就在万圣节的前几天,一只叫“坏兔子”的“小鬼”跳了出来,高唱“不给钱,就捣蛋!”
中毒用户将面对一个电脑黑屏,上面是巨大的数字倒计时器,倒数的读秒给人压迫感——“涨价前还剩下40小时”。想解密自己电脑的文件就要按要求支付0.05比特币,过时涨价。
瀚思科技攻防实验室截获“坏兔子”病毒后的运行显示,中毒电脑被倒计时缴纳赎金。
10月24日,俄罗斯、乌克兰等国遭到这款“坏兔子”勒索软件的攻击,并开始向东欧国家蔓延。一些航班由于机场系统遭攻击而被推迟,乌克兰首都基辅的地铁支付系统也遭到黑客攻击,但没有影响列车运行。蔓延迅速、破坏性强大的勒索病毒又双叒叕来了,这次有什么不一样?科技日报记者采访了业内专家。
有没有搭载“大杀器”?勒索病毒里最早出名的是“想哭(WannaCry)”,它影响虽大,其实只勒索到了5位数的赎金。安全业内对它的评价是“业余”,病毒本身有硬伤。有报道这样写道,“令人费解的是WannaCry存在‘杀戮开关’,一位研究人员对其使用独特域名进行注册后(一招打在命门上),就控制住了”。
图片来自网络
尽管程序编写得不专业,但“想哭”利用的漏洞很牛。它搭载了“永恒之蓝”,北京邮电大学灾备技术国家工程实验室副主任、安码科技总经理辛阳说:“‘永恒之蓝’是系统漏洞利用工具,针对早就曝光的Windows数据共享协议(SMB)和开源的Mimikatz存在的漏洞进行攻击。”
随后爆发的Petya病毒及其变种也搭载了这个大杀器。“‘永恒之蓝’是从美国国家安全局网络武器库中泄露出来的”,辛阳说,也就是说,这些蠕虫病毒制造者用了偷来的正规军的火箭运载平台,上面按上了自制的“小土炮弹”。
“坏兔子病毒通过伪装成动画播放插件(AdobeFlashPlayer)的安装包进行传播。用户访问被入侵的合法网站后会被要求更新Flash插件。在更新时,会被某些DNS解析器指向病毒链接,一旦用户更新,就会下载并执行带毒安装包。”辛阳说。有报道显示,斯洛伐克安全软件公司ESET对“坏兔子”进行了研究,其研究人员卢卡斯·斯戴芬科发布推文说,“坏兔子”利用了“永恒之蓝”漏洞通过伪造Flash更新的方式传播。但后来卢卡斯再发推文称,“坏兔子”并未利用“永恒之蓝”。
那么,“坏兔子”究竟有没有搭载这个高级别的“大杀器”呢?
“‘坏兔子’传播途径主要利用了社会工程学,”瀚思科技公司安全分析总监黄晓东抛出了一个专有名词并解释道,“比如你的领导给你发送的文件你肯定会下载,而这次是利用用户最熟悉的提示,习惯性地下载安装就会中毒。利用人们在社会中角色的心理,冒充可信的来源,这个病毒传播手段由来已久。”
黄晓东所在的瀚思科技攻防实验室,截获了“坏兔子”病毒,通过在虚拟机上运行对其进行解析,“它还没有传到中国,我们用这种方式对病毒代码进行研究”。
过时未缴纳赎金的中毒电脑,索要赎金已经加倍。
中了勒索病毒,重启电脑之后,病毒会提示用户去指定网站缴纳赎金。
至于有没有借用“大杀器”攻击,黄晓东最开始也认为没有利用,后来,他从思科公司安全团队Talos的推文中获得消息,“基于新勒索软件的样本分析显示,勒索软件借助利用了名为‘永恒浪漫’(EternalRomance)的漏洞。”黄晓东说。
在对病毒的逐步破解中,研究人员也在不断修正自己的认识。“对病毒的解析时间长短会与它的复杂程度相关,一般需要两周时间才能彻底了解这个病毒。”黄晓东说。
喜好不同,目的何在?“它的口味和喜好与之前几次蠕虫病毒不同,‘坏兔子’的主要攻击对象是公司网络,尤其对交通部门、媒体机构情有独钟。而之前爆发的几次多针对金融机构,政府部门、教育机构,大型企业内网等。”辛阳说。
喜好不同,是不是意味着目的不同呢?危害性又如何?
“对比今年几次勒索病毒的攻击,不难发现,病毒所造成的破坏范围和影响在逐步减弱。目前正在欧洲上蹿下跳的‘坏兔子’,其威力已远不如它的‘前辈’了。最新的这波攻击不大可能造成NotPetya那种程度的全球破坏。”辛阳说。
危害性不大,但能引起恐慌,是因为“坏兔子”迅速影响到交通等重要基础设施,以及媒体,有判断认为这是一场“精心协调”的战役。
图片来自网络
“去年开始,勒索病毒就已经呈爆发的趋势,主要以盈利为目的,但是有时候付了赎金也不能还原文件。”黄晓东说,“但今年主要的两起勒索病毒,‘想哭’和‘NotPetya’,不是以盈利为目的的,而是破坏性的。”
“之前NSA泄露的网络武器库工具,是网络空间战和政治因素的驱动,流落民间之后,又是为利益驱动,目前还未显现出特定的攻击目的性。”辛阳说。
当然也有因为勒索病毒一夜暴富的,据统计,年不太出名的一类利用Angler漏洞攻击包的勒索病毒就在一年内获利万美元。
研究人员通过对病毒的破译会发现其与已知的病毒有相关性,进而判断其来源、或者幕后主使。“如果来自同一个病毒组,就可能来自同一伙黑客,然后顺藤摸瓜。”黄晓东说,但目前暂不清楚“坏兔子”攻击的幕后主使者身份和来源,以及他们的目的。
隐蔽性强,该怎么防范?“‘坏兔子’带有传统蠕虫病毒的特点,会尝试在内网猜解密码,暴力破解登陆凭证,把自己通过网络传递给其他用户。”黄晓东说。
除了强行推销自己,“坏兔子”也有自己的创新。“病毒加密破坏后的文档,并不修改文档扩展名,表面发现不了。”黄晓东说,只有在弹出索要比特币的窗口时,用户才会发现中毒了!
图片来自网络
“隐蔽特性强给勒索病毒带来很大的传播时间窗口,使得不能被及时发现和防范,拉长了它的传播周期和生命周期。”辛阳说,普通用户无论从安全意识层面还是从安全技术防范层面,都要高度重视,及时安装系统补丁和各种漏洞补丁,安装杀毒软件。
“如果在网络上‘闲逛’的时候就能发现并狙击它,就更好了。”黄晓东说,用人工智能的方法可以在还没“中招”前就判断出文件是否恶意。
“我们实测分析显示,通过瀚思深感(DeepSense)系统,无需更新任何规则库,就能检测到‘坏兔子’的攻击。”黄晓东说,传统软件需要获得病毒样本,解析获得病毒码,放进病毒库中,杀毒软件才能识别。“而人工智能的方法是让查杀系统自己会分析哪些是‘坏人’。”
“我们用大数据挖掘来实现网络安全。”黄晓东说,瀚思深感系统的原理和阿法狗相似,是让机器自动学习海量的病毒样本和正常文件,使得机器学到病毒的特征,然后通过算法的精进,对网络上的海量数据快速“安检”,找出病毒。
“安全问题已经成为网络空间的重大问题,从个人安全意识、到防范技术、到企业策略再到国家战略,都应高度中医治疗白殿风怎么治白癜风
