通付盾移动安全实验室发布2017移动互联网勒索病毒专项研究报告
|
副标题[/!--empirenews.page--]
2017 年 5 月,一种名为WannaCry的勒索病毒肆虐席卷全球,造成 100 多个国家和地区超过 10 万台电脑遭到了勒索病毒攻击、感染。 6 月出现一种“Petya”变体勒索软件,相继欧洲多国遭遇勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度受到影响。 国内移动互联网已经成为新的主体,为了预防移动互联网勒索病毒大规模爆发,避免企业、个人遭受损失,同时也为行业监管机构出台政策法规提供移动互联网勒索病毒依据,通付盾移动安全实验室依托多年专业的移动安全的服务能力和技术积累发布《移动互联网勒索病毒研究报告》,对勒索病毒形式、产业链等进行了系统的专业分析,希望引起大家对移动互联网安全重视,保障中国移动互联网安全。 移动勒索病毒综述 2017 年 5 月份,WannaCry“蠕虫”式勒索病毒全面入侵,对PC端造成了严重危害。随后,其变种病毒逐渐向移动平台蔓延,严重威胁了移动平台的安全。作为移动互联网的重要载体,智能手机、平板、可穿戴设备等移动终端设备都有可能成为勒索病毒的攻击目标。 1. 历史追溯 勒索病毒最早可追溯到 1989 年,随着互联网技术的不断发展,勒索病毒也在不断的演变进化。 2014 年以Koler为首的家族勒索病毒在Android平台大面积爆发,勒索病毒实现从PC端到移动端的转变。各类变种病毒在移动互联网中肆意传播, 2016 年至今,勒索病毒持续增长。据统计, 5 月份爆发的WannaCry“蠕虫式”勒索病毒在席卷全球仅仅一天的时间就有242. 3 万个IP地址遭受该病毒攻击,近3. 5 万个IP地址被该勒索软件感染,其中我国境内受影响IP约1. 8 万个。高校、医院、政府、企业等单位为主的网络大范围瘫痪。台湾、北京、上海、江苏、天津等地成为受灾重区。随后,在移动端发现大量“WannaCry”勒索病毒变种。
2. 传播形式 虽然在各类应用程序中的表现形态不尽相同,但是其传播形式却大同小异,主要通过伪装、诱骗的手段吸附在各类应用程序中,具体表现为: 1) 伪装成游戏、社交软件、时下流行软件的插件等,当用户运行时,终端界面就会被恶意程序自身的界面置顶,并无法进行操作; 2) 勒索病毒子包隐藏在资源文件中,系统后台自动安装运行,并将子包复制到系统目录下,伪装成系统应用。 3. 实现形式 勒索病毒表现出的流氓属性十分强烈,根据其攻击目的对被攻击者的终端进行操作及系统的破坏,强制被攻击者付费后被攻击者终端才可以被解锁,否则一般被攻击者将无法对其终端进行继续操作。 多数勒索病毒实现需要申请系统权限或者激活设备管理器权限,两种主要实现方式如下: 1) 控制手机悬浮窗属性制作一种特殊的全屏悬浮窗并强制置顶; 2) 通过直接激活设备管理器,设置系统解锁密码,被攻击用户因无法得知解锁密码而无法对手机进行操作。 4. 赎金形式 不同于PC端勒索病毒,移动端勒索病毒支付赎金的方式比较简单、灵活,除了比特币支付外,还可以进行微信支付、QQ支付、支付宝等直接转账支付形式。此类勒索单次支付金额较低,但存在重复勒索,关卡收费的情况。以QQ支付为例,被攻击者在解锁过程中需要缴纳入群费、解锁费甚至学徒费。
赎金缴纳类型示意 勒索病毒威胁分析 我们对《网络安全威胁信息共享通报》(以下简称《通报》)中勒索病毒作专项调查和分析,以《通报》中 216 个勒索病毒样本为分析对象,基于通付盾全渠道应用监测平台,实现对全网勒索病毒数据的挖掘与分析,共发现 5 万余个含关联恶意行为的恶意应用。下面我们将从攻击目标、传播来源、威胁行为三个方面对勒索病毒进行威胁趋势分析。 1. 伪装类型分析 根据挖掘出的恶意样本数据分析,我们发现恶意应用主要伪装成外挂、插件等。其中QQ抢红包、刷钻助手、王者荣耀辅助、黑客工具箱、神器等应用名称频繁出现且占比较大。
全网勒索病毒分布图谱 根据勒索病毒应用名称,主要可分为社交类、游戏类、免流插件类以及视频四类。其中,社交类软件已成为恶意攻击的首选,全网勒索病毒中共发现28, 143 个社交类应用,占总数的55%;其次是免流插件类软件,共9, 732 个;游戏类软件作为移动端热门应用,同样也是勒索病毒攻击的高发区,全网共发现6, 754 个相关勒索病毒,排名第三。
2.传播来源分析 a) 地域分析 根据全网的勒索病毒数据分析结果来看,勒索病毒主要分布在互联网发展较好地区或邻近地区。就国内而言,勒索病毒主要来源于监管不严、审核机制不完善的小型应用市场;从应用市场地理分布来看,勒索病毒的攻击区域主要集中在广东、北京、湖北等互联网行业发展较好、经济较发达的省市,其中,广东省勒索软件发生频次最高,捕获恶意勒索病毒样本 876 个。其次是北京地区,捕获恶意勒索病毒样本 873 个。
b) 病毒开发者分析 我们对《通报》中的恶意样本进行逆向分析,发现不同病毒样本在代码结构上存在很多共性,且不同病毒开发者之间具有关联性。我们对勒索病毒样本中预留的QQ号以及开发者信息进行追踪,共发现近百个具有代表性的QQ群组,数万人受影响。该类QQ群在作为解锁赎金收取渠道之外,群内还通过百度云、贴吧等方式售卖锁机源码、教程、插件、教学视频,传播勒索病毒。受害者加入群之后,往往被诱惑成为黑产下线,利用群内兜售的教程向他人发起二次攻击,转变为“菜鸟黑客”,进一步扩大病毒的传播范围,影响恶劣。不同QQ群成员之间具有关联性,且成员的个人信息一般设定为 00 后、 90 后学生。
攻击者攻击模式示意图 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
