圖1:2020年勒索病毒攻擊事件回顧(來(lái)源:亞信安全)
在上述背景之下,亞信安全威脅情報(bào)團(tuán)隊(duì)收集了歷年的威脅樣本數(shù)據(jù),并總結(jié)出2020年勒索病毒的主要特征:
- 勒索病毒從針對(duì)個(gè)人的勒索�,轉(zhuǎn)變?yōu)閷?zhuān)門(mén)針對(duì)企業(yè)的索要�����,則意味著更高昂的贖金,以及更大的名譽(yù)損失�;
- 2020年平均每個(gè)月都會(huì)發(fā)生一起嚴(yán)重的勒索病毒攻擊事件,其造成的經(jīng)濟(jì)損失與去年相比上升了50%左右���,年總損失高達(dá)400億美元�;
- 病毒軟件呈現(xiàn)了多平臺(tái)的趨勢(shì)�,不光Windows勒索病毒呈現(xiàn)井噴趨勢(shì),Linux平臺(tái)的勒索病毒的數(shù)量也逐步呈現(xiàn)指數(shù)級(jí)增長(zhǎng)��;
- 病毒攻擊方式產(chǎn)生了很大的變化��,2020年新增的勒索樣本大多數(shù)采用無(wú)文件攻擊技術(shù)�,據(jù)不完全統(tǒng)計(jì)����,2020年成功入侵的攻擊事件中���,80%都是通過(guò)無(wú)文件攻擊完成����,傳統(tǒng)的防病毒工具對(duì)此攻擊收效甚微�;
- 勒索病毒地域與行業(yè)影響范圍越來(lái)越廣(如圖2),包括醫(yī)療��、政府���、能源�、貿(mào)易等�,在巨大利益趨勢(shì)下,無(wú)孔不入�����,防不勝防����。
圖2:勒索病毒攻擊地區(qū)分布(來(lái)源:亞信安全)
5大家族高居前位�,無(wú)文件攻擊高達(dá)80%
在亞信安全收集的病毒樣本中��,Sodinokibi�����,GlobelmPoster��,Dharma��,Phobos��,Nemty分列前五名�,而這些高占比病毒家族能夠高居榜單前位����,與其采用的“特有”攻擊方式有著十分緊密的聯(lián)系。
圖3: 2020年勒索家族樣本占比(來(lái)源:亞信安全)
從分析結(jié)果來(lái)看��,上述5大家族的大多數(shù)樣本中大量采用了無(wú)文件攻擊的方式����,占比高達(dá)60%,在“成功入侵”事件中����,這一比例更高達(dá)80%����。
圖4:勒索家族采用無(wú)文件攻擊技術(shù)樣本占比(來(lái)源:亞信安全)
此類(lèi)病毒通常運(yùn)行在被攻擊主機(jī)內(nèi)存中或者通過(guò)Windows的WMI��、PowerShell腳本等方式運(yùn)行�����,攻擊鏈更加隱蔽��,普通的文件反病毒引擎和網(wǎng)絡(luò)掃描引擎根本無(wú)法對(duì)該攻擊技術(shù)精準(zhǔn)識(shí)別�����,這是目前上述家族勒索類(lèi)病毒無(wú)法有效抵御的一個(gè)重要特征����,這說(shuō)明黑客在持續(xù)用最新型的攻擊方式武裝病毒,從而達(dá)到難以被查殺的目的�。
Windows與Linux平臺(tái)無(wú)文件攻擊勒索病毒分析
《報(bào)告》分別選擇了Sodinokibi、Phobos���、Ransom EXX�、Botnet等在Windows與Linux平臺(tái)中具有代表性勒索病毒家族樣本進(jìn)行詳細(xì)分析,并對(duì)其采用的無(wú)文件攻擊技術(shù)的防御難點(diǎn)進(jìn)行了總結(jié)歸納��。例如:
- Windows平臺(tái)——Sodinokibi家族勒索無(wú)文件攻擊技術(shù)分析
Sodinokibi勒索病毒在國(guó)內(nèi)首次被發(fā)現(xiàn)于2019年4月份�,被稱(chēng)為GandCrab勒索病毒的“接班人”。經(jīng)過(guò)近一年的發(fā)展�����,這款勒索病毒使用了多種傳播渠道進(jìn)行傳播擴(kuò)散�,包含利用各種Web漏洞、Flash漏洞�����、釣魚(yú)郵件�、水坑攻擊����,漏洞利用工具包下載執(zhí)行腳本等無(wú)文件攻擊方式,主要的攻擊流程見(jiàn)圖5���。
圖5: Sodinokibi勒索病毒執(zhí)行流程(來(lái)源:亞信安全)
一旦用戶(hù)瀏覽了植入該惡意病毒的網(wǎng)站�,點(diǎn)擊特定的鏈接,則觸發(fā)該病毒執(zhí)行�,該病毒會(huì)在內(nèi)存中執(zhí)行病毒攻擊主體或者執(zhí)行一個(gè)多級(jí)高模糊PowerShell腳本,通過(guò)在磁盤(pán)中創(chuàng)建白名單文件或者感染白名單文件的無(wú)文件攻擊方式���,以及使用先進(jìn)的躲避沙箱技術(shù)����,防止被防病毒軟件查殺�����,然后該病毒即將磁盤(pán)中的重要文件將被加密���,加密后的文件擴(kuò)展名為.qv05z ���。
- Linux平臺(tái)——Ransom EXX勒索無(wú)文件攻擊分析
2020年,亞信安全捕獲到針對(duì)Linux平臺(tái)攻擊的Ransom EXX��。Ransom EXX的前身為面向Windows操作系統(tǒng)下的勒索病毒����,其在勒索攻擊事件中出現(xiàn)頻次相當(dāng)之高,僅在2020年一年間就造成了世界多家知名公司的數(shù)據(jù)加密與服務(wù)中斷事件��,如Konica Minolta(日本公司,6月底遭受攻擊�����,服務(wù)中斷近一周)與TxDOT(美國(guó)政府部門(mén)�����,Texas交通運(yùn)輸部�,5月初開(kāi)始遭受攻擊)。
研究表明����,攻擊者將Ransom EXX病毒由Windows版本移植至Linux環(huán)境下,除所用系統(tǒng)API不一樣以外�����,其代碼的組織方式��,加密功能的實(shí)現(xiàn)方式與引用的加密庫(kù)均相同�,這有力的證明了Linux版實(shí)際上是由Windows版本移植而來(lái)的。
從上述樣本數(shù)據(jù)分析得知�,無(wú)文件攻擊技術(shù)無(wú)論在Windows還是Linux平臺(tái)上���,呈現(xiàn)的攻擊手段大多是基于:腳本攻擊�、白名單利用、異常注入以及其他混合攻擊���。而觀之目前市面上大多數(shù)的防病毒引擎去檢測(cè)��,其實(shí)對(duì)無(wú)文件攻擊束手無(wú)策�,很難第一時(shí)間發(fā)現(xiàn)危險(xiǎn)已經(jīng)到來(lái)�����,更談不上對(duì)此類(lèi)病毒提供詳細(xì)的威脅分析報(bào)告���。這也從側(cè)面說(shuō)明�����,結(jié)合了無(wú)文件攻擊的勒索病毒正在成為企業(yè)未來(lái)一段時(shí)間最難以防范的網(wǎng)絡(luò)風(fēng)險(xiǎn)之一����。
智能分析和監(jiān)測(cè)技術(shù)同步跟進(jìn) 2021“?!鞭D(zhuǎn)乾坤
面對(duì)勒索病毒持續(xù)高危傳播,國(guó)家安全部門(mén)牽頭重點(diǎn)聯(lián)合各大云服務(wù)商及電信運(yùn)營(yíng)企業(yè)加強(qiáng)云端病毒監(jiān)測(cè)與防護(hù)����,協(xié)同基礎(chǔ)電信企業(yè)對(duì)惡意程序傳播端���、控制端進(jìn)行有效封堵,同時(shí)建議企業(yè)或個(gè)人用戶(hù)提高風(fēng)險(xiǎn)防范意識(shí)����,做好基礎(chǔ)安全防護(hù)工作,加強(qiáng)數(shù)據(jù)存儲(chǔ)備份和應(yīng)急恢復(fù)能力��,避免勒索病毒給工作生產(chǎn)和生活造成嚴(yán)重影響或重大損失����。
亞信安全針對(duì)無(wú)文件攻擊防范的思路是:立體化的防護(hù)體系,每一層應(yīng)對(duì)特定的事件攻擊特征���,整體形成立體防護(hù)���,以達(dá)到預(yù)測(cè)、檢測(cè)�、響應(yīng)、反饋等功能����。
所謂立體化的防護(hù)是指既有發(fā)現(xiàn)正在進(jìn)行的攻擊的能力����,也有能夠事后處理威脅的方案����,既有基于傳統(tǒng)防病毒的基本能力���,也有基于AI的高級(jí)威脅解決方案�����,既有基于攻擊者的思維����,也有基于防御者的能力���。
圖6: 亞信安全XDR解決方案
亞信安全建議企業(yè)用戶(hù)部署XDR解決方案��,通過(guò)大數(shù)據(jù)����、機(jī)器學(xué)習(xí)等能力����,精準(zhǔn)識(shí)別利用無(wú)文件攻擊技術(shù)的勒索軟件威脅���,通過(guò)預(yù)先精密編排的各種威脅響應(yīng)預(yù)案,全面提升系統(tǒng)的防護(hù)能力��。
2021年�����,雖然疫情尚未完全結(jié)束���,但中國(guó)對(duì)疫情的防控已取得顯著成效���,這離不開(kāi)數(shù)字化智能分析、新的監(jiān)測(cè)技術(shù)發(fā)展和建設(shè)�����。因此���,在應(yīng)對(duì)無(wú)文件攻擊勒索病毒等更加兇險(xiǎn)威脅的未來(lái)���,我們也應(yīng)加快實(shí)現(xiàn)網(wǎng)絡(luò)安全技術(shù)創(chuàng)新��,為虛擬世界的異常事件提供快速檢測(cè)能力�,“?����!鞭D(zhuǎn)乾坤��。
亞信安全2020年無(wú)文件攻擊技術(shù)的新型勒索病毒專(zhuān)題分析報(bào)告下載地址:https://www.asiainfo-sec.com/upload/files/2021/02/2020eybdzs.pdf
