熟悉雷鋒網(公衆號:雷鋒網)的讀者可能知道,一個月前,我雷好幾個讀者爆料:
本來一路心情愉快地去上班,開機卻遭遇突發異常狀況——昨天下班前電腦還好好的,今天突然開機之後電腦突然很卡,我並沒有在意。結果等了一會,突然瀏覽器自動打開,彈出了一個勒索界面,告訴我所有的文件都已經被加密了,只有點擊鏈接用比特幣交付贖金之後才能拿到解密的密鑰。
有幾個讀者反應是這樣的:
A:贖金要一萬多,如果老闆逼我,我就準備辭職了(你辭一個試試)。
B:還是有很多重要資料的,繳納贖金吧,就當幾個月工資餵了狗(無辜的狗狗到底做錯了什麼)。
B:咦,贖金怎麼繳納?怎麼買比特幣(探索到海枯石爛)?
C:嗚嗚,求高手反攻解密(坐等到天荒地老)!
看到這篇文章的你,是不是不想遇到這樣的慘劇?勒索木馬在天朝已經屢見不鮮,爲了讓更多無辜讀者完美躲避勒索木馬的襲擊,本期雷鋒網宅客頻道(微信ID:letshome)邀請了360反病毒小組負責人、擁有長達9年惡意軟件查殺經驗的王亮來解密勒索木馬。
嘉賓介紹
王亮:360反病毒小組負責人,擁有長達9年的惡意軟件查殺經驗,是國內最早追蹤敲詐者病毒的安全專家之一,目前已經帶領團隊攔截到超過80類敲詐者病毒變種。
問答精華回顧
一、與勒索木馬鬥爭的辛酸史
1.勒索木馬層出不窮,雷鋒網也活捉過好幾次勒索木馬的受害者,想問問上次您被拖到羣裏和勒索木馬受害者面對面是一種怎樣的感受?
王亮:一直以來做的分析工作都是針對木馬病毒的,更多的是一種技術性的工作,並沒有太多感情因素在其中,但通過與受害者的溝通,才真切感受到他們的無奈與無助,也更加堅定了我們與木馬對抗到底的決心。
那段時間掛馬中招的反饋確實比較多,當時是想盡快了解一下具體情況。聯繫確認後,發現受害者主要是因爲使用了某款沒有升級的flash插件的瀏覽器,訪問掛馬頁面而中招。用戶在操作上並沒有明顯過錯,只是由於訪問的站點自身存在問題,使用的瀏覽器又沒有及時更新最終造成這個結果。這裏也想提醒大家,此類木馬威脅離普通網民其實很近,可能一個不經意的操作就會中招。
之前我們接到過一個反饋,一家公司的職員,計算機中一直沒裝殺毒軟件,週末時還沒有關閉計算機。當他週一來公司時發現他計算機上的文件和一臺文件共享服務器的文件全部被加密。我們協助追查發現,是它機器上安裝的一款視頻工具軟件,週末時彈出了一個廣告,而這個廣告恰巧被植入了flash漏洞攻擊代碼,結果在他沒有任何操作的情況下,機器上的文件被木馬加密。很多時候,用戶甚至沒有什麼感知的情況下就中招了。
2.這類受害者每年大概有多少?幹這個勾搭的黑帽子羣體大概有多少?
王亮:今年上半年我們攔截的敲詐者攻擊超過 44 萬次,下半年由於國內掛馬攻擊的出現,曾經出現過單日攔截敲詐者木馬超過 2 萬次的情況,敲詐者木馬的攻擊規模還在不斷刷新。
目前我們抓到的敲詐者的各類變種超過 200 種,積極傳播與活躍對抗的就有8個家族。根據樣本行爲、代碼分析、攻擊溯源看,攻擊者來自國內、俄羅斯、日韓、美國等地,參與其中的黑產組織至少有幾十個。
另外,從製作門檻上來說,敲詐者病毒的製作門檻並不高,各類加密算法都有現成的源碼和庫代碼可以使用,只要對其原理略知一二就可以做出一款簡單的敲詐者。而網上也有很多公開的勒索軟件源碼,對其做一些修改就能做出一款可以使用的敲詐者病毒。高利潤低門檻,使得敲詐者病毒的製作團體越來越多。
3.勒索木馬到底是什麼時候出現的?迄今爲止有多少主流版本?
王亮:此類木馬有十多年曆史,之前的敲詐方式是加密或者隱藏文件後要求轉賬或者購買指定商品,傳播量和影響力不高。
最近流行的比特幣敲詐者其實在 2014 年就在國外流行了,到 2015 年大量流入國內。在國內大量傳播的主流敲詐者家族就有 CryptoWall , CTB-Locker , TeslaCrypt , Cerber , Locky , CryptXXX , xtbl 等多個家族,每個家族在傳播對抗過程中又產生有多個分支版本。目前捕獲的敲詐者木馬超過200個版本,傳播量和影響力都非常大。
4.聽說你擁有長達 9 年的惡意軟件查殺經驗,想聽聽你和勒索木馬的鬥爭經驗。
王亮:多年前製作病毒木馬還有炫技的成分存在,現在市面傳播的木馬全部是利益驅使,互聯網上哪裏有利可圖,哪裏就有搞黑產、賺黑錢的網絡黑手。敲詐者病毒也不例外,國內中招比較早的一批受害者是外貿相關的企業和個人。
攻擊者發現能從國內賺到錢之後,也開始專門針對國內進行攻擊,同時因爲這一木馬知名度的提示,也帶動了一批黑產人員加入到敲詐者病毒的製作和傳播中。以比特幣爲代表的各類匿名支付手段,也給敲詐者勒索贖金提供了方便,造成現在敲詐者木馬家族多,變種多的情況。
隨着信息化程度越來越高,不管是企業還是個人,對於信息系統的依賴度也越來越高,而勒索軟件的主要危害就是破壞信息系統中的數據資源。企業個人的信息化程度越高,危害也越大。
前兩年,這一波敲詐勒索木馬剛剛興起時,因爲主要在國外傳播,木馬的演變主要也是針對的國外的殺軟。那時我們可能只需要幾個簡單的技術手段,就能很好的查殺和防禦這類木馬,那時我們已經意識到,攻擊者可能很快就會發現在中國也是有利可圖的,會轉過來專門攻擊我們。在敲詐者木馬剛剛開始在國外流行時,我們已經在實驗我們的防護策略和手段,當時我們測試過對文件做備份,對文件寫入內容做檢測,對文件寫入方法做檢查,對數據操作流程做檢查等十多種方案。
這中間有過不少嘗試,比如剛剛測試文件格式攔截時,發現會誤報發票打印程序,後來研究發現有些發票打印程序會改圖片格式。我們測試備份方案的時候,發現磁盤IO太高,性能上划不來。我們就在這中間不斷嘗試,最後將其中比較有效且消耗合理的方案應用到了我們的產品中。
很快 2015 年就開始出現專門針對國內進行傳播免殺的敲詐者木馬,而且很多木馬剛剛出現時都是免殺全球殺軟的,在 VirusTotal 上掃描都是 0 檢出的。我們之前已經準備了一套可行的防護方案,所以即使在引擎無法檢出的情況下,仍能識別攻擊保護數據安全。在這個對抗過程中,我們根據木馬的傳播特點和行爲特徵又補充增加了多個攔截方案。比如針對掛馬傳播,即使用戶沒打補丁,我們的引擎沒檢出,但在文件落地時我們仍然能將這類惡意程序報出,多層防禦使我們有一個很高的攔截成功率。
到 2016 年,這個木馬已經開始在國內大範圍傳播了,很多普通用戶計算機因爲訪問掛馬網頁也造成感染。我們在今年 8 月開始推出“360 反勒索”服務,給用戶承諾,開啓這個服務後,如果正常開啓我們的防護功能,仍然被敲詐者木馬感染的話,我們幫用戶支付贖金解密文檔。
這個服務剛開的時候,我們壓力還是很大的,當時一個比特幣 4000 多人民幣(現在已經漲到 5000 多了),我們承諾給用戶最多賠付 3 個比特幣,也就是 1.2 萬。當時一天對這個木馬有 1 萬多次的攔截,如果沒防住,可能一天就得賠出去幾十萬上百萬去。我們陸續開始收到一批批反饋,結果發現中招用戶很大一部分是裸奔用戶,一直認爲殺毒軟件無用,平時機器都是裸奔狀態,結果中招了,後悔莫及。
也有用戶給我們提了不少建議,比如前不久有一位用戶說:“那個木馬確實攔截了,但是沒看出來我們攔截的這玩意會加密他的文件”,所以他就給放了。用戶給我們的反饋,也幫我們完善了產品,保護了更多用戶不受傷害。
只要這類攻擊仍然有利可圖,這些攻擊者就會繼續對抗下去,我們和他們的攻防戰爭就不會停。
二、你長了一張被勒索木馬敲詐的臉
1.勒索木馬有針對特定國家感染嗎?國內和國外誕生的勒索木馬有什麼不一樣?
王亮:有部分勒索木馬是針對特定國家的,比如, Cerber 會避開俄語國家,XTBL主要針對中日韓。國內和國外的勒索木馬很多是使用相同的技術手段,只是在傳播方式和渠道上有所不同。不過國內出現過一些比較“本土化”的勒索木馬屬於黑客新人練手的作品,可能會顯得比較另類,有些甚至留下QQ號敲詐Q幣,這些木馬很多並沒有使用規範的加密方式,很大一部分可以通過技術手段破解。
比如,這款敲詐者就將密鑰保存到了本地,詳情請見:《分享一款失敗的國產加密勒索軟件》
這裏還有一個 php 編寫的敲詐者,爲了能夠正常執行,本地還帶了一個 php 的執行器,但是在加密上其實只是進行了異或操作,留給用戶的信息謊稱使用的 RSA 結合 AES 加密,詳情請見:《用世界上最好的編程語言寫成的敲詐者木馬》。
2.勒索木馬到底是怎麼瞄上受害者,又成功潛入受害者的電腦、手機……的?真的有人長着一張受害者的臉嗎?
王亮:勒索木馬主要的傳播途徑有兩種:一類是通過網頁掛馬,這類木馬屬於撒網抓魚式的傳播,並沒有特定的針對性,這類受害用戶主要是裸奔用戶,常年裸奔自認爲很安全,哪成想一不留神打開一個網頁甚至什麼都沒做就中招了。而另一類則是通過郵件傳播,這類傳播方式的針對性較強,主要瞄準公司企業,各類單位和院校,他們最大的特點是電腦中的文檔往往不是個人文檔,而是公司文檔。這樣文檔一旦被加密,其損失往往不是個人能夠承擔的,無論是員工爲了保住飯碗還是公司爲了保住業務,都會更傾向於交付贖金減少損失。
另外,有別於以上兩種途徑,最近第三種傳播途徑又逐漸形成趨勢——服務器入侵。黑客通過一些技術手段進入服務器,然後加密服務器上的文檔和程序,使服務器的擁有者遭受巨大的損失,這類傳播途徑針對的情況與郵件傳播類似,最終目的都是給公司業務的運轉製造破壞,迫使公司爲了止損而不得不交付贖金。
3.可以圖文詳解一下他們的加密技術嗎?
王亮:一般來說,敲詐者的加密流程如下:
1. 生成一組隨機數,用於文件加密的密鑰。
2. 使用這組隨機數做爲密鑰,加密文件。
3. 通過非對稱加密,加密這組隨機數,並保存,解密時使用。
4. 保存使用的非對稱加密密鑰相關信息,以備解密時覈對使用。
敲詐者對文件的加密強度,很大程度上就是其使用加密算法的“正確程度”。
敲詐者木馬常犯的幾個錯誤有:
1. 隨機數生成不隨機,我們就可以繞過整個繁瑣的過程,直接對文件解密。
2. 錯誤的存儲密鑰和 hash 值,依靠這些錯誤存儲的hash值,我們可以加快破解流程到一個可接受的範圍內。
3. 錯誤的套用加密算法和保存數據。這也是一個很常見的問題,比如使用RSA時,有木馬將p和q直接存儲到了本地,造成 RSA 的安全性喪失。
4. 文件操作是否合理。比如有木馬直接通過寫入一個新文件,刪除老文件的方法,進行加密。此時通過文件恢復工具,能夠恢復部分文件。
以最近捕獲的“ XTBL ”樣本爲例進行分析,解釋一下這個過程。和大部分敲詐者木馬相似,“ XTBL ”敲詐者木馬解密數據段的數據,創建本進程另一實例作爲“傀儡”進程進行進程替換,以達到運行 shellcode 的目的。程序主要由五大功能模塊組成。包含 API 字符串的解密及地址獲取,啓動項的添加,刪除卷影,發送服務器信息以及加密文件。
五大功能模塊
API 名稱加密與動態獲取地址,是爲了對抗殺毒引擎的查殺,對於純靜態引擎來說,純 shellcode 的惡意代碼就是一個黑盒,這樣可以多到一定程度的免殺。
加密前寫入啓動項,是爲了防止加密過程中關機,下次開機後可以繼續加密,如果加密完成,這個啓動項會被刪除。
在進行加密之前,程序會刪除卷影備份。防止用戶通過系統恢復來恢復數據。
值得一提的是,“ XTBL ”敲詐者使用管道來傳遞命令行,這和“ Ceber ”系列敲詐者使用方法相同,而通過“ mode con select=1251 ”命令行設置 MS-DOS 顯示爲西里爾語可能與作者來自俄羅斯有關。
完成以上準備工作之後,程序產生兩組密鑰塊,其中一組用於本地文件加密,另一組用於網絡共享資源文件加密。
產生兩組密鑰
密鑰塊大小爲 184 字節,前 32 字節存放 RC4 加密後的隨機數密鑰,該密鑰用於之後加密文檔。爲了加強隨機數的隨機性,程序以系統時間作種生成隨機數作爲循環次數,每次異或地址 0x4326F0 的值與系統時間後求其 SHA-1 值,並將最終所得隨機數經 RC4 加密得到密鑰。
產生RC4加密的隨機數密鑰
密鑰塊第 33 字節起存放系統序列號,用作服務器的唯一標識符。之後的 128 字節存放 RSA 加密後的隨機數密鑰,而 RSA 公鑰的 SHA-1 值則存放在最末端的 20 字節中。
密鑰塊生成過程
密鑰塊分佈圖
密鑰塊產生之後,程序會將密鑰塊中部分內容以及其他系統信息以 POST 的方式發送至黑客的服務器上。每個字段的標識及參數值如下表所示。
發送的數據
除了在加密文件之前發送數據,在加密完成後也會再次向黑客服務器發送數據,兩者用函數最後一個參數作區別,當最後一個參數爲 0 時表示即將進行加密,爲 1 時表示加密完成,參數不同帶來的結果是 POST 數據的目的地址不同。
兩次發送數據
之後程序開始進行加密,由兩個線程完成加密工作,其中一個線程枚舉網絡資源並對獲取的共享文件進行加密,另一個線程加密本地文件。
枚舉網絡資源並加密
加密本地文件的線程中,通過枚舉磁盤中的文件並判斷文件後綴來確定需要加密的文件路徑,完成文件路徑的確認後,程序開啓四個子線程進行加密。由於父線程負責傳遞文件路徑給子線程以及開啓子線程進行加密,如果只創建一個子線程進行加密,當子線程由於某些原因無法返回時,父線程將無法繼續執行下去,這會導致父線程無法傳遞下一個文件路徑並且無法再創建新的子線程。而開啓四個子線程進行加密時,只需保證其中一個線程正常返回即可繼續下一輪加密。
開啓四個線程進行加密
加密的第一步是判斷文件大小。當文件大小大於 0x180000 字節時,直接對文件內容進行加密,並將文件重命名;當文件大小小於等於 0x180000 字節時,則創建新文件並加密舊文件內容後寫入新文件,之後刪除舊文件。
根據文件大小選擇加密方案
之後程序使用之前生成的隨機數初始化 AES 密鑰,加密文件內容。加密完成後需要在文件尾部寫入信息,以供黑客解密文件時使用。
對於大小小於等於 0x180000 字節的文件,按照如下圖所示的方法在文件尾部寫入信息。
文件大小小於0x180000字節時寫入文件頭的數據
對於文件大小大於 0x180000 字節的文件,按照如下圖所示的方法在文件尾部寫入數據。
文件大小小於0x180000字節時寫入文件頭的數據
至此,加密完成。被加密的文件類型包括 exe,dll,doc,docx,pdf,xls,xlsx,ppt,zip,rar,bz2,7z,dbf,1cd,jpg 。
如果要解密被加密的文件的話,我們需要獲取到隨機生成的文件加密密鑰,而這個文件加密密鑰被 RSA 加密之後,保存到了文件頭中,只有獲取到 RSA 的私鑰,解開這段數據,才能實現解密,這是一個大致的加密流程,細節還有很多。
三、如何對抗勒索木馬
1.你們在技術上有什麼對抗方法?
王亮:對抗主要有四個方面:源頭,木馬落地,木馬行爲,和事後處理。
1) 源頭方面:我們對來自於網頁漏洞的掛馬有網盾防護,對於郵件附件,我們的下載安全也能有效保護,力爭從源頭直接阻斷木馬的入侵。
2) 木馬落地:這一步主要依靠我們的各類引擎,我們的雲 QVM 、 AVE 有對敲詐者病毒的專門學習,能夠有效檢出市面上現存的各類變種。
3) 木馬行爲:我們在主動防禦系統中加入了對文檔加密類程序的行爲特徵分析,一旦發現行爲符合勒索木馬加密文件的行爲,便會攔截這一行爲並通知用戶查殺。
4) 事後處理:我們現在還推出了針對這種勒索木馬的“反勒索服務”,如果用戶在 360 的安全防護之下依然中了勒索木馬,我們協助用戶恢復文檔,甚至不排除幫用戶交付贖金。最大限度的降低用戶損失。我們有專門的團隊分析這類木馬,對能夠解密的木馬,我們也開發瞭解密工具,用戶無需支付贖金就能夠解密文件。
2.中了勒索木馬後,到底會帶來什麼危害?
王亮:對於每個人來說,計算機中的文檔數據價值各有不同。以實際收到的用戶反饋案例看,我們接到的一些個人用戶受到的損失如下:
曾經有一位老教授,編寫了多年的文稿,大量的資料都被加密,那是他十幾年的心血。而當時敲詐者留下的聯繫方式已經失效,想支付贖金解密都沒有辦法。最後還好在另外一臺計算機中有幾個月前的一部分備份,才減小了一部分損失。
還有一個案例是有個大四學生,而被加密的文檔包括他辛辛苦苦完成的論文——如果無法解密甚至可能影響到該學生的畢業。
對於企業,影響可能就更大了,曾經有過一個影樓的攝影師電腦中毒了,有很多客戶的照片還沒有交付照片都被加密了,無法解密的話直接損失就有數萬元之多,還有可能是影樓信譽掃地,以及自己丟了工作。
還有一家律師事務所,因爲一位員工的計算機中招,除了這位員工計算機文件被加密外,還將數臺文件共享服務器中文檔加密,直接造成公司業務停擺。
很多時候這個損失已經無法用錢來衡量了,我們之前接到一位用戶,敲詐者將其計算機中大量照片加密,用戶不願意給攻擊者支付贖金,不願意助長這類行爲,但自己多年來拍攝的照片全部損壞,甚是心痛。
3.中招勒索木馬之後怎麼辦?文件恢復有可能嗎?有補救和解決辦法嗎?
王亮:中招之後,可以先使用殺毒軟件對木馬滅活,防止其繼續感染其它文件或系統。對於部分敲詐木馬,目前有解密工具,比如 TeslaCrypt 和一些國產家族,我們網站上有相應的工具和介紹,可以關注我們的網站。
對於大多數主流敲詐者木馬,目前都採用了比較規範的非對稱結合對稱的加密手段,這直接導致了在沒有拿到黑客手中的私鑰的前提下,解密文件幾乎不可能。只能支付贖金或者等待黑客放出手中私鑰,而支付贖金操作本身也比較複雜,同時也帶有一定風險。所以此類木馬我們更推薦對重要文檔事前做好備份工作,以減少損失。
4.木馬背後的黑產可以說說嗎?還有代理木馬,掛馬之類的。
王亮:目前國內的黑產,已經形成了一些分工明確的產業化形態。有專門負責製作木馬的,有負責免殺的,有進行傳播的,還有負責贓款轉移洗錢的。這些可能是多個成員組成的一個團伙,也可能是互不相識單獨行動的幾夥人共同完成。
從之前破獲的案件中看,很大一部分木馬開發者是一些IT人員兼職或者在校學生所爲,他們利用手上掌握的技術,幫助黑產,賺外快。很多這樣的人覺得,在自己電腦上寫寫程序,也沒傳播,也沒騙人,自認這樣並不違法,在被警察抓獲時才後悔惋惜。
木馬的傳播者,很多是利用渠道商,平臺商管理不嚴,甚至有很多根本沒有審覈管理(只是條文中寫了一條,本平臺禁止傳播木馬病毒)的漏洞,利用一些平臺傳播。比如最近多次爆發的廣告位掛馬攻擊,就是利用廣告聯盟審覈不嚴的漏洞(也有一些根本沒能力審覈,我們之前通報過幾家廣告商,結果對方查了一圈之後沒找到哪裏出問題),在廣告資源中插入帶掛馬攻擊的內容,當客戶端訪問這些資源時,如果所使用的軟件存在漏洞那麼就會造成產品被掛馬攻擊。而廣告展示平臺根本沒有審覈廣告聯盟的廣告,直接插入頁面播放。結果經常會出現多家大站被掛馬,動輒每天幾十萬上百萬的木馬傳播量。
木馬傳播中,還有一些屬於“代理木馬”,從別人手裏購買現有的成品木馬,並自行傳播獲利,這裏面經常能看到黑喫黑的現象存在。就比如之前 TeslaCrypt ,內部就有多級密鑰。作者將這個木馬在黑市出售,除了給購買者的一套公私鑰體系之外,作者手裏還掌握一套密鑰,可以解開他出售木馬加密的文件。其內部還有分成,所有購買木馬傳播收到的贓款也要分成給作者。
5.勒索木馬未來的苗頭是怎樣?比如,技術會有什麼演進?植入會有更多途徑?
王亮:勒索軟件的慣用伎倆是破壞信息系統,根本目的是敲詐財物。實際上,無論是加密文件、加密磁盤、還是阻止系統正常運行,都是不法分子的手段,拿到錢纔是王道。從目前的情況來看,勒索軟件破壞信息系統的手段可能會越來越暴力直接,攻擊的設備也不侷限於個人電腦,各類移動設備,公司的服務器目前都已經成爲了此類木馬攻擊的目標,未來聯網的設備越來越豐富,各類物聯網設備也很有可能成爲此類木馬的下一個目標。但不論形式方法如何變,其目的是不變的,勒索財物獲取利益。
6.如何完美躲避敲詐木馬,對大家有什麼安全建議?
王亮:木馬攻防是一個對抗的過程,木馬的防禦手段和攻擊手法在對抗過程中是不斷更新的,不存在一勞永逸的完美策略。但有一些安全建議,可以大大提高攻擊的門檻,減小被木馬攻擊的損失:
其一,及時更新系統和軟件,各類安全補丁需要及時打上,提升漏洞的防護能力。
其二,提升安全意識,不輕易打開陌生人發來的郵件附件,聊天軟件傳過來的各類文件。
其三,安裝安全防護軟件並及時更新,不隨意退出安全軟件、關閉防護功能,對安全軟件提升的各類風險行爲不要輕易放行。
其四,也是最主要的——重要文檔數據要多做備份,存放在不同設備中。一旦文件損壞或丟失,也不至於有太大的損失。
觀衆提問:如何抓取木馬代碼?
王亮:對於如何獲取樣本,我們主要有下面幾個途徑:
一是引擎獲取,主要還是依靠我們自身的雲體系,通過我們全網的客戶端來收集樣本。
二是交換樣本,這個和其他安全廠商一樣,我們互通有無,豐富我們自己的樣本庫。
三是用戶舉報,這類樣本雖然少,但精確度往往會比較高,也能聯繫到用戶進行進一步的瞭解。對我們瞭解木馬入侵用戶機器的方法有很大的幫助。
還有一些沙箱類的自動分析平臺,也會幫我們產出大量樣本。對於木馬代碼的定位,主要有以下幾種: QVM 自動學習機制,由機器深度學習自動提取惡意代碼,對樣本做分類檢出;通過 AVE 引擎,增加一些啓發特徵抓取一些特定樣本;依靠我們的主防體系,提取木馬行爲,不單獨針對代碼,對抗免殺。
雷鋒網原創文章,轉載請註明來源出處