廣州熱線

　　原標(biāo)題：通付盾移動(dòng)安全實(shí)驗(yàn)室全國首發(fā)2017移動(dòng)互聯(lián)網(wǎng)勒索病毒專項(xiàng)研究報(bào)告

　　2017年5月，一種名為WannaCry的勒索病毒肆虐席卷全球，不法分子利用NSA泄露的危險(xiǎn)漏洞“EternalBlue”(永恒之藍(lán))傳播。在這場(chǎng)全球性互聯(lián)網(wǎng)災(zāi)難，據(jù)不完全統(tǒng)計(jì)數(shù)據(jù)顯示，100多個(gè)國家和地區(qū)超過10萬臺(tái)電腦遭到了勒索病毒攻擊、感染。6月出現(xiàn)一種“Petya”變體勒索軟件，相繼歐洲多國遭遇勒索病毒襲擊，政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場(chǎng)都不同程度地受到影響。

　　國內(nèi)移動(dòng)互聯(lián)網(wǎng)已經(jīng)成為新的主體，為了預(yù)防移動(dòng)互聯(lián)網(wǎng)勒索病毒大規(guī)模爆發(fā)，避免企業(yè)、個(gè)人遭受損失，同時(shí)也為行業(yè)監(jiān)管機(jī)構(gòu)提供政策制定提供移動(dòng)互聯(lián)網(wǎng)勒索病毒依據(jù)，通付盾移動(dòng)安全實(shí)驗(yàn)室依托多年專業(yè)的移動(dòng)安全的服務(wù)能力和技術(shù)積累發(fā)布《移動(dòng)互聯(lián)網(wǎng)勒索病毒研究報(bào)告》，對(duì)勒索病毒形式、產(chǎn)業(yè)鏈等進(jìn)行了系統(tǒng)的專業(yè)分析，希望引起大家對(duì)移動(dòng)互聯(lián)網(wǎng)安全重視，保障中國移動(dòng)互聯(lián)網(wǎng)安全。

　　查看完整報(bào)告，請(qǐng)?jiān)凇?通付盾移動(dòng)安全實(shí)驗(yàn)室”公眾號(hào)回復(fù)關(guān)鍵詞“勒索病毒”。

　　一、 移動(dòng)勒索病毒綜述

　　2017年5月份，WannaCry“蠕蟲”式勒索病毒全面入侵，對(duì)PC端造成了嚴(yán)重危害。隨后，其變種病毒逐漸向移動(dòng)平臺(tái)蔓延，嚴(yán)重威脅了移動(dòng)平臺(tái)的安全。作為移動(dòng)互聯(lián)網(wǎng)的重要載體，智能手機(jī)、平板、可穿戴設(shè)備等移動(dòng)終端設(shè)備都有可能成為勒索病毒的攻擊目標(biāo)。移動(dòng)終端中保存著大量的個(gè)人數(shù)據(jù)，一旦遭受攻擊，很可能造成隱私泄露、財(cái)產(chǎn)損失等危害。

　　1.歷史追溯

　　勒索病毒最早可追溯到1989年，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，勒索病毒也在不斷的演變進(jìn)化。2014年以Koler為首的家族勒索病毒在Android平臺(tái)大面積爆發(fā)，勒索病毒實(shí)現(xiàn)從PC端到移動(dòng)端的轉(zhuǎn)變。各類變種病毒在移動(dòng)互聯(lián)網(wǎng)中肆意傳播，2016年至今，勒索病毒持續(xù)增長(zhǎng)。據(jù)統(tǒng)計(jì)，5月份爆發(fā)的WannaCry“蠕蟲式”勒索病毒在席卷全球僅僅一天的時(shí)間就有242.3萬個(gè)IP地址遭受該病毒攻擊，近3.5萬個(gè)IP地址被該勒索軟件感染，其中我國境內(nèi)受影響IP約1.8萬個(gè)。高校、醫(yī)院、政府、企業(yè)等單位為主的網(wǎng)絡(luò)大范圍癱瘓。臺(tái)灣、北京、上海、江蘇、天津等地成為受災(zāi)重區(qū)。隨后，在移動(dòng)端發(fā)現(xiàn)大量“WannaCry”勒索病毒變種。

　　2.傳播形式

　　雖然在各類應(yīng)用程序中的表現(xiàn)形態(tài)不盡相同，但是其傳播形式卻大同小異，主要通過偽裝、誘騙的手段吸附在各類應(yīng)用程序中，具體表現(xiàn)為：

　　1. 偽裝成游戲、社交軟件、時(shí)下流行軟件的插件等，當(dāng)用戶運(yùn)行時(shí)，終端界面就會(huì)被惡意程序自身的界面置頂，并無法進(jìn)行操作;

　　2. 勒索病毒子包隱藏在資源文件中，系統(tǒng)后臺(tái)自動(dòng)安裝運(yùn)行，并將子包復(fù)制到系統(tǒng)目錄下，偽裝成系統(tǒng)應(yīng)用。

　　3.實(shí)現(xiàn)形式

　　勒索病毒表現(xiàn)出的流氓屬性十分強(qiáng)烈，根據(jù)其攻擊目的對(duì)被攻擊者的終端進(jìn)行操作及系統(tǒng)的破壞，強(qiáng)制被攻擊者付費(fèi)后被攻擊者終端才可以被解鎖，否則一般被攻擊者將無法對(duì)其終端進(jìn)行繼續(xù)操作。

　　多數(shù)勒索病毒實(shí)現(xiàn)需要申請(qǐng)系統(tǒng)權(quán)限或者激活設(shè)備管理器權(quán)限，兩種主要實(shí)現(xiàn)方式如下：

　　1. 控制手機(jī)懸浮窗屬性制作一種特殊的全屏懸浮窗并強(qiáng)制置頂;

　　2. 通過直接激活設(shè)備管理器，設(shè)置系統(tǒng)解鎖密碼，被攻擊用戶因無法得知解鎖密碼而無法對(duì)手機(jī)進(jìn)行操作。

　　4.贖金形式

　　不同于PC端勒索病毒，移動(dòng)端勒索病毒支付贖金的方式比較簡(jiǎn)單、靈活，除了比特幣支付外，還可以進(jìn)行微信支付、QQ支付、支付寶等直接轉(zhuǎn)賬支付形式。此類勒索單次支付金額較低，但存在重復(fù)勒索，關(guān)卡收費(fèi)的情況。以QQ支付為例，被攻擊者在解鎖過程中需要繳納入群費(fèi)、解鎖費(fèi)甚至學(xué)徒費(fèi)。

　　贖金繳納類型示意

　　二、勒索病毒威脅分析

　　我們對(duì)《網(wǎng)絡(luò)安全威脅信息共享通報(bào)》(以下簡(jiǎn)稱《通報(bào)》)中勒索病毒作專項(xiàng)調(diào)查和分析，以《通報(bào)》中216個(gè)勒索病毒樣本為分析對(duì)象，基于通付盾全渠道應(yīng)用監(jiān)測(cè)平臺(tái)，實(shí)現(xiàn)對(duì)全網(wǎng)勒索病毒數(shù)據(jù)的挖掘與分析，共發(fā)現(xiàn)5萬余個(gè)含關(guān)聯(lián)惡意行為的惡意應(yīng)用。下面我們將從攻擊目標(biāo)、傳播來源、威脅行為三個(gè)方面對(duì)勒索病毒進(jìn)行威脅趨勢(shì)分析。

　　1.偽裝類型分析

　　根據(jù)挖掘出的惡意樣本數(shù)據(jù)分析，我們發(fā)現(xiàn)惡意應(yīng)用主要偽裝成外掛、插件等。其中QQ搶紅包、刷鉆助手、王者榮耀輔助、黑客工具箱、神器等應(yīng)用名稱頻繁出現(xiàn)且占比較大。

　　全網(wǎng)勒索病毒分布圖譜

　　根據(jù)勒索病毒應(yīng)用名稱，主要可分為社交類、游戲類、免流插件類以及視頻四類。其中，社交類軟件已成為惡意攻擊的首選，全網(wǎng)勒索病毒中共發(fā)現(xiàn)28143個(gè)社交類應(yīng)用，占總數(shù)的55%;其次是免流插件類軟件，共9732個(gè);游戲類軟件作為移動(dòng)端熱門應(yīng)用，同樣也是勒索病毒攻擊的高發(fā)區(qū)，全網(wǎng)共發(fā)現(xiàn)6754個(gè)相關(guān)勒索病毒，排名第三。

　　2.傳播來源分析

　　a. 地域分析

　　根據(jù)全網(wǎng)的勒索病毒數(shù)據(jù)分析結(jié)果來看，勒索病毒主要分布在互聯(lián)網(wǎng)發(fā)展較好地區(qū)或鄰近地區(qū)。就國內(nèi)而言，勒索病毒主要來源于監(jiān)管不嚴(yán)的、審核機(jī)制不完善的小型應(yīng)用市場(chǎng)，從應(yīng)用市場(chǎng)地理分布來看，勒索病毒的攻擊區(qū)域主要集中活躍在廣東、北京、湖北等互聯(lián)網(wǎng)行業(yè)發(fā)展較好、經(jīng)濟(jì)較發(fā)達(dá)的省市，其中，廣東省勒索軟件發(fā)生頻次最高，捕獲惡意勒索病毒樣本876個(gè)。其次是北京地區(qū)，捕獲惡意勒索病毒樣本873個(gè)。

　　b.病毒開發(fā)者分析

　　我們對(duì)《通報(bào)》中的惡意樣本進(jìn)行逆向分析，發(fā)現(xiàn)不同病毒樣本在代碼結(jié)構(gòu)上存在很多共性，且不同病毒開發(fā)者之間具有關(guān)聯(lián)性。我們對(duì)勒索病毒樣本中預(yù)留的QQ號(hào)以及開發(fā)者信息進(jìn)行追蹤，共發(fā)現(xiàn)近百個(gè)個(gè)具有代表性的QQ群組，數(shù)萬人受影響。該類QQ群在作為解鎖贖金收取渠道之外，群內(nèi)還通過百度云、貼吧等方式售賣鎖機(jī)源碼、教程、插件、教學(xué)視頻，傳播勒索病毒。受害者加入群之后，解鎖后往往被誘惑成為黑產(chǎn)下線，利用群內(nèi)兜售的教程向他人發(fā)起二次攻擊，轉(zhuǎn)變?yōu)椤安锁B黑客”，進(jìn)一步擴(kuò)大病毒的傳播范圍，影響惡劣。不同QQ群成員之間具有關(guān)聯(lián)性，且成員的個(gè)人信息一般設(shè)定為00后、90后學(xué)生。

　　攻擊者攻擊模式示意圖

　　我們對(duì)搶紅包和王者榮耀皮膚兩類勒索病毒中共同發(fā)現(xiàn)的鎖屏信息進(jìn)行攻擊者溯源分析，追蹤到以推廣和售賣鎖機(jī)源碼、搶紅包、免流插件、秒贊工具等為主的“彼岸花技術(shù)”黑產(chǎn)團(tuán)隊(duì)，該團(tuán)隊(duì)以QQ群、網(wǎng)店的形式活躍，通過百度網(wǎng)盤傳播勒索病毒，人數(shù)總計(jì)數(shù)百人，相關(guān)聯(lián)群成員總數(shù)達(dá)千余人。除了進(jìn)群時(shí)需要支付費(fèi)用之外，群內(nèi)源碼、工具的獲取也需要另外付費(fèi)。下圖展示“彼岸花技術(shù)”團(tuán)伙的溯源過程，我們可以看出，大部分病毒開發(fā)者之間相互關(guān)聯(lián)。

　　“彼岸花”團(tuán)隊(duì)溯源分析圖

　　威脅行為分析

　　我們對(duì)活躍度集中區(qū)的勒索病毒進(jìn)行分析，根據(jù)鎖屏實(shí)現(xiàn)方式，大體將勒索病毒威脅行為分為兩大類：一類是通過修改設(shè)備的開機(jī)密碼來實(shí)現(xiàn)，另一類是通過控制懸浮窗置頂屬性來實(shí)現(xiàn)。

　　這兩類鎖屏在實(shí)現(xiàn)流程上存在共性，首先，通過偽裝獲取設(shè)備的系統(tǒng)權(quán)限;然后，通過系統(tǒng)權(quán)限直接激活設(shè)備管理器，修改系統(tǒng)開機(jī)密碼，或控制手機(jī)懸浮窗強(qiáng)制置頂屬性，使用戶無法正常使用設(shè)備。同時(shí)，有些勒索病毒為防止被破解，設(shè)置可反復(fù)鎖屏機(jī)制，即用戶在破解第一層鎖屏之后會(huì)出現(xiàn)第二層鎖屏，反復(fù)循環(huán)。最后被攻擊者需要通過被鎖屏幕中預(yù)留的QQ碼、郵箱、手機(jī)號(hào)等信息聯(lián)系勒索者繳納贖金方可解鎖。下圖展示了勒索病毒實(shí)現(xiàn)的具體流程。

　　勒索病毒實(shí)現(xiàn)流程圖

　　三、 威脅趨勢(shì)分析

　　1.勒索病毒活躍度總體呈上升趨勢(shì)

　　本次報(bào)告中，我們采樣的數(shù)據(jù)為2016年9月到2017年9月全網(wǎng)范圍內(nèi)的惡意勒索病毒，從分析結(jié)果來看，勒索病毒活躍度總體呈上升趨勢(shì)，每月新增病毒數(shù)持續(xù)增加。其中，2017年4月份勒索病毒急劇增加，新增病毒總數(shù)達(dá)812個(gè)，比3月份增加了160.2%。國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心從4月份起發(fā)布一系列勒索病毒通報(bào)，相關(guān)單位和部門對(duì)勒索病毒采取了一定的防御措施。5月份之后，雖然勒索病毒總體仍然處于上升趨勢(shì)，但每月病毒新增速度有所放緩。9月份新增219個(gè)勒索病毒，增長(zhǎng)速度有所下降但仍然相當(dāng)活躍。

　　2. 勒索病毒仍將主要攻擊經(jīng)濟(jì)發(fā)達(dá)地區(qū)

　　從惡意樣本的地理分布圖中可以看出，勒索病毒主要活躍在廣東、北京等互聯(lián)網(wǎng)氛圍較好地區(qū)。2016年9月份到2017年1月份，勒索病毒集中活躍在北京、廣東、湖北經(jīng)濟(jì)發(fā)達(dá)地區(qū)，2017年2月至5月份，勒索病毒活躍范圍在原來的基礎(chǔ)上向湖南、福建、安徽、四川、天津等鄰近省市擴(kuò)散，直至9月份，北京、廣東仍然是勒索病毒攻擊的重災(zāi)區(qū)，除此以外，在上海、浙江等經(jīng)濟(jì)發(fā)展較好的省市也發(fā)現(xiàn)了勒索病毒的蹤跡并且數(shù)量逐月增加，經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍將是勒索病毒的主要攻擊目標(biāo)。

　　勒索病毒查殺成本或?qū)⑻岣?/p>

　　為了逃避安全產(chǎn)品的查殺，病毒開發(fā)者開始利用各種手段，提高病毒免殺能力。我們?cè)谀嫦蚍治霾《緲颖緯r(shí)發(fā)現(xiàn)，部分勒索病毒使用加密平臺(tái)進(jìn)行加密保護(hù)，不僅難以破解，而且加密過后能夠躲過病毒防御類產(chǎn)品檢測(cè)查殺。某些加固產(chǎn)品無安全認(rèn)證機(jī)制，免費(fèi)為各類開發(fā)者包括病毒程序開發(fā)者提供加密服務(wù)。經(jīng)過此類加固平臺(tái)加固的病毒，惡意代碼被隱藏，查殺難度增大，提高了查殺成本。下圖為捕獲到的使用某加固平臺(tái)加固后的病毒樣本代碼示例。

　　使用加固平臺(tái)加密的病毒樣本截圖示意

　　四、總結(jié)與展望

　　1. 不法收益誘惑下的網(wǎng)絡(luò)攻擊仍將持續(xù)

　　當(dāng)移動(dòng)端遭受惡意攻擊時(shí)，被攻擊者通常為非專業(yè)技術(shù)人員，比起報(bào)案或請(qǐng)求技術(shù)破解，絕大部分被攻擊者更愿意“主動(dòng)”交費(fèi)以解除威脅。而攻擊者的主要目的就是通過非法手段索取錢財(cái)，從這一角度來看，移動(dòng)端具有“誘人”的黑色收益，且這種收益并不會(huì)隨著技術(shù)的創(chuàng)新或防御手段提升而減少，反而攻擊者利用用戶的依賴心理表現(xiàn)的更加肆無忌憚，移動(dòng)端的勒索攻擊將持續(xù)發(fā)生。

　　2. 社會(huì)工程學(xué)成為主流攻擊手段

　　勒索攻擊在社會(huì)工程學(xué)中的主要表現(xiàn)為直接誘惑和利用好奇心理達(dá)到攻擊目的。直接誘惑中，攻擊者將惡意程序喬裝成與用戶利益直接相關(guān)或有利可圖的助手軟件，如在社交類軟件中，“紅包”幾乎是聊天必備，“搶紅包”作為一種新型慶祝和游戲方式十分受用戶歡迎。攻擊者利用紅包的誘惑偽裝成紅包助手類應(yīng)用誘導(dǎo)下載，如“秒搶紅包”、“紅包速搶”、“紅包外掛”等帶有直接誘惑性的詞語。另一種不同的心理攻擊方法則是利用人的好奇心理，通常惡意應(yīng)用的名稱帶有一定的“勸誡或阻撓”意義，如勒索軟件“不要點(diǎn)我”、“千萬別點(diǎn)開”等。當(dāng)用戶“不聽勸誡”點(diǎn)開軟件圖標(biāo)則面臨系統(tǒng)鎖住的危險(xiǎn)。

　　3. 勒索攻擊低齡化、團(tuán)體化

　　以00后、90后為主的互聯(lián)網(wǎng)技術(shù)愛好者、學(xué)習(xí)者在金錢的誘惑下或?yàn)闈M足自身的欲望逐漸成為“新人”黑客，在網(wǎng)絡(luò)攻擊中占比較大。病毒開發(fā)者呈現(xiàn)低齡化趨勢(shì)。此類“菜鳥黑客”由于年齡小，缺乏健全的法制教育，自身抵制誘惑的能力較弱，在非法收益驅(qū)動(dòng)下，對(duì)網(wǎng)絡(luò)攻擊的熱情相對(duì)較高。雖然“菜鳥黑客”散布的病毒目前沒有達(dá)到完全免殺，但技術(shù)能力仍然持續(xù)提升?！安锁B黑客”攻擊范圍日益擴(kuò)大，難清理、難監(jiān)管，逐漸成為網(wǎng)絡(luò)攻擊的主力軍，需要重點(diǎn)打擊。

　　4. 攻擊團(tuán)伙較為集中，存在市場(chǎng)化攻擊服務(wù)

　　勒索病毒開發(fā)者之間相互關(guān)聯(lián)，攻擊團(tuán)伙相對(duì)固定。從捕獲到的病毒樣本分析來看，雖然威脅行為相同，但收款賬號(hào)信息卻不盡相同，我們認(rèn)為同一勒索病毒程序在反復(fù)流轉(zhuǎn)過程中如鎖屏圖片、收款信息等部分信息可根據(jù)需求實(shí)現(xiàn)定制化，地下黑產(chǎn)行業(yè)已由原先的“個(gè)體戶”變成“服務(wù)商”。惡意程序、鎖機(jī)工具等開發(fā)者團(tuán)隊(duì)或視頻教程、源碼售賣團(tuán)隊(duì)擔(dān)當(dāng)“源碼服務(wù)商”的角色向黑產(chǎn)下游團(tuán)隊(duì)提供豐富的用戶數(shù)據(jù)資源以及攻擊技術(shù)，并形成完整的攻擊方案，使得地下黑產(chǎn)行業(yè)運(yùn)作流程市場(chǎng)化。此類服務(wù)的提供，縮短病毒開發(fā)的周期、降低成本，使得攻擊收益大幅提高。