勒索软件的前世今生
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英 国以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁 定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、 银行、电力系统、通讯系统、企业以及机场都不同程度的受到了 影响,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行 (Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯 石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、 零售企业和政府系统都遭到了攻击。
蠕虫型勒索软件的感染方式
不幸勒索软件中招怎么办?
1 支付赎金解密 2 不支付
2.1 资料没什么用 2.2 资料有备份 2.3 有解密工具
http://www.businessinsider.com/fbi-recommends-paying-ransom-for-infected-computer2015-10
AAPAPPPPP AAPAPPPPP OOSOSS
指定OS及应用
• 漏洞利用检测
• 进程创建终止、 进程注入
• 服务/驱动 • 注册表访问、改
写 • 文件访问、改写、
下载 • 程序端口监听 • 内存属性改变 • 网络访问行为
• 包括进程和模 块加载、文件 和网络访问等
• 客户更有效的 进行事件响应
脆弱性/威胁 识别
利用路径评估
一般性评估活动:
业务流分析 数据流分析
控制流分析 失效和后果分析
脆弱点分析 威胁树模式分析
利用场景分析 影响分析
风险评价和建 议
评估活动关注点:
设计和实现的合 理性、正确性
实现控制的有效 性
可能导致失效的 原因
失效的影响
脆弱点和威胁
Part 03
蠕虫型勒索软件 WannaCry分析
WannaCry加密后留下的勒索信息
WannaCry影响范围
来源:http://www.malwaretech.com/
WannaCry感染方式
• 微软MS17-010 漏洞 • 2017年3月份更新漏洞 • 2017年4月份出现利用代码 • 美国NSA方程式攻击永恒之蓝 • 感染150多个国家 • 第一例以蠕虫型勒索
④ 威胁情报push
① 威胁进入
Internet
⑥ 安全事件上报 ② 威胁查询
③ 已知威胁,阻断!
NIPS
⑤ C&C服务器回连阻断
TAC
③ 未知恶意文件深度分析
⑧ 恶意软件清除服务
TAC检测案例
TAC检测”WannaCry”蠕虫型勒索
业务流程梳理
业务安全评估评估一般流程:
业务调研
正确性评估
有效性评估
勒索软件防护实践: 安全意识、备份、防护
2013—至今
2013至今,我们所知道的由 “CryptoLocker”这样的勒索软件变 体所引发的“加密勒索软件” (crypto-ransomware)成为了现实。 这种变体不仅会对受害者文件进行加 密,如果受害者拒绝支付赎金时还会 删除文件。想要拿回文件,受害者必 须以“比特币”的形式支付不同数额 的赎金,以换取解密密钥。
行为和演变趋势
勒索软件的感染方式
鱼叉邮件
下载站点
http://download1.site.com http://download2.site.com
………
http://downloadn.site.com
僵尸网络CnC
Internet
蠕虫型勒索软件的感染方式
• 微软MS17-010 漏洞 • 2017年3月份漏洞披露 • 2017年4月份出现利用代码 • 美国NSA方程式攻击永恒之蓝 • 感染150多个国家 • 第一例以蠕虫型勒索
Petya病毒老样本
• 2016年4月,敲诈勒索类木马Petya被安全厂商曝光,被称作是 第一个将敲诈和修改MBR合二为一的恶意木马。木马Petya的主 要特点是会先修改系统MBR引导扇区,强制重启后执行MBR引 导扇区中的恶意代码,加密受害者硬盘数据后显示敲诈信息,并 通过Tor匿名网络索取比特币。
• 基于代码在执行环境的行为实时分析,不依赖攻击特征,有效检测0day漏洞及未知恶意软件;
• 基于应用软件真实的代码执行,检测精准;
TAC勒索软件行为分析和家族判断
勒索软件家族
• 勒索软件的执行过程,TAC沙箱进行记录和分析; • 行为模式匹配,判断是哪一类勒索软件的变种;
邮件通道检测和隔离勒索软件
Part 02
勒索软件Locky分析
Locky勒索软件分析
绿盟Blog:http://blog.nsfocus.net/locky-virus-analysis-protection-measures/
Locky的下载器
恶意URL
http://connect.businesshelpaz.com/dana/home.php http://connect.businesshelpaz.com/dana/home.ph p http://wrkstn09.satbootcampaz.com/dana/home.p hp
勒索软件发展趋势-多个漏洞利用
漏洞利用
勒索软件利用漏洞侵害主机 出现新漏洞利用,勒索软件也
会更新自己的武器库 有些勒索软件达到10多个漏洞
利用
Ransomware Families and the Number of Vulnerabilities They Exploit from Garter research
2007—2012
2012年,勒索软件开始从俄罗斯蔓延 到其他欧洲国家。这是因为“假冒病 毒”(FAKEAV)被打击取缔所造成的, 为此,犯罪分子不得不采取其他策略 来威胁恐吓受害者从中牟利。当时最 流行的方式是,冒充Reveton执法人员 威胁受害者称其存在网络犯罪行为, 进而进行勒索。勒索软件运营商还会 尝试使用不同的支付方式,包括 Ukash、paysafecard和MoneyPak等, 以避免被追踪到。
勒索软件发展趋势-越来越多
数据来源:Symantec Internet Security Threat Report 2016 Q1
移动端勒索软件
2016年,勒索软件的数量和被感染的 数量都在快速增长
伪装成系统清理工具
勒索软件发展趋势-扩散
操作系统扩散
大数据/云计算/物联网扩散
Hadoop勒索软件:http://toutiao.secjia.com/hadoop-cluster-under-ransomware-attack
WannaCry感染方式
• Office文档,Word,Excel,PowerPoint • PDF文档,文本类型,Flash • 音频、视频类文档 • 图片类文档 • 压缩类文档,备份类文档 • 证书类 • 3D建模 • 数据库类文件 • 程序文件
Part 4
勒索软件趋势
Petya分析
Petya病毒爆发
• Petya与其他流行的勒索软件的不同点在于,Petya不是逐个加密 文件,而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系 统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序, 还创建了一个32个扇区长的小内核。
Petya病毒新样本
• 病毒样本类型为DLL,执行后导出函数。 当这个函数被调用时,首先尝试提升当前 进程的权限并设置标记,查找是否有指定 的安全软件,后面会根据是否存在指定的 安全软件跳过相应的流程。绕过安全软件 的行为监控。
Internet
SEG
TAC
1
垃圾邮件和病毒 邮件被处理
高级威胁通过沙 2 箱引擎分析处理
邮件安全网关 第一层过滤
第二层过滤,针对未知勒索 邮件。TAC工作原理于邮件 网关类似,邮件代理模式
Mail Server 过滤后的邮件最终
3 投递到邮件服务器
网络层面检测和阻断勒索软件
NTI
管理平台
⑦ 可视化呈现BSA
Petya病毒传播途径
• 根据乌克兰CERT官方消息,邮件附件被认为该次病毒攻击的传播源头,邮箱附 件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯 源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中,并没有 完整重现整个攻击过程。
Part 5
勒索软件趋势
天下无”贼”
https://www.nomoreransom.org/
不再交赎金
勒索软件已成公害,欧洲刑警组 织于2016年8月份发布“不再交 赎金”计划,向勒索软件宣战。 这个项目由荷兰皇家警察,卡巴 斯基,迈克菲等成立,后续多个 安全公司参与。项目发布了门户 网站,提供了多个勒索软件的解 密工具,并持续更新。
勒索软件的前世今生
01 勒索软件安全挑战
02 Locky分析
目
03 蠕虫型勒索WannaCry分析
录
04 蠕虫型勒索Petya分析
05 勒索软件趋势
06 勒索软件防护实践
Part 01
勒索软件安全挑战
一大波勒索软件来袭
开放互联Internet, 勒索软件来侵害。 图片文档全加密, 要想恢复拿钱来。
勒索软件的历史
2005—2006
勒索软件首次出现于俄罗斯。其手段 是将受害计算机的特定文件压缩并用 密码保护起来,再将其中一个文件作 为勒索信,要求受害者支付300美元的 赎金才能换回自己文件。在威胁的早 期阶段,.DOC, .XLS, .JPG, .ZIP, .PDF 以及其他常用文件形式经常成为勒索 软件的目标。后来,又出现了能够感 染手机甚至计算机主引导记录(MBR) 的变体,阻止系统加载运行。
威胁分析系统TAC介绍
虚拟执行引擎 静态分析引擎 病毒特征引擎 信誉引擎
安全信誉
NTI 绿盟全球威胁情报中心
TAC
未知威胁分析本地信誉
IP信誉
Web 信誉
文件信誉
Email 信誉
IPS
NF
SEG
金山V8
RSVS
TAC动态沙箱引擎
流量重组 文件还原
虚拟执行环境
指令级 实时分析
详尽的 告警信息
Web Mail FTP、SMB
对业务造成的影 响
基础安全自查-流程
资产梳理
漏洞扫描
配置核查
安全加固 复查
安全域边界梳 理
渗透测试及代码 审计(互联网网 站及移动应用)
安全保障应急演练
业 务 测 试
DDOS攻击 安全演练
网页篡改事件 安全演练
DNS劫持事件 安全演练
恶意代码事件 安全演练
链路、数据中心切换 安全演练
供电切换 安全演练
勒索软件进入渠道
勒索软件 as a Service
勒索软件与APT异同
比较ቤተ መጻሕፍቲ ባይዱ
相似点
内容
攻击手法类似 攻击过程类似
不同点
最终目的 暴露方式 僵尸网络
勒索软件
钓鱼邮件
下载器 最新的漏洞利用
勒索比特币 直接暴露 单点勒索
APT
鱼叉攻击 水坑攻击 下载器 最新漏洞利用 0Day漏洞
信息窃取
隐藏
有CnC网络
勒索软件发展趋势-隐藏在程序安装包内
https://blogs.technet.microsoft.com/mmpc/2017/03/15/ransomware-operators-are-hiding-malware-deeper-in-installer-packages/
勒索软件与CVE漏洞
Part 06
勒索软件防护实践
勒索软件防护实践
安全意识培训
备份、备份、备份
安全技术保护
1. 点击之前需要思考
1. 重要事情说三遍 2. 有效备份,3-2-1原则 3. 备份/ 恢复演习
1. 网络,邮件,终端 2. 更新补丁,弥补漏洞 3. 防病毒引擎应对已知 4. 沙箱防未知勒索软件
勒索软件防护实践-补丁
• 接下来修改磁盘的MBR,并将生成的Key, IV,比特币支付地址以及用户序列号写入 磁盘的固定扇区。然后创建计划任务于1 小时后重启。遍历局域网可以连通的ip列 表,用于后续的局域网攻击。释放并执行 抓取密码的进程,释放psexec进程用于后 续执行远程命令。对系统的网络资源列表 进行过滤,筛选本地保存的凭据,使用保 存的凭据连接,成功后执行远程命令,进 行局域网感染。
蠕虫型勒索软件的感染方式
不幸勒索软件中招怎么办?
1 支付赎金解密 2 不支付
2.1 资料没什么用 2.2 资料有备份 2.3 有解密工具
http://www.businessinsider.com/fbi-recommends-paying-ransom-for-infected-computer2015-10
AAPAPPPPP AAPAPPPPP OOSOSS
指定OS及应用
• 漏洞利用检测
• 进程创建终止、 进程注入
• 服务/驱动 • 注册表访问、改
写 • 文件访问、改写、
下载 • 程序端口监听 • 内存属性改变 • 网络访问行为
• 包括进程和模 块加载、文件 和网络访问等
• 客户更有效的 进行事件响应
脆弱性/威胁 识别
利用路径评估
一般性评估活动:
业务流分析 数据流分析
控制流分析 失效和后果分析
脆弱点分析 威胁树模式分析
利用场景分析 影响分析
风险评价和建 议
评估活动关注点:
设计和实现的合 理性、正确性
实现控制的有效 性
可能导致失效的 原因
失效的影响
脆弱点和威胁
Part 03
蠕虫型勒索软件 WannaCry分析
WannaCry加密后留下的勒索信息
WannaCry影响范围
来源:http://www.malwaretech.com/
WannaCry感染方式
• 微软MS17-010 漏洞 • 2017年3月份更新漏洞 • 2017年4月份出现利用代码 • 美国NSA方程式攻击永恒之蓝 • 感染150多个国家 • 第一例以蠕虫型勒索
④ 威胁情报push
① 威胁进入
Internet
⑥ 安全事件上报 ② 威胁查询
③ 已知威胁,阻断!
NIPS
⑤ C&C服务器回连阻断
TAC
③ 未知恶意文件深度分析
⑧ 恶意软件清除服务
TAC检测案例
TAC检测”WannaCry”蠕虫型勒索
业务流程梳理
业务安全评估评估一般流程:
业务调研
正确性评估
有效性评估
勒索软件防护实践: 安全意识、备份、防护
2013—至今
2013至今,我们所知道的由 “CryptoLocker”这样的勒索软件变 体所引发的“加密勒索软件” (crypto-ransomware)成为了现实。 这种变体不仅会对受害者文件进行加 密,如果受害者拒绝支付赎金时还会 删除文件。想要拿回文件,受害者必 须以“比特币”的形式支付不同数额 的赎金,以换取解密密钥。
行为和演变趋势
勒索软件的感染方式
鱼叉邮件
下载站点
http://download1.site.com http://download2.site.com
………
http://downloadn.site.com
僵尸网络CnC
Internet
蠕虫型勒索软件的感染方式
• 微软MS17-010 漏洞 • 2017年3月份漏洞披露 • 2017年4月份出现利用代码 • 美国NSA方程式攻击永恒之蓝 • 感染150多个国家 • 第一例以蠕虫型勒索
Petya病毒老样本
• 2016年4月,敲诈勒索类木马Petya被安全厂商曝光,被称作是 第一个将敲诈和修改MBR合二为一的恶意木马。木马Petya的主 要特点是会先修改系统MBR引导扇区,强制重启后执行MBR引 导扇区中的恶意代码,加密受害者硬盘数据后显示敲诈信息,并 通过Tor匿名网络索取比特币。
• 基于代码在执行环境的行为实时分析,不依赖攻击特征,有效检测0day漏洞及未知恶意软件;
• 基于应用软件真实的代码执行,检测精准;
TAC勒索软件行为分析和家族判断
勒索软件家族
• 勒索软件的执行过程,TAC沙箱进行记录和分析; • 行为模式匹配,判断是哪一类勒索软件的变种;
邮件通道检测和隔离勒索软件
Part 02
勒索软件Locky分析
Locky勒索软件分析
绿盟Blog:http://blog.nsfocus.net/locky-virus-analysis-protection-measures/
Locky的下载器
恶意URL
http://connect.businesshelpaz.com/dana/home.php http://connect.businesshelpaz.com/dana/home.ph p http://wrkstn09.satbootcampaz.com/dana/home.p hp
勒索软件发展趋势-多个漏洞利用
漏洞利用
勒索软件利用漏洞侵害主机 出现新漏洞利用,勒索软件也
会更新自己的武器库 有些勒索软件达到10多个漏洞
利用
Ransomware Families and the Number of Vulnerabilities They Exploit from Garter research
2007—2012
2012年,勒索软件开始从俄罗斯蔓延 到其他欧洲国家。这是因为“假冒病 毒”(FAKEAV)被打击取缔所造成的, 为此,犯罪分子不得不采取其他策略 来威胁恐吓受害者从中牟利。当时最 流行的方式是,冒充Reveton执法人员 威胁受害者称其存在网络犯罪行为, 进而进行勒索。勒索软件运营商还会 尝试使用不同的支付方式,包括 Ukash、paysafecard和MoneyPak等, 以避免被追踪到。
勒索软件发展趋势-越来越多
数据来源:Symantec Internet Security Threat Report 2016 Q1
移动端勒索软件
2016年,勒索软件的数量和被感染的 数量都在快速增长
伪装成系统清理工具
勒索软件发展趋势-扩散
操作系统扩散
大数据/云计算/物联网扩散
Hadoop勒索软件:http://toutiao.secjia.com/hadoop-cluster-under-ransomware-attack
WannaCry感染方式
• Office文档,Word,Excel,PowerPoint • PDF文档,文本类型,Flash • 音频、视频类文档 • 图片类文档 • 压缩类文档,备份类文档 • 证书类 • 3D建模 • 数据库类文件 • 程序文件
Part 4
勒索软件趋势
Petya分析
Petya病毒爆发
• Petya与其他流行的勒索软件的不同点在于,Petya不是逐个加密 文件,而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系 统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序, 还创建了一个32个扇区长的小内核。
Petya病毒新样本
• 病毒样本类型为DLL,执行后导出函数。 当这个函数被调用时,首先尝试提升当前 进程的权限并设置标记,查找是否有指定 的安全软件,后面会根据是否存在指定的 安全软件跳过相应的流程。绕过安全软件 的行为监控。
Internet
SEG
TAC
1
垃圾邮件和病毒 邮件被处理
高级威胁通过沙 2 箱引擎分析处理
邮件安全网关 第一层过滤
第二层过滤,针对未知勒索 邮件。TAC工作原理于邮件 网关类似,邮件代理模式
Mail Server 过滤后的邮件最终
3 投递到邮件服务器
网络层面检测和阻断勒索软件
NTI
管理平台
⑦ 可视化呈现BSA
Petya病毒传播途径
• 根据乌克兰CERT官方消息,邮件附件被认为该次病毒攻击的传播源头,邮箱附 件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯 源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中,并没有 完整重现整个攻击过程。
Part 5
勒索软件趋势
天下无”贼”
https://www.nomoreransom.org/
不再交赎金
勒索软件已成公害,欧洲刑警组 织于2016年8月份发布“不再交 赎金”计划,向勒索软件宣战。 这个项目由荷兰皇家警察,卡巴 斯基,迈克菲等成立,后续多个 安全公司参与。项目发布了门户 网站,提供了多个勒索软件的解 密工具,并持续更新。
勒索软件的前世今生
01 勒索软件安全挑战
02 Locky分析
目
03 蠕虫型勒索WannaCry分析
录
04 蠕虫型勒索Petya分析
05 勒索软件趋势
06 勒索软件防护实践
Part 01
勒索软件安全挑战
一大波勒索软件来袭
开放互联Internet, 勒索软件来侵害。 图片文档全加密, 要想恢复拿钱来。
勒索软件的历史
2005—2006
勒索软件首次出现于俄罗斯。其手段 是将受害计算机的特定文件压缩并用 密码保护起来,再将其中一个文件作 为勒索信,要求受害者支付300美元的 赎金才能换回自己文件。在威胁的早 期阶段,.DOC, .XLS, .JPG, .ZIP, .PDF 以及其他常用文件形式经常成为勒索 软件的目标。后来,又出现了能够感 染手机甚至计算机主引导记录(MBR) 的变体,阻止系统加载运行。
威胁分析系统TAC介绍
虚拟执行引擎 静态分析引擎 病毒特征引擎 信誉引擎
安全信誉
NTI 绿盟全球威胁情报中心
TAC
未知威胁分析本地信誉
IP信誉
Web 信誉
文件信誉
Email 信誉
IPS
NF
SEG
金山V8
RSVS
TAC动态沙箱引擎
流量重组 文件还原
虚拟执行环境
指令级 实时分析
详尽的 告警信息
Web Mail FTP、SMB
对业务造成的影 响
基础安全自查-流程
资产梳理
漏洞扫描
配置核查
安全加固 复查
安全域边界梳 理
渗透测试及代码 审计(互联网网 站及移动应用)
安全保障应急演练
业 务 测 试
DDOS攻击 安全演练
网页篡改事件 安全演练
DNS劫持事件 安全演练
恶意代码事件 安全演练
链路、数据中心切换 安全演练
供电切换 安全演练
勒索软件进入渠道
勒索软件 as a Service
勒索软件与APT异同
比较ቤተ መጻሕፍቲ ባይዱ
相似点
内容
攻击手法类似 攻击过程类似
不同点
最终目的 暴露方式 僵尸网络
勒索软件
钓鱼邮件
下载器 最新的漏洞利用
勒索比特币 直接暴露 单点勒索
APT
鱼叉攻击 水坑攻击 下载器 最新漏洞利用 0Day漏洞
信息窃取
隐藏
有CnC网络
勒索软件发展趋势-隐藏在程序安装包内
https://blogs.technet.microsoft.com/mmpc/2017/03/15/ransomware-operators-are-hiding-malware-deeper-in-installer-packages/
勒索软件与CVE漏洞
Part 06
勒索软件防护实践
勒索软件防护实践
安全意识培训
备份、备份、备份
安全技术保护
1. 点击之前需要思考
1. 重要事情说三遍 2. 有效备份,3-2-1原则 3. 备份/ 恢复演习
1. 网络,邮件,终端 2. 更新补丁,弥补漏洞 3. 防病毒引擎应对已知 4. 沙箱防未知勒索软件
勒索软件防护实践-补丁
• 接下来修改磁盘的MBR,并将生成的Key, IV,比特币支付地址以及用户序列号写入 磁盘的固定扇区。然后创建计划任务于1 小时后重启。遍历局域网可以连通的ip列 表,用于后续的局域网攻击。释放并执行 抓取密码的进程,释放psexec进程用于后 续执行远程命令。对系统的网络资源列表 进行过滤,筛选本地保存的凭据,使用保 存的凭据连接,成功后执行远程命令,进 行局域网感染。