2. 傳播形式
雖然在各類應(yīng)用程序中的表現(xiàn)形態(tài)不盡相同��,但是其傳播形式卻大同小異���,主要通過偽裝���、誘騙的手段吸附在各類應(yīng)用程序中,具體表現(xiàn)為:
1)?偽裝成游戲���、社交軟件���、時(shí)下流行軟件的插件等����,當(dāng)用戶運(yùn)行時(shí)����,終端界面就會(huì)被惡意程序自身的界面置頂,并無法進(jìn)行操作���;
2)?勒索病毒子包隱藏在資源文件中�,系統(tǒng)后臺(tái)自動(dòng)安裝運(yùn)行�����,并將子包復(fù)制到系統(tǒng)目錄下�,偽裝成系統(tǒng)應(yīng)用。
3. 實(shí)現(xiàn)形式
勒索病毒表現(xiàn)出的流氓屬性十分強(qiáng)烈���,根據(jù)其攻擊目的對(duì)被攻擊者的終端進(jìn)行操作及系統(tǒng)的破壞��,強(qiáng)制被攻擊者付費(fèi)后被攻擊者終端才可以被解鎖,否則一般被攻擊者將無法對(duì)其終端進(jìn)行繼續(xù)操作�。
多數(shù)勒索病毒實(shí)現(xiàn)需要申請(qǐng)系統(tǒng)權(quán)限或者激活設(shè)備管理器權(quán)限,兩種主要實(shí)現(xiàn)方式如下:
1)?控制手機(jī)懸浮窗屬性制作一種特殊的全屏懸浮窗并強(qiáng)制置頂�����;
2)?通過直接激活設(shè)備管理器,設(shè)置系統(tǒng)解鎖密碼����,被攻擊用戶因無法得知解鎖密碼而無法對(duì)手機(jī)進(jìn)行操作。
4. 贖金形式
不同于PC端勒索病毒���,移動(dòng)端勒索病毒支付贖金的方式比較簡(jiǎn)單�����、靈活�,除了比特幣支付外�,還可以進(jìn)行微信支付、QQ支付���、支付寶等直接轉(zhuǎn)賬支付形式��。此類勒索單次支付金額較低�,但存在重復(fù)勒索����,關(guān)卡收費(fèi)的情況����。以QQ支付為例���,被攻擊者在解鎖過程中需要繳納入群費(fèi)���、解鎖費(fèi)甚至學(xué)徒費(fèi)。
贖金繳納類型示意
勒索病毒威脅分析
我們對(duì)《網(wǎng)絡(luò)安全威脅信息共享通報(bào)》(以下簡(jiǎn)稱《通報(bào)》)中勒索病毒作專項(xiàng)調(diào)查和分析��,以《通報(bào)》中216個(gè)勒索病毒樣本為分析對(duì)象����,基于通付盾全渠道應(yīng)用監(jiān)測(cè)平臺(tái),實(shí)現(xiàn)對(duì)全網(wǎng)勒索病毒數(shù)據(jù)的挖掘與分析���,共發(fā)現(xiàn)5萬余個(gè)含關(guān)聯(lián)惡意行為的惡意應(yīng)用�����。下面我們將從攻擊目標(biāo)����、傳播來源�����、威脅行為三個(gè)方面對(duì)勒索病毒進(jìn)行威脅趨勢(shì)分析�����。
1. 偽裝類型分析
根據(jù)挖掘出的惡意樣本數(shù)據(jù)分析����,我們發(fā)現(xiàn)惡意應(yīng)用主要偽裝成外掛、插件等��。其中QQ搶紅包���、刷鉆助手���、王者榮耀輔助、黑客工具箱����、神器等應(yīng)用名稱頻繁出現(xiàn)且占比較大。
全網(wǎng)勒索病毒分布圖譜
根據(jù)勒索病毒應(yīng)用名稱�,主要可分為社交類�、游戲類�、免流插件類以及視頻四類。其中�,社交類軟件已成為惡意攻擊的首選,全網(wǎng)勒索病毒中共發(fā)現(xiàn)28,143個(gè)社交類應(yīng)用����,占總數(shù)的55%;其次是免流插件類軟件�����,共9,732個(gè)��;游戲類軟件作為移動(dòng)端熱門應(yīng)用���,同樣也是勒索病毒攻擊的高發(fā)區(qū)�,全網(wǎng)共發(fā)現(xiàn)6,754個(gè)相關(guān)勒索病毒��,排名第三��。
2.傳播來源分析
a)?地域分析
根據(jù)全網(wǎng)的勒索病毒數(shù)據(jù)分析結(jié)果來看����,勒索病毒主要分布在互聯(lián)網(wǎng)發(fā)展較好地區(qū)或鄰近地區(qū)��。就國(guó)內(nèi)而言�,勒索病毒主要來源于監(jiān)管不嚴(yán)�����、審核機(jī)制不完善的小型應(yīng)用市場(chǎng);從應(yīng)用市場(chǎng)地理分布來看��,勒索病毒的攻擊區(qū)域主要集中在廣東��、北京���、湖北等互聯(lián)網(wǎng)行業(yè)發(fā)展較好、經(jīng)濟(jì)較發(fā)達(dá)的省市�,其中,廣東省勒索軟件發(fā)生頻次最高����,捕獲惡意勒索病毒樣本876個(gè)。其次是北京地區(qū)�����,捕獲惡意勒索病毒樣本873個(gè)���。
b)?病毒開發(fā)者分析
我們對(duì)《通報(bào)》中的惡意樣本進(jìn)行逆向分析��,發(fā)現(xiàn)不同病毒樣本在代碼結(jié)構(gòu)上存在很多共性����,且不同病毒開發(fā)者之間具有關(guān)聯(lián)性。我們對(duì)勒索病毒樣本中預(yù)留的QQ號(hào)以及開發(fā)者信息進(jìn)行追蹤��,共發(fā)現(xiàn)近百個(gè)具有代表性的QQ群組�����,數(shù)萬人受影響����。該類QQ群在作為解鎖贖金收取渠道之外,群內(nèi)還通過百度云�����、貼吧等方式售賣鎖機(jī)源碼�����、教程����、插件���、教學(xué)視頻,傳播勒索病毒�。受害者加入群之后,往往被誘惑成為黑產(chǎn)下線���,利用群內(nèi)兜售的教程向他人發(fā)起二次攻擊,轉(zhuǎn)變?yōu)椤安锁B黑客”���,進(jìn)一步擴(kuò)大病毒的傳播范圍��,影響惡劣��。不同QQ群成員之間具有關(guān)聯(lián)性�,且成員的個(gè)人信息一般設(shè)定為00后�����、90后學(xué)生����。
攻擊者攻擊模式示意圖
我們對(duì)搶紅包和王者榮耀皮膚兩類勒索病毒中共同存在的鎖屏信息進(jìn)行攻擊者溯源分析��,追蹤到以推廣和售賣鎖機(jī)源碼�、搶紅包�����、免流插件����、秒贊工具等為主的“彼岸花技術(shù)”黑產(chǎn)團(tuán)隊(duì),該團(tuán)隊(duì)以QQ群��、網(wǎng)店的形式活躍�,通過百度網(wǎng)盤傳播勒索病毒,人數(shù)總計(jì)數(shù)百人��,相關(guān)聯(lián)群成員總數(shù)達(dá)千余人���。除了進(jìn)群時(shí)需要支付費(fèi)用之外�����,群內(nèi)源碼���、工具的獲取也需要另外付費(fèi)�����。下圖展示“彼岸花技術(shù)”團(tuán)伙的溯源過程����,我們可以看出�����,大部分病毒開發(fā)者之間相互關(guān)聯(lián)��。
“彼岸花”團(tuán)隊(duì)溯源分析圖
c)?威脅行為分析
我們對(duì)活躍度集中區(qū)的勒索病毒進(jìn)行分析���,根據(jù)鎖屏實(shí)現(xiàn)方式,大體將勒索病毒威脅行為分為兩大類:一類是通過修改設(shè)備的開機(jī)密碼來實(shí)現(xiàn)���,另一類是通過控制懸浮窗置頂屬性來實(shí)現(xiàn)�。
這兩類鎖屏在實(shí)現(xiàn)流程上存在共性���,首先���,通過偽裝獲取設(shè)備的系統(tǒng)權(quán)限�����;然后���,通過系統(tǒng)權(quán)限直接激活設(shè)備管理器,修改系統(tǒng)開機(jī)密碼��,或控制手機(jī)懸浮窗強(qiáng)制置頂屬性�,使用戶無法正常使用設(shè)備。同時(shí)����,有些勒索病毒為防止被破解,設(shè)置可反復(fù)鎖屏機(jī)制��,即用戶在破解第一層鎖屏之后會(huì)出現(xiàn)第二層鎖屏��,反復(fù)循環(huán)��。最后被攻擊者需要通過被鎖屏幕中預(yù)留的QQ碼����、郵箱、手機(jī)號(hào)等信息聯(lián)系勒索者繳納贖金方可解鎖。下圖展示了勒索病毒實(shí)現(xiàn)的具體流程����。
勒索病毒實(shí)現(xiàn)流程圖
威脅趨勢(shì)分析
1. 勒索病毒活躍度總體呈上升趨勢(shì)
本次報(bào)告中,我們采樣的數(shù)據(jù)為2016年9月到2017年9月全網(wǎng)范圍內(nèi)的惡意勒索病毒�,從分析結(jié)果來看,勒索病毒活躍度總體呈上升趨勢(shì)�,每月新增病毒數(shù)持續(xù)增加。其中�����,2017年4月份勒索病毒急劇增加��,新增病毒總數(shù)達(dá)812個(gè)��,比3月份增加了160.2%�。國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心從4月份起發(fā)布一系列勒索病毒通報(bào),相關(guān)單位和部門對(duì)勒索病毒采取了一定的防御措施����。5月份之后��,雖然勒索病毒總體仍然處于上升趨勢(shì)����,但每月病毒新增速度有所放緩���。9月份新增 219個(gè)勒索病毒,增長(zhǎng)速度有所下降但仍然相當(dāng)活躍����。
2.勒索病毒仍將主要攻擊經(jīng)濟(jì)發(fā)達(dá)地區(qū)
從惡意樣本的地理分布圖中可以看出,勒索病毒主要活躍在廣東����、北京等互聯(lián)網(wǎng)氛圍較好地區(qū)。2016年9月份到2017年1月份��,勒索病毒集中活躍在北京�����、廣東�����、湖北經(jīng)濟(jì)發(fā)達(dá)地區(qū)�����,2017年2月至5月份,勒索病毒活躍范圍在原來的基礎(chǔ)上向湖南��、福建���、安徽�����、四川���、天津等鄰近省市擴(kuò)散,直至9月份���,北京�����、廣東仍然是勒索病毒攻擊的重災(zāi)區(qū)���,除此以外,在上海��、浙江等經(jīng)濟(jì)發(fā)展較好的省市也發(fā)現(xiàn)了勒索病毒的蹤跡并且數(shù)量逐月增加�����,經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍將是勒索病毒的主要攻擊目標(biāo)����。
3.勒索病毒查殺成本或?qū)⑻岣?/strong>
為了逃避安全產(chǎn)品的查殺,病毒開發(fā)者開始利用各種手段�����,提高病毒免殺能力���。我們?cè)谀嫦蚍治霾《緲颖緯r(shí)發(fā)現(xiàn)��,部分勒索病毒使用加密平臺(tái)進(jìn)行加密保護(hù)����,不僅難以破解��,而且加密過后能夠躲過病毒防御類產(chǎn)品檢測(cè)查殺����。某些加固產(chǎn)品無安全認(rèn)證機(jī)制,免費(fèi)為各類開發(fā)者包括病毒程序開發(fā)者提供加密服務(wù)�。經(jīng)過此類加固平臺(tái)加固的病毒�,惡意代碼被隱藏����,查殺難度增大,提高了查殺成本���。下圖為捕獲到的使用某加固平臺(tái)加固后的病毒樣本代碼示例�����。
使用加固平臺(tái)加密的病毒樣本截圖示意
總結(jié)
1. 不法收益誘惑下的網(wǎng)絡(luò)攻擊仍將持續(xù)
當(dāng)移動(dòng)端遭受惡意攻擊時(shí)�,被攻擊者通常為非專業(yè)技術(shù)人員�����,比起報(bào)案或請(qǐng)求技術(shù)破解����,絕大部分被攻擊者更愿意“主動(dòng)”交費(fèi)以解除威脅。而攻擊者的主要目的就是通過非法手段索取錢財(cái)��,從這一角度來看����,移動(dòng)端具有“誘人”的黑色收益��,且這種收益并不會(huì)隨著技術(shù)的創(chuàng)新或防御手段提升而減少,反而攻擊者利用用戶的依賴心理表現(xiàn)的更加肆無忌憚�����,移動(dòng)端的勒索攻擊將持續(xù)發(fā)生�。
2. 社會(huì)工程學(xué)成為主流攻擊手段
勒索攻擊在社會(huì)工程學(xué)中的主要表現(xiàn)為直接誘惑和利用好奇心理達(dá)到攻擊目的。直接誘惑中���,攻擊者將惡意程序喬裝成與用戶利益直接相關(guān)或有利可圖的助手軟件�,如在社交類軟件中����,“紅包”幾乎是聊天必備,“搶紅包”作為一種新型慶祝和游戲方式十分受用戶歡迎����。攻擊者利用紅包的誘惑偽裝成紅包助手類應(yīng)用誘導(dǎo)下載,如“秒搶紅包”��、“紅包速搶”����、“紅包外掛”等帶有直接誘惑性的詞語�����。另一種不同的心理攻擊方法則是利用人的好奇心理����,通常惡意應(yīng)用的名稱帶有一定的“勸誡或阻撓”意義���,如勒索軟件“不要點(diǎn)我”��、“千萬別點(diǎn)開”等��。當(dāng)用戶“不聽勸誡”點(diǎn)開軟件圖標(biāo)則面臨系統(tǒng)鎖住的危險(xiǎn)��。
3. 勒索攻擊低齡化���、團(tuán)體化
以00后、90后為主的互聯(lián)網(wǎng)技術(shù)愛好者�、學(xué)習(xí)者在金錢的誘惑下或?yàn)闈M足自身的欲望逐漸成為“新人”黑客,在網(wǎng)絡(luò)攻擊中占比較大���。病毒開發(fā)者呈現(xiàn)低齡化趨勢(shì)����。此類“菜鳥黑客”由于年齡小,缺乏健全的法制教育����,自身抵制誘惑的能力較弱,在非法收益驅(qū)動(dòng)下����,對(duì)網(wǎng)絡(luò)攻擊的熱情相對(duì)較高��。雖然“菜鳥黑客”散布的病毒目前沒有達(dá)到完全免殺���,但技術(shù)能力仍然持續(xù)提升�����?�!安锁B黑客”攻擊范圍日益擴(kuò)大�����,難清理�、難監(jiān)管,逐漸成為網(wǎng)絡(luò)攻擊的主力軍�����,需要重點(diǎn)打擊���。
4. 攻擊團(tuán)伙較為集中��,存在市場(chǎng)化攻擊服務(wù)
勒索病毒開發(fā)者之間相互關(guān)聯(lián)�����,攻擊團(tuán)伙相對(duì)固定���。從捕獲到的病毒樣本分析來看,雖然威脅行為相同�����,但收款賬號(hào)信息卻不盡相同���,我們認(rèn)為同一勒索病毒程序在反復(fù)流轉(zhuǎn)過程中如鎖屏圖片���、收款信息等部分信息可根據(jù)需求實(shí)現(xiàn)定制化���,地下黑產(chǎn)行業(yè)已由原先的“個(gè)體戶”變成“服務(wù)商”。惡意程序���、鎖機(jī)工具等開發(fā)者團(tuán)隊(duì)或視頻教程��、源碼售賣團(tuán)隊(duì)擔(dān)當(dāng)“源碼服務(wù)商”的角色向黑產(chǎn)下游團(tuán)隊(duì)提供豐富的用戶數(shù)據(jù)資源以及攻擊技術(shù)���,并形成完整的攻擊方案,使得地下黑產(chǎn)行業(yè)運(yùn)作流程市場(chǎng)化���。此類服務(wù)的提供,縮短病毒開發(fā)的周期��、降低成本���,使得攻擊收益大幅提高�。
移動(dòng)互聯(lián)網(wǎng)的蓬勃發(fā)展�,不僅滿足了公眾多樣化的需求,服務(wù)水平和質(zhì)量也大幅提升�。與此同時(shí),業(yè)務(wù)多樣性��、 系統(tǒng)復(fù)雜性、技術(shù)綜合性等因素導(dǎo)致安全隱患相伴而生�����。通過對(duì)全網(wǎng)勒索病毒移動(dòng)應(yīng)用的監(jiān)測(cè)分析����,發(fā)現(xiàn)移動(dòng)應(yīng)用安全問題對(duì)企業(yè)用戶和個(gè)人用戶的隱私、財(cái)產(chǎn)安全造成極大威脅���?���!秷?bào)告》發(fā)布有助相關(guān)部門出臺(tái)相關(guān)法律法規(guī)�、政策,合理規(guī)劃網(wǎng)絡(luò)安全發(fā)展策略���,凈化網(wǎng)絡(luò)空間安全���、打擊網(wǎng)絡(luò)違法犯罪,助力移動(dòng)互聯(lián)網(wǎng)快速�����、安全發(fā)展。
象存儲(chǔ)防勒索升級(jí):XEOS-國(guó)內(nèi)首家通過-NBU-對(duì)象鎖認(rèn)證171.png?x-oss-process=image%2Fquality,q_50%2Fresize,m_fill,w_1024,h_150)
