原標(biāo)題:通付盾移動安全實驗室全國首發(fā)2017移動互聯(lián)網(wǎng)勒索病毒專項研究報告
2017年5月���,一種名為WannaCry的勒索病毒肆虐席卷全球,不法分子利用NSA泄露的危險漏洞“EternalBlue”(永恒之藍(lán))傳播���。在這場全球性互聯(lián)網(wǎng)災(zāi)難,據(jù)不完全統(tǒng)計數(shù)據(jù)顯示���,100多個國家和地區(qū)超過10萬臺電腦遭到了勒索病毒攻擊��、感染��。6月出現(xiàn)一種“Petya”變體勒索軟件��,相繼歐洲多國遭遇勒索病毒襲擊����,政府、銀行��、電力系統(tǒng)��、通訊系統(tǒng)����、企業(yè)以及機(jī)場都不同程度地受到影響。
國內(nèi)移動互聯(lián)網(wǎng)已經(jīng)成為新的主體���,為了預(yù)防移動互聯(lián)網(wǎng)勒索病毒大規(guī)模爆發(fā)��,避免企業(yè)���、個人遭受損失,同時也為行業(yè)監(jiān)管機(jī)構(gòu)提供政策制定提供移動互聯(lián)網(wǎng)勒索病毒依據(jù)����,通付盾移動安全實驗室依托多年專業(yè)的移動安全的服務(wù)能力和技術(shù)積累發(fā)布《移動互聯(lián)網(wǎng)勒索病毒研究報告》,對勒索病毒形式、產(chǎn)業(yè)鏈等進(jìn)行了系統(tǒng)的專業(yè)分析��,希望引起大家對移動互聯(lián)網(wǎng)安全重視����,保障中國移動互聯(lián)網(wǎng)安全。
查看完整報告��,請在“ 通付盾移動安全實驗室”公眾號回復(fù)關(guān)鍵詞“勒索病毒”��。
一��、 移動勒索病毒綜述
2017年5月份����,WannaCry“蠕蟲”式勒索病毒全面入侵,對PC端造成了嚴(yán)重危害����。隨后,其變種病毒逐漸向移動平臺蔓延����,嚴(yán)重威脅了移動平臺的安全��。作為移動互聯(lián)網(wǎng)的重要載體,智能手機(jī)��、平板��、可穿戴設(shè)備等移動終端設(shè)備都有可能成為勒索病毒的攻擊目標(biāo)����。移動終端中保存著大量的個人數(shù)據(jù),一旦遭受攻擊���,很可能造成隱私泄露���、財產(chǎn)損失等危害。
1.歷史追溯
勒索病毒最早可追溯到1989年��,隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展��,勒索病毒也在不斷的演變進(jìn)化����。2014年以Koler為首的家族勒索病毒在Android平臺大面積爆發(fā),勒索病毒實現(xiàn)從PC端到移動端的轉(zhuǎn)變���。各類變種病毒在移動互聯(lián)網(wǎng)中肆意傳播��,2016年至今��,勒索病毒持續(xù)增長���。據(jù)統(tǒng)計��,5月份爆發(fā)的WannaCry“蠕蟲式”勒索病毒在席卷全球僅僅一天的時間就有242.3萬個IP地址遭受該病毒攻擊���,近3.5萬個IP地址被該勒索軟件感染,其中我國境內(nèi)受影響IP約1.8萬個����。高校、醫(yī)院��、政府���、企業(yè)等單位為主的網(wǎng)絡(luò)大范圍癱瘓��。臺灣���、北京、上海��、江蘇、天津等地成為受災(zāi)重區(qū)���。隨后,在移動端發(fā)現(xiàn)大量“WannaCry”勒索病毒變種���。
2.傳播形式
雖然在各類應(yīng)用程序中的表現(xiàn)形態(tài)不盡相同����,但是其傳播形式卻大同小異��,主要通過偽裝���、誘騙的手段吸附在各類應(yīng)用程序中���,具體表現(xiàn)為:
1. 偽裝成游戲、社交軟件���、時下流行軟件的插件等���,當(dāng)用戶運行時,終端界面就會被惡意程序自身的界面置頂��,并無法進(jìn)行操作;
2. 勒索病毒子包隱藏在資源文件中,系統(tǒng)后臺自動安裝運行��,并將子包復(fù)制到系統(tǒng)目錄下����,偽裝成系統(tǒng)應(yīng)用。
3.實現(xiàn)形式
勒索病毒表現(xiàn)出的流氓屬性十分強烈���,根據(jù)其攻擊目的對被攻擊者的終端進(jìn)行操作及系統(tǒng)的破壞��,強制被攻擊者付費后被攻擊者終端才可以被解鎖����,否則一般被攻擊者將無法對其終端進(jìn)行繼續(xù)操作���。
多數(shù)勒索病毒實現(xiàn)需要申請系統(tǒng)權(quán)限或者激活設(shè)備管理器權(quán)限���,兩種主要實現(xiàn)方式如下:
1. 控制手機(jī)懸浮窗屬性制作一種特殊的全屏懸浮窗并強制置頂;
2. 通過直接激活設(shè)備管理器,設(shè)置系統(tǒng)解鎖密碼����,被攻擊用戶因無法得知解鎖密碼而無法對手機(jī)進(jìn)行操作。
4.贖金形式
不同于PC端勒索病毒��,移動端勒索病毒支付贖金的方式比較簡單、靈活��,除了比特幣支付外��,還可以進(jìn)行微信支付���、QQ支付、支付寶等直接轉(zhuǎn)賬支付形式����。此類勒索單次支付金額較低,但存在重復(fù)勒索��,關(guān)卡收費的情況��。以QQ支付為例���,被攻擊者在解鎖過程中需要繳納入群費���、解鎖費甚至學(xué)徒費。
贖金繳納類型示意
二���、勒索病毒威脅分析
我們對《網(wǎng)絡(luò)安全威脅信息共享通報》(以下簡稱《通報》)中勒索病毒作專項調(diào)查和分析��,以《通報》中216個勒索病毒樣本為分析對象��,基于通付盾全渠道應(yīng)用監(jiān)測平臺���,實現(xiàn)對全網(wǎng)勒索病毒數(shù)據(jù)的挖掘與分析����,共發(fā)現(xiàn)5萬余個含關(guān)聯(lián)惡意行為的惡意應(yīng)用���。下面我們將從攻擊目標(biāo)����、傳播來源���、威脅行為三個方面對勒索病毒進(jìn)行威脅趨勢分析����。
1.偽裝類型分析
根據(jù)挖掘出的惡意樣本數(shù)據(jù)分析����,我們發(fā)現(xiàn)惡意應(yīng)用主要偽裝成外掛、插件等。其中QQ搶紅包���、刷鉆助手��、王者榮耀輔助����、黑客工具箱���、神器等應(yīng)用名稱頻繁出現(xiàn)且占比較大。
全網(wǎng)勒索病毒分布圖譜
根據(jù)勒索病毒應(yīng)用名稱���,主要可分為社交類��、游戲類���、免流插件類以及視頻四類。其中����,社交類軟件已成為惡意攻擊的首選,全網(wǎng)勒索病毒中共發(fā)現(xiàn)28143個社交類應(yīng)用����,占總數(shù)的55%;其次是免流插件類軟件��,共9732個;游戲類軟件作為移動端熱門應(yīng)用����,同樣也是勒索病毒攻擊的高發(fā)區(qū)���,全網(wǎng)共發(fā)現(xiàn)6754個相關(guān)勒索病毒��,排名第三��。
2.傳播來源分析
a. 地域分析
根據(jù)全網(wǎng)的勒索病毒數(shù)據(jù)分析結(jié)果來看���,勒索病毒主要分布在互聯(lián)網(wǎng)發(fā)展較好地區(qū)或鄰近地區(qū)。就國內(nèi)而言���,勒索病毒主要來源于監(jiān)管不嚴(yán)的���、審核機(jī)制不完善的小型應(yīng)用市場,從應(yīng)用市場地理分布來看����,勒索病毒的攻擊區(qū)域主要集中活躍在廣東����、北京��、湖北等互聯(lián)網(wǎng)行業(yè)發(fā)展較好��、經(jīng)濟(jì)較發(fā)達(dá)的省市���,其中��,廣東省勒索軟件發(fā)生頻次最高��,捕獲惡意勒索病毒樣本876個���。其次是北京地區(qū)��,捕獲惡意勒索病毒樣本873個��。
b.病毒開發(fā)者分析
我們對《通報》中的惡意樣本進(jìn)行逆向分析��,發(fā)現(xiàn)不同病毒樣本在代碼結(jié)構(gòu)上存在很多共性��,且不同病毒開發(fā)者之間具有關(guān)聯(lián)性��。我們對勒索病毒樣本中預(yù)留的QQ號以及開發(fā)者信息進(jìn)行追蹤,共發(fā)現(xiàn)近百個個具有代表性的QQ群組����,數(shù)萬人受影響。該類QQ群在作為解鎖贖金收取渠道之外����,群內(nèi)還通過百度云、貼吧等方式售賣鎖機(jī)源碼����、教程、插件����、教學(xué)視頻,傳播勒索病毒���。受害者加入群之后����,解鎖后往往被誘惑成為黑產(chǎn)下線����,利用群內(nèi)兜售的教程向他人發(fā)起二次攻擊���,轉(zhuǎn)變?yōu)椤安锁B黑客”,進(jìn)一步擴(kuò)大病毒的傳播范圍����,影響惡劣。不同QQ群成員之間具有關(guān)聯(lián)性��,且成員的個人信息一般設(shè)定為00后����、90后學(xué)生。
攻擊者攻擊模式示意圖
我們對搶紅包和王者榮耀皮膚兩類勒索病毒中共同發(fā)現(xiàn)的鎖屏信息進(jìn)行攻擊者溯源分析��,追蹤到以推廣和售賣鎖機(jī)源碼���、搶紅包��、免流插件、秒贊工具等為主的“彼岸花技術(shù)”黑產(chǎn)團(tuán)隊���,該團(tuán)隊以QQ群����、網(wǎng)店的形式活躍,通過百度網(wǎng)盤傳播勒索病毒����,人數(shù)總計數(shù)百人,相關(guān)聯(lián)群成員總數(shù)達(dá)千余人���。除了進(jìn)群時需要支付費用之外���,群內(nèi)源碼、工具的獲取也需要另外付費����。下圖展示“彼岸花技術(shù)”團(tuán)伙的溯源過程,我們可以看出��,大部分病毒開發(fā)者之間相互關(guān)聯(lián)���。
“彼岸花”團(tuán)隊溯源分析圖
威脅行為分析
我們對活躍度集中區(qū)的勒索病毒進(jìn)行分析��,根據(jù)鎖屏實現(xiàn)方式��,大體將勒索病毒威脅行為分為兩大類:一類是通過修改設(shè)備的開機(jī)密碼來實現(xiàn)���,另一類是通過控制懸浮窗置頂屬性來實現(xiàn)���。
這兩類鎖屏在實現(xiàn)流程上存在共性,首先��,通過偽裝獲取設(shè)備的系統(tǒng)權(quán)限;然后��,通過系統(tǒng)權(quán)限直接激活設(shè)備管理器��,修改系統(tǒng)開機(jī)密碼����,或控制手機(jī)懸浮窗強制置頂屬性,使用戶無法正常使用設(shè)備����。同時,有些勒索病毒為防止被破解����,設(shè)置可反復(fù)鎖屏機(jī)制,即用戶在破解第一層鎖屏之后會出現(xiàn)第二層鎖屏���,反復(fù)循環(huán)���。最后被攻擊者需要通過被鎖屏幕中預(yù)留的QQ碼、郵箱���、手機(jī)號等信息聯(lián)系勒索者繳納贖金方可解鎖����。下圖展示了勒索病毒實現(xiàn)的具體流程����。
勒索病毒實現(xiàn)流程圖
三、 威脅趨勢分析
1.勒索病毒活躍度總體呈上升趨勢
本次報告中����,我們采樣的數(shù)據(jù)為2016年9月到2017年9月全網(wǎng)范圍內(nèi)的惡意勒索病毒,從分析結(jié)果來看��,勒索病毒活躍度總體呈上升趨勢��,每月新增病毒數(shù)持續(xù)增加��。其中����,2017年4月份勒索病毒急劇增加,新增病毒總數(shù)達(dá)812個��,比3月份增加了160.2%。國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心從4月份起發(fā)布一系列勒索病毒通報��,相關(guān)單位和部門對勒索病毒采取了一定的防御措施���。5月份之后���,雖然勒索病毒總體仍然處于上升趨勢,但每月病毒新增速度有所放緩��。9月份新增219個勒索病毒����,增長速度有所下降但仍然相當(dāng)活躍。
2. 勒索病毒仍將主要攻擊經(jīng)濟(jì)發(fā)達(dá)地區(qū)
從惡意樣本的地理分布圖中可以看出����,勒索病毒主要活躍在廣東、北京等互聯(lián)網(wǎng)氛圍較好地區(qū)���。2016年9月份到2017年1月份����,勒索病毒集中活躍在北京、廣東����、湖北經(jīng)濟(jì)發(fā)達(dá)地區(qū)����,2017年2月至5月份,勒索病毒活躍范圍在原來的基礎(chǔ)上向湖南����、福建、安徽��、四川����、天津等鄰近省市擴(kuò)散,直至9月份����,北京、廣東仍然是勒索病毒攻擊的重災(zāi)區(qū)���,除此以外��,在上海���、浙江等經(jīng)濟(jì)發(fā)展較好的省市也發(fā)現(xiàn)了勒索病毒的蹤跡并且數(shù)量逐月增加��,經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍將是勒索病毒的主要攻擊目標(biāo)���。
勒索病毒查殺成本或?qū)⑻岣?/p>
為了逃避安全產(chǎn)品的查殺,病毒開發(fā)者開始利用各種手段��,提高病毒免殺能力��。我們在逆向分析病毒樣本時發(fā)現(xiàn)���,部分勒索病毒使用加密平臺進(jìn)行加密保護(hù)��,不僅難以破解���,而且加密過后能夠躲過病毒防御類產(chǎn)品檢測查殺。某些加固產(chǎn)品無安全認(rèn)證機(jī)制����,免費為各類開發(fā)者包括病毒程序開發(fā)者提供加密服務(wù)。經(jīng)過此類加固平臺加固的病毒����,惡意代碼被隱藏����,查殺難度增大���,提高了查殺成本。下圖為捕獲到的使用某加固平臺加固后的病毒樣本代碼示例����。
使用加固平臺加密的病毒樣本截圖示意
四、總結(jié)與展望
1. 不法收益誘惑下的網(wǎng)絡(luò)攻擊仍將持續(xù)
當(dāng)移動端遭受惡意攻擊時���,被攻擊者通常為非專業(yè)技術(shù)人員���,比起報案或請求技術(shù)破解,絕大部分被攻擊者更愿意“主動”交費以解除威脅����。而攻擊者的主要目的就是通過非法手段索取錢財,從這一角度來看����,移動端具有“誘人”的黑色收益���,且這種收益并不會隨著技術(shù)的創(chuàng)新或防御手段提升而減少,反而攻擊者利用用戶的依賴心理表現(xiàn)的更加肆無忌憚���,移動端的勒索攻擊將持續(xù)發(fā)生��。
2. 社會工程學(xué)成為主流攻擊手段
勒索攻擊在社會工程學(xué)中的主要表現(xiàn)為直接誘惑和利用好奇心理達(dá)到攻擊目的����。直接誘惑中���,攻擊者將惡意程序喬裝成與用戶利益直接相關(guān)或有利可圖的助手軟件���,如在社交類軟件中,“紅包”幾乎是聊天必備����,“搶紅包”作為一種新型慶祝和游戲方式十分受用戶歡迎。攻擊者利用紅包的誘惑偽裝成紅包助手類應(yīng)用誘導(dǎo)下載����,如“秒搶紅包”、“紅包速搶”���、“紅包外掛”等帶有直接誘惑性的詞語����。另一種不同的心理攻擊方法則是利用人的好奇心理,通常惡意應(yīng)用的名稱帶有一定的“勸誡或阻撓”意義����,如勒索軟件“不要點我”、“千萬別點開”等����。當(dāng)用戶“不聽勸誡”點開軟件圖標(biāo)則面臨系統(tǒng)鎖住的危險���。
3. 勒索攻擊低齡化����、團(tuán)體化
以00后���、90后為主的互聯(lián)網(wǎng)技術(shù)愛好者���、學(xué)習(xí)者在金錢的誘惑下或為滿足自身的欲望逐漸成為“新人”黑客,在網(wǎng)絡(luò)攻擊中占比較大����。病毒開發(fā)者呈現(xiàn)低齡化趨勢���。此類“菜鳥黑客”由于年齡小,缺乏健全的法制教育���,自身抵制誘惑的能力較弱��,在非法收益驅(qū)動下����,對網(wǎng)絡(luò)攻擊的熱情相對較高���。雖然“菜鳥黑客”散布的病毒目前沒有達(dá)到完全免殺����,但技術(shù)能力仍然持續(xù)提升���?���!安锁B黑客”攻擊范圍日益擴(kuò)大��,難清理、難監(jiān)管���,逐漸成為網(wǎng)絡(luò)攻擊的主力軍��,需要重點打擊����。
4. 攻擊團(tuán)伙較為集中���,存在市場化攻擊服務(wù)
勒索病毒開發(fā)者之間相互關(guān)聯(lián)���,攻擊團(tuán)伙相對固定。從捕獲到的病毒樣本分析來看����,雖然威脅行為相同��,但收款賬號信息卻不盡相同���,我們認(rèn)為同一勒索病毒程序在反復(fù)流轉(zhuǎn)過程中如鎖屏圖片����、收款信息等部分信息可根據(jù)需求實現(xiàn)定制化,地下黑產(chǎn)行業(yè)已由原先的“個體戶”變成“服務(wù)商”����。惡意程序、鎖機(jī)工具等開發(fā)者團(tuán)隊或視頻教程����、源碼售賣團(tuán)隊擔(dān)當(dāng)“源碼服務(wù)商”的角色向黑產(chǎn)下游團(tuán)隊提供豐富的用戶數(shù)據(jù)資源以及攻擊技術(shù),并形成完整的攻擊方案����,使得地下黑產(chǎn)行業(yè)運作流程市場化。此類服務(wù)的提供���,縮短病毒開發(fā)的周期����、降低成本���,使得攻擊收益大幅提高���。
通付盾首發(fā)2017移動互聯(lián)網(wǎng)勒索病毒專項研究報告
