者激活設(shè)備管理器權(quán)限,兩種主要實(shí)現(xiàn)方式如下:

  1. 控制手機(jī)懸浮窗屬性制作一種特殊的全屏懸浮窗并強(qiáng)制置頂;

  2. 通過(guò)直接激活設(shè)備管理器,設(shè)置系統(tǒng)解鎖密碼,被攻擊用戶(hù)因無(wú)法得知解鎖密碼而無(wú)法對(duì)手機(jī)進(jìn)行操作。

  4.贖金形式

  不同于PC端勒索病毒,移動(dòng)端勒索病毒支付贖金的方式比較簡(jiǎn)單、靈活,除了比特幣支付外,還可以進(jìn)行微信支付、QQ支付、支付寶等直接轉(zhuǎn)賬支付形式。此類(lèi)勒索單次支付金額較低,但存在重復(fù)勒索,關(guān)卡收費(fèi)的情況。以QQ支付為例,被攻擊者在解鎖過(guò)程中需要繳納入群費(fèi)、解鎖費(fèi)甚至學(xué)徒費(fèi)。

  贖金繳納類(lèi)型示意

image.png

  二、勒索病毒威脅分析

  我們對(duì)《網(wǎng)絡(luò)安全威脅信息共享通報(bào)》(以下簡(jiǎn)稱(chēng)《通報(bào)》)中勒索病毒作專(zhuān)項(xiàng)調(diào)查和分析,以《通報(bào)》中216個(gè)勒索病毒樣本為分析對(duì)象,基于通付盾全渠道應(yīng)用監(jiān)測(cè)平臺(tái),實(shí)現(xiàn)對(duì)全網(wǎng)勒索病毒數(shù)據(jù)的挖掘與分析,共發(fā)現(xiàn)5萬(wàn)余個(gè)含關(guān)聯(lián)惡意行為的惡意應(yīng)用。下面我們將從攻擊目標(biāo)、傳播來(lái)源、威脅行為三個(gè)方面對(duì)勒索病毒進(jìn)行威脅趨勢(shì)分析。

  1.偽裝類(lèi)型分析

  根據(jù)挖掘出的惡意樣本數(shù)據(jù)分析,我們發(fā)現(xiàn)惡意應(yīng)用主要偽裝成外掛、插件等。其中QQ搶紅包、刷鉆助手、王者榮耀輔助、黑客工具箱、神器等應(yīng)用名稱(chēng)頻繁出現(xiàn)且占比較大。

  全網(wǎng)勒索病毒分布圖譜

image.png

  根據(jù)勒索病毒應(yīng)用名稱(chēng),主要可分為社交類(lèi)、游戲類(lèi)、免流插件類(lèi)以及視頻四類(lèi)。其中,社交類(lèi)軟件已成為惡意攻擊的首選,全網(wǎng)勒索病毒中共發(fā)現(xiàn)28143個(gè)社交類(lèi)應(yīng)用,占總數(shù)的55%;其次是免流插件類(lèi)軟件,共9732個(gè);游戲類(lèi)軟件作為移動(dòng)端熱門(mén)應(yīng)用,同樣也是勒索病毒攻擊的高發(fā)區(qū),全網(wǎng)共發(fā)現(xiàn)6754個(gè)相關(guān)勒索病毒,排名第三。

  2.傳播來(lái)源分析

  a. 地域分析

  根據(jù)全網(wǎng)的勒索病毒數(shù)據(jù)分析結(jié)果來(lái)看,勒索病毒主要分布在互聯(lián)網(wǎng)發(fā)展較好地區(qū)或鄰近地區(qū)。就國(guó)內(nèi)而言,勒索病毒主要來(lái)源于監(jiān)管不嚴(yán)的、審核機(jī)制不完善的小型應(yīng)用市場(chǎng),從應(yīng)用市場(chǎng)地理分布來(lái)看,勒索病毒的攻擊區(qū)域主要集中活躍在廣東、北京、湖北等互聯(lián)網(wǎng)行業(yè)發(fā)展較好、經(jīng)濟(jì)較發(fā)達(dá)的省市,其中,廣東省勒索軟件發(fā)生頻次最高,捕獲惡意勒索病毒樣本876個(gè)。其次是北京地區(qū),捕獲惡意勒索病毒樣本873個(gè)。

image.png

  b.病毒開(kāi)發(fā)者分析

  我們對(duì)《通報(bào)》中的惡意樣本進(jìn)行逆向分析,發(fā)現(xiàn)不同病毒樣本在代碼結(jié)構(gòu)上存在很多共性,且不同病毒開(kāi)發(fā)者之間具有關(guān)聯(lián)性。我們對(duì)勒索病毒樣本中預(yù)留的QQ號(hào)以及開(kāi)發(fā)者信息進(jìn)行追蹤,共發(fā)現(xiàn)近百個(gè)個(gè)具有代表性的QQ群組,數(shù)萬(wàn)人受影響。該類(lèi)QQ群在作為解鎖贖金收取渠道之外,群內(nèi)還通過(guò)百度云、貼吧等方式售賣(mài)鎖機(jī)源碼、教程、插件、教學(xué)視頻,傳播勒索病毒。受害者加入群之后,解鎖后往往被誘惑成為黑產(chǎn)下線,利用群內(nèi)兜售的教程向他人發(fā)起二次攻擊,轉(zhuǎn)變?yōu)椤安锁B(niǎo)黑客”,進(jìn)一步擴(kuò)大病毒的傳播范圍,影響惡劣。不同QQ群成員之間具有關(guān)聯(lián)性,且成員的個(gè)人信息一般設(shè)定為00后、90后學(xué)生。

  攻擊者攻擊模式示意圖

image.png

  我們對(duì)搶紅包和王者榮耀皮膚兩類(lèi)勒索病毒中共同發(fā)現(xiàn)的鎖屏信息進(jìn)行攻擊者溯源分析,追蹤到以推廣和售賣(mài)鎖機(jī)源碼、搶紅包、免流插件、秒贊工具等為主的“彼岸花技術(shù)”黑產(chǎn)團(tuán)隊(duì),該團(tuán)隊(duì)以QQ群、網(wǎng)店的形式活躍,通過(guò)百度網(wǎng)盤(pán)傳播勒索病毒,人數(shù)總計(jì)數(shù)百人,相關(guān)聯(lián)群成員總數(shù)達(dá)千余人。除了進(jìn)群時(shí)需要支付費(fèi)用之外,群內(nèi)源碼、工具的獲取也需要另外付費(fèi)。下圖展示“彼岸花技術(shù)”團(tuán)伙的溯源過(guò)程,我們可以看出,大部分病毒開(kāi)發(fā)者之間相互關(guān)聯(lián)。

  “彼岸花”團(tuán)隊(duì)溯源分析圖

image.png

  威脅行為分析

  我們對(duì)活躍度集中區(qū)的勒索病毒進(jìn)行分析,根據(jù)鎖屏實(shí)現(xiàn)方式,大體將勒索病毒威脅行為分為兩大類(lèi):一類(lèi)是通過(guò)修改設(shè)備的開(kāi)機(jī)密碼來(lái)實(shí)現(xiàn),另一類(lèi)是通過(guò)控制懸浮窗置頂屬性來(lái)實(shí)現(xiàn)。

  這兩類(lèi)鎖屏在實(shí)現(xiàn)流程上存在共性,首先,通過(guò)偽裝獲取設(shè)備的系統(tǒng)權(quán)限;然后,通過(guò)系統(tǒng)權(quán)限直接激活設(shè)備管理器,修改系統(tǒng)開(kāi)機(jī)密碼,或控制手機(jī)懸浮窗強(qiáng)制置頂屬性,使用戶(hù)無(wú)法正常使用設(shè)備。同時(shí),有些勒索病毒為防止被破解,設(shè)置可反復(fù)鎖屏機(jī)制,即用戶(hù)在破解第一層鎖屏之后會(huì)出現(xiàn)第二層鎖屏,反復(fù)循環(huán)。最后被攻擊者需要通過(guò)被鎖屏幕中預(yù)留的QQ碼、郵箱、手機(jī)號(hào)等信息聯(lián)系勒索者繳納贖金方可解鎖。下圖展示了勒索病毒實(shí)現(xiàn)的具體流程。

  勒索病毒實(shí)現(xiàn)流程圖

image.png

  三、 威脅趨勢(shì)分析

  1.勒索病毒活躍度總體呈上升趨勢(shì)

  本次報(bào)告中,我們采樣的數(shù)據(jù)為2016年9月到2017年9月全網(wǎng)范圍內(nèi)的惡意勒索病毒,從分析結(jié)果來(lái)看,勒索病毒活躍度總體呈上升趨勢(shì),每月新增病毒數(shù)持續(xù)增加。其中,2017年4月份勒索病毒急劇增加,新增病毒總數(shù)達(dá)812個(gè),比3月份增加了160.2%。國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心從4月份起發(fā)布一系列勒索病毒通報(bào),相關(guān)單位和部門(mén)對(duì)勒索病毒采取了一定的防御措施。5月份之后,雖然勒索病毒總體仍然處于上升趨勢(shì),但每月病毒新增速度有所放緩。9月份新增219個(gè)勒索病毒,增長(zhǎng)速度有所下降但仍然相當(dāng)活躍。

image.png

  2. 勒索病毒仍將主要攻擊經(jīng)濟(jì)發(fā)達(dá)地區(qū)

  從惡意樣本的地理分布圖中可以看出,勒索病毒主要活躍在廣東、北京等互聯(lián)網(wǎng)氛圍較好地區(qū)。2016年9月份到2017年1月份,勒索病毒集中活躍在北京、廣東、湖北經(jīng)濟(jì)發(fā)達(dá)地區(qū),2017年2月至5月份,勒索病毒活躍范圍在原來(lái)的基礎(chǔ)上向湖南、福建、安徽、四川、天津等鄰近省市擴(kuò)散,直至9月份,北京、廣東仍然是勒索病毒攻擊的重災(zāi)區(qū),除此以外,在上海、浙江等經(jīng)濟(jì)發(fā)展較好的省市也發(fā)現(xiàn)了勒索病毒的蹤跡并且數(shù)量逐月增加,經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍將是勒索病毒的主要攻擊目標(biāo)。

image.png
image.png
image.png

  勒索病毒查殺成本或?qū)⑻岣?/p>

  為了逃避安全產(chǎn)品的查殺,病毒開(kāi)發(fā)者開(kāi)始利用各種手段,提高病毒免殺能力。我們?cè)谀嫦蚍治霾《緲颖緯r(shí)發(fā)現(xiàn),部分勒索病毒使用加密平臺(tái)進(jìn)行加密保護(hù),不僅難以破解,而且加密過(guò)后能夠躲過(guò)病毒防御類(lèi)產(chǎn)品檢測(cè)查殺。某些加固產(chǎn)品無(wú)安全認(rèn)證機(jī)制,免費(fèi)為各類(lèi)開(kāi)發(fā)者包括病毒程序開(kāi)發(fā)者提供加密服務(wù)。經(jīng)過(guò)此類(lèi)加固平臺(tái)加固的病毒,惡意代碼被隱藏,查殺難度增大,提高了查殺成本。下圖為捕獲到的使用某加固平臺(tái)加固后的病毒樣本代碼示例。

  使用加固平臺(tái)加密的病毒樣本截圖示意

image.png

  四、總結(jié)與展望

  1. 不法收益誘惑下的網(wǎng)絡(luò)攻擊仍將持續(xù)

  當(dāng)移動(dòng)端遭受惡意攻擊時(shí),被攻擊者通常為非專(zhuān)業(yè)技術(shù)人員,比起報(bào)案或請(qǐng)求技術(shù)破解,絕大部分被攻擊者更愿意“主動(dòng)”交費(fèi)以解除威脅。而攻擊者的主要目的就是通過(guò)非法手段索取錢(qián)財(cái),從這一角度來(lái)看,移動(dòng)端具有“誘人”的黑色收益,且這種收益并不會(huì)隨著技術(shù)的創(chuàng)新或防御手段提升而減少,反而攻擊者利用用戶(hù)的依賴(lài)心理表現(xiàn)的更加肆無(wú)忌憚,移動(dòng)端的勒索攻擊將持續(xù)發(fā)生。

  2. 社會(huì)工程學(xué)成為主流攻擊手段

  勒索攻擊在社會(huì)工程學(xué)中的主要表現(xiàn)為直接誘惑和利用好奇心理達(dá)到攻擊目的。直接誘惑中,攻擊者將惡意程序喬裝成與用戶(hù)利益直接相關(guān)或有利可圖的助手軟件,如在社交類(lèi)軟件中,“紅包”幾乎是聊天必備,“搶紅包”作為一種新型慶祝和游戲方式十分受用戶(hù)歡迎。攻擊者利用紅包的誘惑偽裝成紅包助手類(lèi)應(yīng)用誘導(dǎo)下載,如“秒搶紅包”、“紅包速搶”、“紅包外掛”等帶有直接誘惑性的詞語(yǔ)。另一種不同的心理攻擊方法則是利用人的好奇心理,通常惡意應(yīng)用的名稱(chēng)帶有一定的“勸誡或阻撓”意義,如勒索軟件“不要點(diǎn)我”、“千萬(wàn)別點(diǎn)開(kāi)”等。當(dāng)用戶(hù)“不聽(tīng)勸誡”點(diǎn)開(kāi)軟件圖標(biāo)則面臨系統(tǒng)鎖住的危險(xiǎn)。

  3. 勒索攻擊低齡化、團(tuán)體化

  以00后、90后為主的互聯(lián)網(wǎng)技術(shù)愛(ài)好者、學(xué)習(xí)者在金錢(qián)的誘惑下或?yàn)闈M(mǎn)足自身的欲望逐漸成為“新人”黑客,在網(wǎng)絡(luò)攻擊中占比較大。病毒開(kāi)發(fā)者呈現(xiàn)低齡化趨勢(shì)。此類(lèi)“菜鳥(niǎo)黑客”由于年齡小,缺乏健全的法制教育,自身抵制誘惑的能力較弱,在非法收益驅(qū)動(dòng)下,對(duì)網(wǎng)絡(luò)攻擊的熱情相對(duì)較高。雖然“菜鳥(niǎo)黑客”散布的病毒目前沒(méi)有達(dá)到完全免殺,但技術(shù)能力仍然持續(xù)提升。“菜鳥(niǎo)黑客”攻擊范圍日益擴(kuò)大,難清理、難監(jiān)管,逐漸成為網(wǎng)絡(luò)攻擊的主力軍,需要重點(diǎn)打擊。

  4. 攻擊團(tuán)伙較為集中,存在市場(chǎng)化攻擊服務(wù)

  勒索病毒開(kāi)發(fā)者之間相互關(guān)聯(lián),攻擊團(tuán)伙相對(duì)固定。從捕獲到的病毒樣本分析來(lái)看,雖然威脅行為相同,但收款賬號(hào)信息卻不盡相同,我們認(rèn)為同一勒索病毒程序在反復(fù)流轉(zhuǎn)過(guò)程中如鎖屏圖片、收款信息等部分信息可根據(jù)需求實(shí)現(xiàn)定制化,地下黑產(chǎn)行業(yè)已由原先的“個(gè)體戶(hù)”變成“服務(wù)商”。惡意程序、鎖機(jī)工具等開(kāi)發(fā)者團(tuán)隊(duì)或視頻教程、源碼售賣(mài)團(tuán)隊(duì)擔(dān)當(dāng)“源碼服務(wù)商”的角色向黑產(chǎn)下游團(tuán)隊(duì)提供豐富的用戶(hù)數(shù)據(jù)資源以及攻擊技術(shù),并形成完整的攻擊方案,使得地下黑產(chǎn)行業(yè)運(yùn)作流程市場(chǎng)化。此類(lèi)服務(wù)的提供,縮短病毒開(kāi)發(fā)的周期、降低成本,使得攻擊收益大幅提高。


  • 新浪新聞
  • 百度搜索
  • 搜狗搜索
  • 京東商城
  • 企業(yè)慧聰
  • 新浪科技
  • 科技訊
  • 鵪鶉蛋價(jià)格
  • 唯美圖片