近日����,360企業(yè)安全旗下360終端安全實驗室發(fā)布《2018勒索病毒白皮書(政企篇)》,白皮書從“勒索病毒整體攻擊態(tài)勢”、“政企遭遇勒索攻擊分析”、“勒索病毒發(fā)展趨勢預(yù)測”及“勒索病毒應(yīng)急響應(yīng)指南”等四個章節(jié)對2018年勒索病毒進行了分析����,還匯總了2018年度的熱點勒索病毒事件����。
數(shù)據(jù)顯示�,2018年,全國共有430余萬臺計算機遭受勒索病毒攻擊���;攻擊以服務(wù)器定向攻擊為主����,輔以撒網(wǎng)式無差別攻擊手段;較常使用的攻擊手段是遠(yuǎn)程桌面弱口令暴力破解�����。2018年��,政府單位較容易遭到勒索病毒攻擊���,占被攻擊單位總數(shù)的21.0%��;金融終端較容易遭到勒索病毒攻擊���,占被攻擊終端總數(shù)的31.8%。在感染勒索病毒的政企單位中����,政府單位數(shù)量較多,占被感染單位總數(shù)的24.1%�;感染GlobeImposter的較多,占被感染單位總數(shù)的34.0%�。
章 勒索病毒整體攻擊態(tài)勢
2018年��,勒索病毒攻擊特點發(fā)生了變化:2017年��,勒索病毒由過去撒網(wǎng)式無差別攻擊逐步轉(zhuǎn)向以服務(wù)器定向攻擊為主�����,而2018年���,勒索病毒攻擊則以服務(wù)器定向攻擊為主,輔以撒網(wǎng)式無差別攻擊手段�����。
一 整體態(tài)勢
摘要:
2018年共有430余萬臺計算機遭受勒索病毒攻擊����,12月攻擊較盛。
根據(jù)360互聯(lián)網(wǎng)安全中心的數(shù)據(jù)(包括360安全衛(wèi)士和360殺毒的查殺數(shù)據(jù))��,2018年共計430余萬臺計算機遭受勒索病毒攻擊(只包括國內(nèi)且不含WannaCry數(shù)據(jù))�。值得關(guān)注的是,在2018年11月和12月���,由于GandCrab勒索病毒增加了蠕蟲式(蠕蟲下載器)攻擊手段以及Satan勒索病毒加強了服務(wù)器攻擊頻次�����,導(dǎo)致攻擊量有較大上升�。
需要指出的是�����,以上趨勢僅基于監(jiān)控數(shù)據(jù)��,實際許多用戶是黑客通過服務(wù)器攻擊滲透入侵內(nèi)網(wǎng)后投放的勒索病毒����,亦或用戶終端不聯(lián)網(wǎng)通過內(nèi)網(wǎng)其他機器感染的勒索病毒,這些情形下是無法監(jiān)控到數(shù)據(jù)的����。
二 活躍家族
摘要:
2018年GandCrab、GlobeImposter����、CrySis這三大家族勒索病毒的受害者較多,合計占比高達(dá)80.2%����。
根據(jù)360反勒索服務(wù)統(tǒng)計的數(shù)據(jù)�����,2018年GandCrab�、GlobeImposter���、CrySis這三大家族勒索病毒的受害者較多��,合計占比約80.2%����。本年度的活躍家族除了少數(shù)病毒�,都有針對政企用戶進行的攻擊,因此企業(yè)用戶仍然是勒索病毒較熱衷的攻擊對象���。360終端安全實驗室統(tǒng)計的用戶反饋數(shù)據(jù)�����,大體和這個數(shù)據(jù)類似���,后文將有詳細(xì)分析。
三 傳播特點
摘要:
2018年度勒索病毒較常使用的攻擊手段是遠(yuǎn)程桌面弱口令暴力破解攻擊��。
勒索病毒采用的傳播手段和其他病毒類似��,不過2018年度較為常用的攻擊手段卻是遠(yuǎn)程桌面弱口令暴力破解攻擊��,大量政企�����、個人用戶反饋的勒索病毒都是基于此攻擊方式���。
下面根據(jù)病毒傳播影響范圍����、危害大小列出較常用的幾種攻擊方式���。
1.弱口令攻擊
有多種系統(tǒng)或軟件的弱口令遭受攻擊��,這里勒索病毒較常用的是遠(yuǎn)程桌面登錄弱口令����。除此外��,勒索病毒弱口令攻擊還包括針對數(shù)據(jù)庫系統(tǒng)���、Tomcat管理賬戶�、VNC等弱口令的攻擊。
2.U盤蠕蟲
U盤蠕蟲過去主要用于傳播遠(yuǎn)控和挖礦病毒�,但在2018年11月突然出現(xiàn)傳播GandCrab勒索病毒的現(xiàn)象。360終端安全實驗室曾對該類蠕蟲做了詳細(xì)分析���,具體可參見:這種傳播方式的出現(xiàn)�,導(dǎo)致2018年11月GandCrab勒索病毒突然成規(guī)模的爆發(fā)�,令許多用戶遭受攻擊。
3.系統(tǒng)���、軟件漏洞
由于許多用戶安全意識不足���,導(dǎo)致許多NDay漏洞被黑客利用進行攻擊。2018年�,有多個勒索軟件家族通過Windows系統(tǒng)漏洞或Web應(yīng)用漏洞入侵Windows服務(wù)器。其中較具代表性的當(dāng)屬Satan勒索病毒���,Satan勒索病毒較早于2018年3月在國內(nèi)傳播�,其利用多個Web應(yīng)用漏洞入侵服務(wù)器��,如下表所示。
4.其他攻擊方式
除此之外��,其他攻擊方式的影響要小不少�,這些方式主要包括:
(1)軟件供應(yīng)鏈攻擊:以unnamed1989勒索病毒(“微信支付勒索病毒”)為代表,該勒索病毒主要是因為開發(fā)者下載了帶有惡意代碼的易語言第三方模塊����,導(dǎo)致調(diào)用該模塊所開發(fā)出來的軟件均被感染了惡意代碼��。根據(jù)統(tǒng)計�����,在此次事件中被感染的軟件超過50余種��。此外RushQL Oracle數(shù)據(jù)庫勒索病毒也屬于軟件供應(yīng)鏈攻擊��。
(2)無文件攻擊方式:比如GandCrab勒索病毒就采用了“無文件攻擊”進行傳播�����,其技術(shù)原理主要通過Powershell將GandCrab編碼加密后以內(nèi)存載荷方式加載運行�����,實現(xiàn)全程無惡意代碼落地,從而躲避安全軟件的檢測����。
(3)郵件附件傳播:這種方式通過郵件附件傳播病毒下載器,誘使用戶點擊運行下載器下載勒索病毒后中毒���。此方式在2016-2017年是勒索病毒較常見的傳播方式�����,但在2018年已經(jīng)很少被采用����。
