请选择 进入手机版 | 继续访问电脑版
链链财经 位置 资讯中心 新闻头条 比特币勒索软件攻击剖析及预防方法

比特币勒索软件攻击剖析及预防方法

2018-8-6 15:51| 发布者: 链链财经| 查看: 4277| 评论: 1

摘要: 2016年初,有关特别严重的勒索软件攻击的报道开始浮出水面。虽然许多受害者都在美国,但在世界其他地方也发现了这些袭击事件。从那时起,勒索软件一直处于活动状态,并且随着每个版本的发布而不断更新和更好。什么是 ...


2016年初,有关特别严重的勒索软件攻击的报道开始浮出水面。虽然许多受害者都在美国,但在世界其他地方也发现了这些袭击事件。从那时起,勒索软件一直处于活动状态,并且随着每个版本的发布而不断更新和更好。


什么是SamSam?

领先的安全服务公司Sophos发布了一篇详细介绍勒索软件细节的论文。凭借其深入的知识和先进的研究工具,这家英国公司已经能够发现有关这次袭击的重要细节。这些包括攻击范围,关于勒索软件创建者的某些推论、以及IOC(妥协指标)等。

这篇论文被称为《SamSam:(差不多)六百万美元勒索软件”,是与区块链分析公司Neutrino共同创建的。

勒索软件是指一种恶意软件。一旦软件可以访问计算机或计算机网络,它就会启动并加密文件。然后,攻击者要求受害者索要赎金,以便解密数据并恢复网络功能。今天,赎金通常以比特币等加密货币支付。

在过去几年中,勒索软件攻击的数量和严重程度都在增加。例如,去年获得诽谤的WannaCry勒索软件仍在感染新的受害者,最新的受害者是航空巨头波音公司。

仅在今年,SamSam据报道影响了许多组织。该恶意软件被指责删除亚特兰大市的dashcam镜头,可能会影响大量案件。此外,SamSam感染导致科罗拉多州交通局的网络离线多日。恶意软件也影响了医疗保健提供商和大学。


勒索软件怎么运行的

虽然勒索软件攻击通常是严重的,但由于各种因素的共同作用,SamSam继续将自己与同行区分开来。其中一个最重要的区别是感染载体。Sophos的研究人员认为,肇事者使用的方法是攻击如此成功的部分原因。

SamSam的目的不是通过附有恶意代码的电子邮件进行传播,就像目前大多数勒索软件一样。相反,恶意软件的创建者明确地针对他们的受害者。他们试图远程访问目标网络中的计算机。一旦攻击者可以访问一台计算机,它们就会瞄准网络上的其他计算机。整个攻击过程分六步进行。

第一步是确定受害者; 虽然不知道肇事者最终如何决定他们的受害者,但攻击者将专门针对一个组织并且不是随机感染。Sophos假定攻击者可能通过黑暗网络获取受保护程度较低的系统列表,并且这些信息可能会告知他们决定攻击谁。安全公司报告说:

“他们可能会从黑暗网络上的其他黑客那里购买易受攻击的服务器列表,或者只是使用Shodan或Censys等公共搜索引擎。显而易见的是,他们倾向于瞄准大中型组织,主要是在美国。”

获取目标后,攻击者将尝试渗透网络。他们使用一些工具来实现这一目标。在SamSam恶意软件的初始版本中,创建者利用网络中的JBOSS漏洞来提取允许他们在系统上启动恶意软件的权限。JBOSS是一个Java应用程序服务器。

但是,随着勒索软件复杂程度的提高,攻击开始使用远程桌面协议(RDP)。RDP是一种通信系统,旨在使管理员能够远程访问网络,使其保持正常运行。但是,攻击者使用此向量来访问网络。使用NLBrute工具,攻击者暴力强制密码到网络。这是恶意软件目前的首选入口点,代表第二阶段。

一旦攻击者在强制输入密码后访问系统,他们就会继续尝试将其权限提升到管理员帐户的级别,从而允许他们启动SamSam。这个过程通常需要一段时间,可以持续数天。此外,犯罪者将使用名为Mimikatz的工具窃取真正管理员帐户的登录凭据。这是袭击的第三阶段。

第四步是识别网络中易受攻击的计算机。SamSam由其创建者手动传播,黑客旨在部署恶意软件,同时伪装成真正的管理员。Sophos相信这个载体是因为它为攻击提供了某些优势:

“作为一种手动攻击,它不会造成失控的风险,从而引起不必要的注意。它还允许攻击者挑选目标,并知道哪些计算机已加密。但首先,它必须选择目标。”

使用他们窃取或以其他方式获取的凭证,黑客控制网络上的服务器。这个受损的服务器然后成为攻击的操作命令中心。黑客从服务器部署网络扫描工具以识别他们将感染的计算机。

“当扫描工具能够访问潜在受害者的文件系统时,它会将名为test.txt的纯文本文件(仅包含字符'ok')写入任何计算机的C: Windows \ System32文件夹中访问。同时,该工具在受感染服务器上名为alive.txt的文件中创建一个可操作的受害计算机列表。攻击者稍后将此.txt文件用作目标列表。”

第五步是恶意代码的实际启动。黑客使用系统应用程序工具手动启动SamSam。一旦恶意软件感染了目标计算机,攻击者的最后一步就是等待来自受害者的通信以及赎金。

需要注意的一点是,SamSam会加密其目标上的所有文件。

“SamSam不仅加密文档文件,图像和其他个人或工作数据,还加密运行应用程序(例如,Microsoft Office)所需的配置和数据文件。其备份策略仅保护用户文档和文件的受害者将无法在不重新映像的情况下恢复计算机。”

他是恶意软件如此阴险的原因之一,也是为什么攻击者在过去的两年半里能够以近600万美元的利润获利。

SamSam Ransomware船员通过赎金支付近600万美元
- BleepingComputer(@BleepinComputer)2018年7月31日


在SamSam的创造者心中

安全专家认为,SamSam因其创造者而独树一帜。黑客对细节表现出极大的关注。他们使用的工具旨在使检测和跟踪变得困难,如果不是不可能的话。例如,如果由于某种原因攻击失败,攻击者会包含一个删除代码的所有oast操作的文件。然后,此工具会自行破坏,删除所有尝试攻击的痕迹。这使网络管理员很难检测到攻击。

此外,由于SamSam并非设计为蠕虫,而是由攻击者手动传播,因此攻击一旦启动就很难阻止。这是因为如果系统具有检测可疑活动并试图阻止攻击的安全功能,则攻击者能够对抗网络的响应。

黑客改变策略以环绕安全功能,并且通常能够成功启动恶意软件。

此外,众所周知,攻击者在看到目标没有使用网络时会发动攻击。这是为了避免检测和随后停止努力。攻击者确保在深夜或清晨开始加密文件。世界各地的受害者都是如此,这表明黑客精心策划了袭击的每个阶段。黑客通常会将进攻保持16小时,停止休息8小时。

SamSam的创建者继续创建新版本的恶意软件,活动版本是该软件的第三次迭代。肇事者展示了每次发布的增长,使得越来越难以发现攻击。

“显而易见的是,他们已经匿名超过两年半,并继续显示他们的攻击变得更加复杂。”Sophos在其报告中说。该公司进一步认为,不断增长和匿名表明攻击者是一个人。此外,他们认为攻击者不是母语为英语的人。

虽然报告的许多SamSam病例来自政府组织,但Sophos发现私营部门约占犯罪者目标范围的一半。公共部门组织更有可能报告袭击事件,而私营部门受害者则没有报告袭击事件。受害者大多来自美国,在加拿大、英国、阿联酋和澳大利亚等也受到影响。


加密连接

SamSam要求比特币支付赎金。一旦网络遭到入侵并且文件被加密,受害者就可以查看赎金票据,其中包括暗网(托管网站)上托管的网页的地址,攻击者的比特币(BTC)地址以及赎金金额。目前赎金为每台受感染计算机0.8 BTC和7 BTC完全解密。

攻击者一直在增加赎金所需的金额。这笔钱将在七天内支付,此时黑客需要额外的0.5 BTC。黑客为每个受害者创建一个独特的支付站点,并直接与受害者通信,以便在支付赎金后平滑解密过程。奇怪的是,攻击者有时会在赎金票据中包含道歉。

通过与Neutrino合作,Sophos能够识别出已收到SamSam赎金的157个地址。还有89个与攻击相关的地址未收到任何付款。研究人员还发现,这些地址都来自三个不同的钱包。虽然之前的估计假设SamSam为其创作者筹集了85万美元,但Sophos和Neutrino已确定实际数字为590万美元。他们还说,攻击者每月从受害者手中赚取大约30万美元。

截至2018年7月19日,233名受害者已支付全部或部分赎金。一名受害者支付的最高金额为64000美元。

研究人员还发现黑客利用多种方法来清洗他们的利润。其中包括将比特币更改为以隐私为中心的门罗币以及使用比特币翻滚和混合服务,如Helix和Bitmixer。


你怎么能预防自己成为受害者?

虽然SamSam一旦推出就会让人感到虚弱,但是出现这种情况却非常容易。严肃对待简单的安全措施有很长的路要走。首先,选择不容易或简单的密码可在入口处提供巨大的保护。如果密码构造良好且困难,则强制执行不起作用。

其次,Sophos建议组织采用最小特权原则(POLP)。该协议意味着为系统用户提供有效执行其工作所需的最少访问权限。这可以降低攻击者从受感染的管理员帐户获取访问权限的几率。

第三,组织必须花时间和资源实时监控其网络,以便识别并在必要时快速锁定异常帐户活动。为了为这种情况做好准备,组织还应定期进行演习。

最后,安全公司建议对整个系统进行完整备份,以便离线和离线存储,因为这是确保适当恢复系统的最佳方法。

※英文来源:BTCMANAGER
※编译:链链财经。如需转载请注明来自“链链财经”(http://www.o-o-o.link)
郑重声明:转载文章仅为传播更多信息之目的,版权归原作者所有。如有侵权/错误不完整之处请第一时间与我们联系修改删除。 谢谢。内容分析仅供参考,并不构成任何投资意见或建议。风险自控。
  • 微信扫一扫关注公众号,掌握币圈第一手资讯
发表评论

最新评论

引用 老虎菜 2018-8-6 19:19
比特币

查看全部评论(1)

返回顶部