从《黑客入侵21家企业勒索5.01个比特币，被判5-8年有期徒...

Delina

原文链接：从《黑客入侵21家企业勒索5.01个比特币，被判5-8年有期徒刑》说起
日看到某公众号发了一篇文章：《黑客入侵21家企业勒索5.01个比特币：三人各判八年、五年、五年三个月有期徒刑》

​
事实上，该案件发生在2020年，而今年4月进行了宣判。
根据新闻报道：
“净网2020”专项行动中，南通、启东两级公安机关联手，成功侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件，抓获巨某、谢某、谭某等3名犯罪嫌疑人，其中巨某系多个比特币勒索病毒的制作者。
​
​

印象中这是国内第二起因为传播勒索病毒而被抓获和判刑的例子（可能存在记漏的情况，欢迎指正），同时这也是全国首个因为传播比特币勒索病毒而获刑的案例。真是大快人心啊。

回顾下第一起案例：发生在2018年12月1日，有用户报告遇上了电脑感染病毒，并且遭到了勒索：
​
随后在腾讯守护者计划安全团队的支持下，公安机关在 12 月 5 日，就将被告人罗某抓获。最终在2019年9月3日被东莞第三人民法院判处有期徒刑6年6个月。
​
​
当然第一起案例跟第二起案例存在很大的差异：第一起案例使用微信支付为勒索手段，非常容易被定位，因此被抓获不足为奇。但是使用比特币进行勒索则很难追踪和定位，因此国内乃至全球被抓获的比特币勒索病毒制作和传播者的案例寥寥；同时比特币勒索病毒也是目前最为主流的勒索病毒形态。

此外，最近一段时间，美国当地最大燃油管道运营商Colonial Pipeline、爱尔兰医疗系统、国内某房企都遭到勒索病毒攻击，这也再次把勒索病毒推向公众视野，成为一个热点话题。

顺着这个案例，以及最近的热点事件，也正好跟大家谈谈勒索病毒到底是怎么一回事。本文主要从以下方面来聊聊勒索病毒：
1、勒索病毒介绍
2、勒索病毒技术及传播分析
3、勒索病毒的产业形态
4、勒索病毒的防御方案
5、勒索病毒的解决之道


01
勒索病毒介绍


所谓勒索病毒，是一种让你无法正常使用你的计算机或文档或其他应用数据文件（如数据库），并且只有支付赎金才能解除计算机非正常状态的病毒。
勒索病毒的种类繁多，主要包括：

• 加密文档
  
• 锁定屏幕
  
• 锁定硬盘
  
• 加开机密码
  
• 加开机引导密码
  
• 加密数据库
  
• ......
  
  

如：
硬盘加密：
​
​
锁屏类勒索：
​
​
​
加开机密码：
​
加开机引导密码（MBRLocker）：
​
文档类加密：
​
​
数据库加密：
​
手机平台的勒索：
​
​
目前已知的最早的勒索病毒出现在1989年，为"艾滋病信息木马"，而在2005年，出现国内首款勒索病毒"Redplus"。2013年，开始出现勒索比特币的勒索病毒CryptoLocker，从此进入新的勒索病毒时代。
目前，加密文档类，并且使用虚拟货币（比特币）来支付赎金的勒索病毒是最为主流的勒索病毒形态。
02

勒索病毒技术及传播分析


本文主要介绍文档加密类勒索病毒的技术手段。很多安全公司以及安全研究员会经常更新最主流的勒索病毒的技术报告，本文不再从技术细节上来进行探讨。而事实上纯勒索病毒类的技术细节的分析报告，对真正的受害者的指导意义并不大，因为目前主流的勒索病毒家族均无法解密。而真正有指导意义的为还原该攻击的攻击手段，以及如果去进行针对性的加固。

目前勒索病毒的加密手段目前已经非常成熟，勒索病毒制作者也完全没必要再对加密算法这块进行修改。简而言之，目前勒索病毒的加密算法主要为一个非对称加密算法（如RSA2048）加一个对称加密算法（如DES），其中非对称加密算法用来生成密钥，对称加密算法用来加密文件。主要流程如下：
​
此外，某些攻击者也会使用现成的正规的加密工具（如BestCrypt）来进行文件加密的动作，使用正规的加密工具来加密，能降低黑客自己的开发成本，同时也更方便逃避安全软件查杀。   
​

而从传播手段上来看，目前的攻击和传播手段，跟早期的相比已经发生了不少的变化。
早前的勒索病毒，由于攻击对象主要是C端用户，所以主要采用广撒网的攻击手段，包括钓鱼攻击、挂马、捆绑、蠕虫等。
​

此后对象慢慢转变为一些高价值人群，如律师、财务等。攻击手段包括鱼叉攻击、水坑、供应链等。而后更多的针对服务器进行攻击，攻击手段包括漏洞、口令爆破等。
目前，勒索病毒攻击愈来愈APT化，而更多的APT攻击团伙也都加入了勒索病毒攻击行列。简而言之，目前勒索病毒攻击已经没有固定的攻击模板，攻击者会针对不同的攻击对象，制定不同的攻击策略和攻击技术。

除此，勒索病毒针对的攻击平台并不仅限windows，linux、android等都可能遭受勒索病毒攻击。因此linux服务器及云上的主机也不能掉以轻心。

03
勒索病毒的产业形态


勒索病毒产业目前具有一个成熟和庞大的产业链。各链条的从业者各司其职。
主要角色包括以下几类：
​
1、勒索病毒制作者
主要负责勒索病毒编写制作，通过在“暗网”或其它地下平台贩卖病毒代码，接受病毒定制，或出售病毒生成器的方式，与勒索者进行合作拿取分成。
目前的商业模式已经非常成熟。事实上从2017年就开始就出现了RAAS（Ransomware-as-a-Service）的商业模式。RaaS 商业模式的兴起使得从业者无需任何专业技术知识就可以毫不费力地发起勒索病毒的攻击活动，这也是导致勒索病毒市场泛滥的主要原因。
​

2、勒索者
从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通过自定义病毒勒索信息后得到自己的专属病毒，与勒索病毒作者进行收入分成。

3、传播渠道商
勒索病毒作者通过购买相关渠道进行勒索病毒的分发。而传播渠道商就帮助勒索者传播勒索病毒。

4、代理商
向受害者假称自己能够解密各勒索病毒加密的文件，并且是勒索者提出赎金的50%甚至更低，但实际上与勒索者进行合作，赚取差价。
为了证明该角色的存在，笔者也曾经在2018年做过相应的调研。调研的源头是因为当时某个公司被勒索病毒攻击，该公司通过百度搜索，找到了某个服务商，成功的解密了被加密的文档，同时还具有正规的商业合同：
​
于是我们也通过搜索引擎进行搜索，发现了大量的解密服务商：
​
查看官网内容，可以发现支持各种勒索病毒家族的解密，包括当时最为主流的家族：
​
为了证明该服务商是否真正具有解密能力，伪造受害者，跟代理进行联系：
​

​
结果证明，确实可以进行解决。但事实上，根据上面勒索病毒的分析可以知道，绝大部分的勒索病毒都无法解决，除非有私钥，而私钥往往只有攻击者才具有。
此外还跟攻击者进行了联系，更加确认了代理角色的存在：
​
因此我们基本可以断定，该类解密公司，实际上就是勒索者的代理，利用国内用户不方便买数字货币以及相对更加便宜的价格，吸引受害者联系解密，在此其间赚取差价。根据某解密公司官网上公开的记录，一家解密公司靠做勒索中间代理一个月收入可达300W人民币。

事实上，该角色的出现，在某种意义上存在一定的价值：
如很多个人或者企业在被勒索后，即便想进行赎金的支付，但由于不懂如何购买比特币或其他的数字货币从而束手无策。而此时通过代理可以方便的进行交易。此外，通过代理可以争取到相应的折扣。如原始攻击者勒索1比特币，通过代理，可能仅需0.5比特币甚至更低就可以。


04
勒索病毒的防御方案


从解决方案这个维度来讲，不同的人员的需求是存在差异的。这里主要针对甲方和乙方的角度来进行解析。当然，也存在少个人用户，而个人用户，极少会考虑支付赎金，除非计算机里的资料价值巨大。一般会通过重装系统、更换杀毒软件的方式来解决。

从甲方的角度来看，中勒索病毒后，最优先的任务是怎么解密，从而恢复企业的服务和正常的工作运作，无论是通过支付赎金还是其他的技术手段；其次会考虑怎么防止再次被勒索病毒攻击，以及后续的防御、加固、运营等手段；
而乙方更多的是考虑，怎么建立一个针对勒索病毒的安全体系，包括狩猎、检出、防御、解密、产品方案、分析溯源等等，一整套的完整的解决方案。

本文主要从乙方的角度来谈。事实上甲方所需要的答案也已经包含在内。

1、勒索病毒的发现
针对已知家族的勒索病毒，安全研究员会提取相应的特征（包括文件的二进制特征、特有的行为特征等）来进行样本的狩猎。
而针对未知的勒索病毒，比较通用的狩猎手段为：在沙箱或蜜罐中，摆放一些诱饵文件，通过监测诱饵文件是否被修改（如hash对比），来判断是否遭受勒索病毒攻击，从而捕获修改诱饵文件的恶意文件。

2、勒索病毒的检出
安全研究员提取相应的勒索病毒特征来检出。当然很多启发式引擎和机器学习引擎也能检出部分勒索病毒样本（当然这部分检测可能并非是针对勒索病毒的，无太好的可解释性，可能会给后续的自动化分析，如soar、社团分析等带来一定的困扰）。
但实际上，勒索病毒种类众多，文件类型也众多（PE、JScript等），同时存在大量的免杀和对抗。而且功能跟正常的文档加密软件在api序列等特征上差距不会太大，因此想在检出这层解决勒索病毒，并不是一个现实的问题。

3、勒索病毒的防御
防御分为两部分：针对传播链的防御和针对勒索行为本身的防御。
1）传播链
事实上该部分的防御，并非针对勒索病毒，任何的网络攻击应都在该防御范围。因为，目前的勒索病毒攻击越来越APT化，也没有固定的攻击模板，甚至某些团伙使用0day进行攻击，因此想百分百防御并不容易。仅从以下角度给一些参考：

• 异常登录
  
• 口令爆破
  
• 漏洞（0day/Nday）
  
• 钓鱼邮件
  
• U盘准入
  
• 其他的可能的入侵行为
  
  

尽量的从传播的源头，来防御或者阻止进一步的传播和扩散。

2）勒索行为本身
勒索病毒本身的行为比较简单，如仅有文件操作。但是部分勒索病毒也会有一些其他的操作的操作，如删除卷影等。

• 删除卷影操作防御，但是前提是先删除卷影，再进行文件加密，该防御才有效；否则即便拦截删除卷影，文档也已经加密了；
  
• 文件加密操作：大部分勒索病毒会在短时间内加密文档，则可以使用单位时间内，某进程操作的文档数量大于某个阀值来进行拦截。但是也存在一定的缺陷，如容易bypass（多进程操作、每操作一个sleep一段时间），而且起始加密的文档就无法进行防御；
  
• 非可信文件无法操作文档。比较有效，但是运营代价比较大，如收集和盘点可信文件，否则会导致大量的误报。
  
• 后缀防御。该方案仅针对某些勒索软件会修改一些特定的文档后缀，如当年的12生肖后缀。若不修改后缀名，或者使用一些通用的后缀，如mp3、txt等，就会导致误拦。
  
  

4、勒索病毒的备份和还原
如上述所说，再强的检出能力和防御方案，都有可能被突破。那么百分百以来检出和防御，并不现实。因此还需要一个兜底的方案：备份。
备份的核心为：hook修改文档行为，在修改的同时，把文件备份到安全的地方。并且记录对应的信息，如原始文件名，原始路径等等。
同时还需要保证，备份到的地方是安全的，不会被篡改的。如用驱动进行自保护，禁止任务的文件操作。
这样，被发现加密后，可以从备份的区域把加密前的文档还原出来。
该方案为一个兜底方案，当然实践过程中需要解决一些问题，如备份的性能问题，哪些文件操作需要备份需要筛选（如让用户添加要保护的文件类型，如文件大小划分是否备份等等）

5、勒索病毒的解密
至于解密，其实大家还是不要抱太大的希望。记住：目前主流的勒索病毒，绝大部分（>99%）都是无法解密的。要解密，仅有几下几种场景：
1）勒索病毒的作者是菜鸟，使用的加密算法为非密码学或者存在算法漏洞；
2）勒索病毒作者大发慈悲，发布加密的私钥。如当年WannaRen勒索病毒作者主动公开RSA私钥；
3）勒索病毒服务器被警察扫荡，从而获取到私钥。曾经有欧洲国际刑警捣毁了某勒索病毒服务器，公开了私钥；
4）算法漏洞，如当年的wanncry，xp系统若中招后不重启，可以在内存中提取密钥，从而解密；
5）数据恢复。场景也有很大的局限性。如某些勒索病毒会先复制原始文件进行加密，再删除原始文件。

除此之外，想靠技术手段来解密，几乎不可能。而且无论是爆破，还是等密钥的公布，先不说可能性很小，但是即便等到有一天密钥的公布，可能已经经过很长的时间，但是企业的业务等不了这么多时间。


05
勒索病毒的解决之道


针对勒索病毒，大量的安全从业者和安全厂商都要呼吁：要向勒索病毒说不，不要支付赎金。
​
但大部分时候，企业根本等不起，也耗不起。最后只能乖乖的妥协。如前阵子被勒索病毒攻击的美国石油管道运营商Colonial Pipeline，乖乖的支付了500万美金的赎金，才得以恢复业务。
​
因此，我们只能做好如下事情：
1、勤打补丁；
2、关闭不必要的端口；
3、权限最小化；
4、培养安全意识；
5、定期的红蓝攻防演练；
6、建立完善的安全运营体系和安全防御体系；
7、定期的数据、系统备份，并且是多个备份。

但是，安全毕竟是个整体，根据木桶原理，被APT攻击攻破可能仅是时间成本（如果目标重要，攻击者势必会动用一切手段）。
转存失败[url=]重新上传[/url][url=]取消[/url]​
因此，依靠某一软安全软件，或者某一些安全软件组合，并不一定能解决问题。只能完善安全意识，建立完善的安全运营体系，才能尽量的提升攻击者攻击的难度，为企业争取更多的时间。

最后来谈谈目前火热的零信任。那么零信任真的是针对勒索病毒甚至是网络攻击的最终解药么？
事实上，零信任并不是一种具体的技术，零信任是一种安全架构理念和方案。使用零信任方案，可以很大程度上阻止网络攻击、横向移动等，从而保护业务等免受勒索病毒及其他的网络攻击。
1）SDP：可以让业务"隐身"，减少被攻击面；
2）身份验证策略：多因子的验证、rbac/abac等的权限控制
3）微隔离：避免横向移动，导致扩大攻击影响面；
4）持续验证：针对设备的持续信任过程，尽可能的检测和防御勒索病毒或者其他的攻击；
5）软件的可靠性：使用安全的软件
6）沙盘：数据文件在沙盘执行，即防止数据泄漏，也防止被加密。

但是在单点上，同样存在被单点突破的问题。
关于什么是零信任，零信任的技术方案、零信任怎么落地等等问题，我们下一篇再来具体的探讨，尽请期待。