【青松资讯】网络攻防谋略之勒索软件浅析


网络攻防从来是一场没有硝烟的战争,攻防双方你来我往,奇技巧谋,各擅胜场。而细究网络攻击案例,不难发现其中潜藏不少兵家谋略。

 

A

暗 渡 陈 仓

暗渡陈仓是著名兵书《三十六计》中第十九计,全称为“明修栈道,暗渡陈仓”,出自楚汉相争时韩信攻咸阳的典故,常被形容用一些公开不被怀疑的行为来掩藏背后的真实目的。

 

某种意义上,2017年上半年造成巨大恐慌的勒索软件 WannaCry 和 ExPetr 便深得此计精髓。

 

 

表面上看来,WannaCry和ExPetr 就是两个单纯的勒索软件,可是真的如此么?——未必。

 

这两个勒索软件由两个不同的组织发布传播,除了同样造成惊人的影响力外,这两次攻击还有个共同点便是对经济收益的兴趣缺乏。

 

结合之前造成重大影响的勒索软件来看,无论是曾经造成乌克兰电网停摆的BlackEnergy、明显带有政治动机的索尼影业攻击事件中的主角Destover,还是在主要在中东地区扩散的Shamoon、StonedDrill,首先,它们都自带数据擦除功能,其次,这些攻击的发动时间、作用地域都和同期的一些大型政治事件相吻合。

 

通过勒索攻击掩盖真正的政治意图已成为一项不断发展并日趋成熟的战术策略。于是我们猜想,WannaCry和ExPetr 是否也是如此。

 

WannaCry攻击的部署

 

事实上,WannaCry远在其广为人知之前便开始实施部署。我们掌握了一些证据表明,WannaCry部署工作的开展早于公开讨论的时间。

 

早于3月14日,攻击者便已通过网络钓鱼来感染目标受害者。网络钓鱼会包含一个指向位于公共网络托管服务的文件的链接。一旦点击链接,会下载一个包含“Job Inquiry – Resume 2017.exe”的压缩包“Resume.zip”,而受害者通常会以为这是一个职场应用。

 

此可执行文件保留了修改后的Adobe pdf文件图标,在释放众多恶意程序(造成安装WannaCry的释放器及下载器)的同时,立即打开作为诱饵的应用。以下是是诱饵之一,这可能是一个安全的文件,尽管我们并未在网上找到它。

 

 

大多数针对目标易于入侵(可能缺乏可靠的安全防护策略),位置遍布全球,来历各异。

 

而恶意攻击组织在接下来的两个月里,开始在这些目标的机器上部署第一版WannaCry勒索软件。没有任何迹象表明,他们有在这个过程中试图获取比特币。

 

利用ETERNALBLUE的DOUBLEPULSAR后门代码及嵌入在勒索软件中的kill switch似乎也更进一步证明了攻击者并没有把精力集中在如何收集比特币上。

 

 

有一段时间,攻击者发出了一系列消息,鼓励用户向他们的钱包支付比特币,这更像是一种”此地无银三百两”的心虚之举。

 

这两个月的攻击活动缺少经济收益,某种程度,表明了这些攻击者真正在意的是那些小心隐藏在勒索活动表面下的目的。

 

ExPetr部署

 

ExPetr部署工作极富技术含量。该病毒针对目标是乌克兰政府的主要办公软件供应商。攻击者还侵入了UA的新闻网站,以便让攻击目标群体不局限于MEDOC网络范围内。

 

一旦侵入MEDoc网络,他们就可以访问软件更新组件,并以此进一步在目标客户组织中窃取凭据。侵入事件发生在4月份,而大规模的磁盘擦除则发生在很晚以后。

 

此外,并不是所有接收到Telebot部署尝试的系统在之后都会被部署ExPetr。同样,并非所有接受ExPetr部署尝试的系统之前曾被部署过Telebot。

 

奇怪的是,采用启动蠕虫的ExPetr有着与前面提到的WannaCry相似的延迟发动。

 

攻击者发布了WMI / PsExec / ETERNALBLUE / ETERNALROMANCE武器化的ExPetr版本。从Wannacry的不断升级中,可以看到,即使对Windows系统进行了修补,攻击者也可窃取用于有效横向同级访问的凭证,并且可以擦除/隐藏目标系统。

 

这点也意味着,攻击者将目标执着的锁定在乌克兰相关目标网络。蠕虫组件也不会在目标网络之外生成随机网络连接。该变体包括有由本地win64和win32 MSVC编译的Mimikatz启动组件,该组件会释放到磁盘中运行,用于窃取密码,最终获得最高权限,以便于更好的进行传播。

 

除了上述共同点外,以上案例还有个特点,就是蠕虫最开始侵入时,并非利用0day漏洞,更多是因为设备本身的脆弱。

 

无独有偶,最近关于医疗机构网络安全的一份研究显示,设备的脆弱是重要挑战之一。解决方案具体体现在实际层面就是制定程序,安全计划,实施新的安全技术以及不断培养员工安全意识方面。

 

如今电子邮件攻击(以网络钓鱼和勒索软件威胁的形式)数量不断攀升。网在未来Verizon的“ 2017年数据泄露事件报告”还强调了医疗保健行业内勒索软件攻击的升级,而其中最主要的威胁来源出自内部,据统计,其中68%的威胁是内部威胁,而32%来自外部来源。

 

通过调查还发现,内部人员和第三方供应商已成为三分之二安全专业人士的首要担忧之处。63%的受访者表示,员工的错误和数据处理不当是他们面临的最大挑战。69%的受访者也表示,第三方供应商在过去一年也是网络安全的重要不稳定因素之一。

 

小结

 

过去的一年,安全形势很难令人乐观。但是在研究中,我们发现这些安全隐患大部分并不是因为什么0day漏洞,更多是出于安全意识的欠缺,导致设备系统脆弱。所有安全响应计划里,最重要的始终是准备阶段。

 

而如今随着技术的不断发展,各种安全威胁不断升级,与之相对的是成本的不断降低,仅靠事后防治很难解决问题,更多的只能通过提前预设安全方案进行安全加固,进行事前防御。

—  end —

安全之道,青松知道