近日,360企業(yè)安全旗下360終端安全實驗室發(fā)布《2018勒索病毒白皮書(政企篇)》,白皮書從“勒索病毒整體攻擊態(tài)勢”、“政企遭遇勒索攻擊分析”、“勒索病毒發(fā)展趨勢預測”及“勒索病毒應急響應指南”等四個章節(jié)對2018年勒索病毒進行了分析,還匯總了2018年度的熱點勒索病毒事件。
數(shù)據(jù)顯示,2018年,全國共有430余萬臺計算機遭受勒索病毒攻擊;攻擊以服務器定向攻擊為主,輔以撒網(wǎng)式無差別攻擊手段;較常使用的攻擊手段是遠程桌面弱口令暴力破解。2018年,政府單位較容易遭到勒索病毒攻擊,占被攻擊單位總數(shù)的21.0%;金融終端較容易遭到勒索病毒攻擊,占被攻擊終端總數(shù)的31.8%。在感染勒索病毒的政企單位中,政府單位數(shù)量較多,占被感染單位總數(shù)的24.1%;感染GlobeImposter的較多,占被感染單位總數(shù)的34.0%。
章 勒索病毒整體攻擊態(tài)勢
2018年,勒索病毒攻擊特點發(fā)生了變化:2017年,勒索病毒由過去撒網(wǎng)式無差別攻擊逐步轉向以服務器定向攻擊為主,而2018年,勒索病毒攻擊則以服務器定向攻擊為主,輔以撒網(wǎng)式無差別攻擊手段。
一 整體態(tài)勢
摘要:
2018年共有430余萬臺計算機遭受勒索病毒攻擊,12月攻擊較盛。
根據(jù)360互聯(lián)網(wǎng)安全中心的數(shù)據(jù)(包括360安全衛(wèi)士和360殺毒的查殺數(shù)據(jù)),2018年共計430余萬臺計算機遭受勒索病毒攻擊(只包括國內且不含WannaCry數(shù)據(jù))。值得關注的是,在2018年11月和12月,由于GandCrab勒索病毒增加了蠕蟲式(蠕蟲下載器)攻擊手段以及Satan勒索病毒加強了服務器攻擊頻次,導致攻擊量有較大上升。
需要指出的是,以上趨勢僅基于監(jiān)控數(shù)據(jù),實際許多用戶是黑客通過服務器攻擊滲透入侵內網(wǎng)后投放的勒索病毒,亦或用戶終端不聯(lián)網(wǎng)通過內網(wǎng)其他機器感染的勒索病毒,這些情形下是無法監(jiān)控到數(shù)據(jù)的。
二 活躍家族
摘要:
2018年GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者較多,合計占比高達80.2%。
根據(jù)360反勒索服務統(tǒng)計的數(shù)據(jù),2018年GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者較多,合計占比約80.2%。本年度的活躍家族除了少數(shù)病毒,都有針對政企用戶進行的攻擊,因此企業(yè)用戶仍然是勒索病毒較熱衷的攻擊對象。360終端安全實驗室統(tǒng)計的用戶反饋數(shù)據(jù),大體和這個數(shù)據(jù)類似,后文將有詳細分析。
三 傳播特點
摘要:
2018年度勒索病毒較常使用的攻擊手段是遠程桌面弱口令暴力破解攻擊。
勒索病毒采用的傳播手段和其他病毒類似,不過2018年度較為常用的攻擊手段卻是遠程桌面弱口令暴力破解攻擊,大量政企、個人用戶反饋的勒索病毒都是基于此攻擊方式。
下面根據(jù)病毒傳播影響范圍、危害大小列出較常用的幾種攻擊方式。
1.弱口令攻擊
有多種系統(tǒng)或軟件的弱口令遭受攻擊,這里勒索病毒較常用的是遠程桌面登錄弱口令。除此外,勒索病毒弱口令攻擊還包括針對數(shù)據(jù)庫系統(tǒng)、Tomcat管理賬戶、VNC等弱口令的攻擊。
2.U盤蠕蟲
U盤蠕蟲過去主要用于傳播遠控和挖礦病毒,但在2018年11月突然出現(xiàn)傳播GandCrab勒索病毒的現(xiàn)象。360終端安全實驗室曾對該類蠕蟲做了詳細分析,具體可參見:這種傳播方式的出現(xiàn),導致2018年11月GandCrab勒索病毒突然成規(guī)模的爆發(fā),令許多用戶遭受攻擊。
3.系統(tǒng)、軟件漏洞
由于許多用戶安全意識不足,導致許多NDay漏洞被黑客利用進行攻擊。2018年,有多個勒索軟件家族通過Windows系統(tǒng)漏洞或Web應用漏洞入侵Windows服務器。其中較具代表性的當屬Satan勒索病毒,Satan勒索病毒較早于2018年3月在國內傳播,其利用多個Web應用漏洞入侵服務器,如下表所示。
4.其他攻擊方式
除此之外,其他攻擊方式的影響要小不少,這些方式主要包括:
(1)軟件供應鏈攻擊:以unnamed1989勒索病毒(“微信支付勒索病毒”)為代表,該勒索病毒主要是因為開發(fā)者下載了帶有惡意代碼的易語言第三方模塊,導致調用該模塊所開發(fā)出來的軟件均被感染了惡意代碼。根據(jù)統(tǒng)計,在此次事件中被感染的軟件超過50余種。此外RushQL Oracle數(shù)據(jù)庫勒索病毒也屬于軟件供應鏈攻擊。
(2)無文件攻擊方式:比如GandCrab勒索病毒就采用了“無文件攻擊”進行傳播,其技術原理主要通過Powershell將GandCrab編碼加密后以內存載荷方式加載運行,實現(xiàn)全程無惡意代碼落地,從而躲避安全軟件的檢測。
(3)郵件附件傳播:這種方式通過郵件附件傳播病毒下載器,誘使用戶點擊運行下載器下載勒索病毒后中毒。此方式在2016-2017年是勒索病毒較常見的傳播方式,但在2018年已經(jīng)很少被采用。
聯(lián)系人:宋經(jīng)理
地址: 北京市通州區(qū)永樂店鎮(zhèn)聯(lián)航大廈2476