2018年勒索病毒威胁态势全报告
服务器能够被成功入侵的主要原因还是管理员的帐号密码被破解。而造成服务器帐号密码被破解的主要原因有以下几种:为数众多的系统管理员使用弱密码,被黑客暴力破解;还有一部分是黑客利用病毒或木马潜伏在用户电脑中,窃取密码;除此之外还有就是黑客从其他渠道直接购买账号和密码。黑客得到系统管理员的用户名和密码后,再通过远程登录服务器,对其进行相应操作。 3、软件供应链攻击传播 软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到非法目的的攻击类型。 2017年爆发的Fireball、暗云III、类Petya、异鬼II、Kuzzle、XShellGhost、CCleaner等,以及2018年12月被曝光的国产“cheat”后门事件均属于软件供应链攻击。而在乌克兰爆发的类Petya勒索软件事件也是其中之一,该病毒通过税务软件M.E.Doc的升级包投递到内网中进行传播。 4、漏洞传播 漏洞传播存在多种类型: 1)通过服务器弱口令传播 如Rapid勒索病毒,根据部分网友在部分论坛中的反馈发现,该病毒通过服务器弱口令方式传播。 2)永恒之蓝系列 ①Wannacry及其变种可谓该系列病毒中最为臭名昭著的一类了,爆发以来造成的损失不计其数,包括安全狗在内的众多厂商均针对该系列病毒推出过解决方案。 ②Petya勒索病毒的变种。使用的传播攻击形式和WannaCry类似,但该病毒除了使用了永恒之蓝(MS17-010)漏洞,还罕见的使用了黑客的横向渗透攻击技术,利用WMIC/PsExec/mimikatz等 ③Satan勒索病毒。通过永恒之蓝漏洞攻击工具在局域网内横向传播,主动入侵未安装补丁的服务器 3)利用挂马网页传播 通过入侵主流网站的服务器,在正常网页中植入木马,让访问者在浏览网页时利用IE或Flash等软件漏洞进行攻击。这类勒索软件属于撒网抓鱼式的传播,并没有特定的针对性,一般中招的受害者多数为裸奔用户,未安装任何杀毒软件。 4)复合传播方式 I、GandCrab家族勒索病毒 传播渠道相对其他家族丰富很多,包括挂马攻击、水坑攻击、漏洞攻击和钓鱼邮件攻击,其中水坑攻击令人防不胜防。水坑攻击传播通过入侵网站后台,将网页内容篡改为乱码,并且提示需要更新字体,诱导用户下载运行“字体更新程序”,实际上用户下载到的是GandCrab2勒索病毒。GandCrab3勒索病毒还通过Bondat蠕虫下载传播。 II、Crysis勒索软件 Crysis这个勒索软件主要通过垃圾邮件、钓鱼邮件、游戏修补程序、注册机、捆绑破解软件等方式传播;有的厂商则认为主要传播方式是利用服务器弱口令漏洞,爆破远程登录用户名和密码,进而通过RDP(远程桌面协议)远程登录目标服务器运行勒索病毒,黑客远程登录服务器后手动操作。 III、GlobeImposter勒索者病毒 GlobeImposter勒索者病毒可以利用电子邮件、文件传输等方式进行扩散,更主要的特点是利用系统的漏洞发起动态攻击。针对企业服务器的攻击以弱口令爆破服务器后远程登录的方式最为常见。黑客使用自动化攻击脚本,暴力破解服务器管理员账号密码,入侵后可秘密控制服务器,卸载服务器上的杀毒软件并植入勒索病毒。 5)总结 黑客为了提高勒索软件的传播效率,也在不断更新攻击方式,钓鱼邮件传播依然是黑客常用的传播手段,服务器入侵的手法更加娴熟运用,同时也开始利用系统自身的漏洞进行传播。 五、针对企业服务器勒索攻击 以企业服务器为攻击目标已成勒索病毒新趋势 从去年下半年开始,勒索病毒在国内的攻击重点开始转向了各类服务器,尤其以windows服务器为甚。黑客利用弱口令和各类系统漏洞,软件漏洞向服务器远程渗透投毒,经常出现一个服务集群多台主机被感染的情况,造成的影响轻则服务中断,有严重的更影响到整个公司的运营,已经成为影响企业安全的一大问题。 企业服务器上的数据文件一旦被加密,将严重威胁到公司的正常运转,企业也更倾向于向不法黑客交付赎金。服务器或将成为不法黑客传播勒索病毒的重点攻击目标。 2018开年以来,针对Windows服务器的勒索病毒攻击此起彼伏,尤其是最近国内数家机构服务器同时被GlobeImposter勒索病毒攻击,黑客在突破企业防护边界后释放并运行勒索病毒,最终导致系统被破坏,日常业务大面积瘫痪,服务器安全问题开始备受关注。 六、勒索攻击发展趋势 1、远程访问弱口令攻击成为主流 许多企业工作中需要进行远程维护,所以许多机器都启用了远程访问。如果密码过于简单,它将很容易被攻击者利用。到了2018年,通过弱口令爆破远程登录服务器、再植入勒索病毒的攻击方式最为常见。几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,感染用户数量最多。 2、勒索病毒变种更新迭代更快 勒索病毒每隔一段时间就会出现一个新变种,有的修改加密算法,增加了加密速度,有的为了对抗查杀,使用了免杀、反逆向、反沙箱等手段。此外有的勒索病毒新版本开始使用随机后缀,从而增加了受害者查找所中勒索病毒类型的难度。 3、国产勒索病毒开始活跃 最近针对国内用户的勒索病毒流行,此类通常会使用全中文的勒索提示界面,个别会要求直接通过微信、支付宝二维码的形式来索取赎金。鉴于国内移动支付操作简单,与其它语言版本的勒索病毒相比,索取的赎金数值不高且支付操作简单,因此受害者支付赎金的可能性更高。 4、勒索门槛越来越低 随着各种编程语言编写的勒索病毒的出现,勒索软件的开发门槛越来越低。而且我们发现继使用PHP、Python等语言之后,另一种更简单易用的脚本语言——AutoIt语言也被发现用于编写勒索病毒,加上网上迅速传播的一些勒索病毒的技术细节,导致了勒索病毒从制作到传播的技术门槛不断降低。 5、内网安全重视程度亟需加强 Wannacry集中爆发在企业和高校等组织的内网,核心原因还是内网安全重视程度不够,MS17-010漏洞迟迟未得到修复,很多内网主机445文件共享端口未被禁用是主要原因。 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |