【青松資訊】網絡攻防謀略之勒索軟件淺析

網絡攻防從來是一場沒有硝煙的戰爭，攻防雙方你來我往，奇技巧謀，各擅勝場。而細究網絡攻擊案例，不難發現其中潛藏不少兵家謀略。

 

A

暗 渡 陳 倉

暗渡陳倉是著名兵書《三十六計》中第十九計，全稱爲“明修棧道，暗渡陳倉”，出自楚漢相爭時韓信攻咸陽的典故，常被形容用一些公開不被懷疑的行爲來掩藏背後的真實目的。

 

某種意義上，2017年上半年造成巨大恐慌的勒索軟件 WannaCry 和 ExPetr 便深得此計精髓。

 

 

表面上看來，WannaCry和ExPetr 就是兩個單純的勒索軟件，可是真的如此麼？——未必。

 

這兩個勒索軟件由兩個不同的組織發佈傳播，除了同樣造成驚人的影響力外，這兩次攻擊還有個共同點便是對經濟收益的興趣缺乏。

 

結合之前造成重大影響的勒索軟件來看，無論是曾經造成烏克蘭電網停擺的BlackEnergy、明顯帶有政治動機的索尼影業攻擊事件中的主角Destover，還是在主要在中東地區擴散的Shamoon、StonedDrill，首先，它們都自帶數據擦除功能，其次，這些攻擊的發動時間、作用地域都和同期的一些大型政治事件相吻合。

 

通過勒索攻擊掩蓋真正的政治意圖已成爲一項不斷髮展並日趨成熟的戰術策略。於是我們猜想，WannaCry和ExPetr 是否也是如此。

 

WannaCry攻擊的部署

 

事實上，WannaCry遠在其廣爲人知之前便開始實施部署。我們掌握了一些證據表明，WannaCry部署工作的開展早於公開討論的時間。

 

早於3月14日，攻擊者便已通過網絡釣魚來感染目標受害者。網絡釣魚會包含一個指向位於公共網絡託管服務的文件的鏈接。一旦點擊鏈接，會下載一個包含“Job Inquiry - Resume 2017.exe”的壓縮包“Resume.zip”，而受害者通常會以爲這是一個職場應用。

 

此可執行文件保留了修改後的Adobe pdf文件圖標，在釋放衆多惡意程序（造成安裝WannaCry的釋放器及下載器）的同時，立即打開作爲誘餌的應用。以下是是誘餌之一，這可能是一個安全的文件，儘管我們並未在網上找到它。

 

 

大多數針對目標易於入侵（可能缺乏可靠的安全防護策略），位置遍佈全球，來歷各異。

 

而惡意攻擊組織在接下來的兩個月裏，開始在這些目標的機器上部署第一版WannaCry勒索軟件。沒有任何跡象表明，他們有在這個過程中試圖獲取比特幣。

 

利用ETERNALBLUE的DOUBLEPULSAR後門代碼及嵌入在勒索軟件中的kill switch似乎也更進一步證明了攻擊者並沒有把精力集中在如何收集比特幣上。

 

 

有一段時間，攻擊者發出了一系列消息，鼓勵用戶向他們的錢包支付比特幣，這更像是一種"此地無銀三百兩"的心虛之舉。

 

這兩個月的攻擊活動缺少經濟收益，某種程度，表明了這些攻擊者真正在意的是那些小心隱藏在勒索活動表面下的目的。

 

ExPetr部署

 

ExPetr部署工作極富技術含量。該病毒針對目標是烏克蘭政府的主要辦公軟件供應商。攻擊者還侵入了UA的新聞網站，以便讓攻擊目標羣體不侷限於MEDOC網絡範圍內。

 

一旦侵入MEDoc網絡，他們就可以訪問軟件更新組件，並以此進一步在目標客戶組織中竊取憑據。侵入事件發生在4月份，而大規模的磁盤擦除則發生在很晚以後。

 

此外，並不是所有接收到Telebot部署嘗試的系統在之後都會被部署ExPetr。同樣，並非所有接受ExPetr部署嘗試的系統之前曾被部署過Telebot。

 

奇怪的是，採用啓動蠕蟲的ExPetr有着與前面提到的WannaCry相似的延遲發動。

 

攻擊者發佈了WMI / PsExec / ETERNALBLUE / ETERNALROMANCE武器化的ExPetr版本。從Wannacry的不斷升級中，可以看到，即使對Windows系統進行了修補，攻擊者也可竊取用於有效橫向同級訪問的憑證，並且可以擦除/隱藏目標系統。

 

這點也意味着，攻擊者將目標執着的鎖定在烏克蘭相關目標網絡。蠕蟲組件也不會在目標網絡之外生成隨機網絡連接。該變體包括有由本地win64和win32 MSVC編譯的Mimikatz啓動組件，該組件會釋放到磁盤中運行，用於竊取密碼，最終獲得最高權限，以便於更好的進行傳播。

 

除了上述共同點外，以上案例還有個特點，就是蠕蟲最開始侵入時，並非利用0day漏洞，更多是因爲設備本身的脆弱。

 

無獨有偶，最近關於醫療機構網絡安全的一份研究顯示，設備的脆弱是重要挑戰之一。解決方案具體體現在實際層面就是制定程序，安全計劃，實施新的安全技術以及不斷培養員工安全意識方面。

 

如今電子郵件攻擊（以網絡釣魚和勒索軟件威脅的形式）數量不斷攀升。網在未來Verizon的“ 2017年數據泄露事件報告”還強調了醫療保健行業內勒索軟件攻擊的升級，而其中最主要的威脅來源出自內部，據統計，其中68％的威脅是內部威脅，而32％來自外部來源。

 

通過調查還發現，內部人員和第三方供應商已成爲三分之二安全專業人士的首要擔憂之處。63％的受訪者表示，員工的錯誤和數據處理不當是他們面臨的最大挑戰。69%的受訪者也表示，第三方供應商在過去一年也是網絡安全的重要不穩定因素之一。

 

小結

 

過去的一年，安全形勢很難令人樂觀。但是在研究中，我們發現這些安全隱患大部分並不是因爲什麼0day漏洞，更多是出於安全意識的欠缺，導致設備系統脆弱。所有安全響應計劃裏，最重要的始終是準備階段。

 

而如今隨着技術的不斷髮展，各種安全威脅不斷升級，與之相對的是成本的不斷降低，僅靠事後防治很難解決問題，更多的只能通過提前預設安全方案進行安全加固，進行事前防禦。

—  end　—

安全之道，青松知道