'《2019年上半年勒索病毒疫情分析報告》之三:勒索病毒攻擊者分析'
引言:《2019年上半年勒索病毒疫情分析報告》(以下簡稱“報告”)由360核心安全反病毒部和360智庫聯合發佈。報告包含五部分,分別為勒索病毒上半年攻防態勢分析、受害者分析、攻擊者分析、勒索病毒發展趨勢分析和安全建議。全文將分期對外公開。
根據數據分析,2019年上半年,黑客攻擊時間主要集中在15時至次日7時,攻擊手段多樣,常用弱口令等五大攻擊手段。
一、 黑客登錄受害計算機時間分佈
利用360安全大腦對被黑客攻擊計算機(多為服務器系統)的相關數據進行分析,發現攻擊時間分佈情況不再平均。上午與中午時間段攻擊佔比較低,攻擊主要集中在15時至次日7時。一方面是因為這個時間段服務器無人值守,更易成功入侵;另一方面可能也和入侵者所在地區與中國存在時差有關。如下圖所示。
引言:《2019年上半年勒索病毒疫情分析報告》(以下簡稱“報告”)由360核心安全反病毒部和360智庫聯合發佈。報告包含五部分,分別為勒索病毒上半年攻防態勢分析、受害者分析、攻擊者分析、勒索病毒發展趨勢分析和安全建議。全文將分期對外公開。
根據數據分析,2019年上半年,黑客攻擊時間主要集中在15時至次日7時,攻擊手段多樣,常用弱口令等五大攻擊手段。
一、 黑客登錄受害計算機時間分佈
利用360安全大腦對被黑客攻擊計算機(多為服務器系統)的相關數據進行分析,發現攻擊時間分佈情況不再平均。上午與中午時間段攻擊佔比較低,攻擊主要集中在15時至次日7時。一方面是因為這個時間段服務器無人值守,更易成功入侵;另一方面可能也和入侵者所在地區與中國存在時差有關。如下圖所示。
二、 攻擊手段
攻擊者主要利用以下五種手段進行入侵,包括弱口令、釣魚郵件、系統與軟件漏洞、網站掛馬、破解軟件與激活工具等。
(一) 弱口令攻擊
口令爆破攻擊依然是當前最為流行的攻擊手段。使用過於簡單的口令或者已經洩露的口令是造成設備被攻陷的最常見原因。計算機中主要有7個領域涉及到口令爆破攻擊,主要包括遠程桌面弱口令、SMB弱口令、數據庫管理系統弱口令(例如MySQL、SQL Server、Oracle等)、Tomcat弱口令、phpMyAdmin弱口令、VNC弱口令、FTP弱口令等。因系統遭遇弱口令攻擊而導致數據被加密的情況,排在所有被攻擊情況的首位。
弱口令攻擊持續成為黑客熱衷使用的手段,其原因有以下五點:
1、安全意識淡薄。存在圖省事、僥倖的心理,認為黑客不會攻擊自己的機器。
2、使用者不清楚自己的設備中存在弱口令問題。
3、各種弱口令攻擊工具比較完善,被公佈在外的利用工具和教程眾多,攻擊難度低。
4、各類軟件與系統服務,本身對口令爆破攻擊的防護能力較弱。很多安全軟件不具備防護弱口令掃描攻擊的能力,造成這類攻擊橫行。
5、使用已經洩露的口令。部分軟件系統,存在內置口令,這個口令早已被攻擊者收集,另外多個服務和設備使用相同口令,也是造成口令洩露的一個常見因素。
遠程桌面弱口令攻擊已成為傳播勒索病毒的最主要方式。根據360互聯網安全中心對遠程桌面弱口令爆破的監控,上半年對此類攻擊的日均攔截量超過370萬次。排名靠前的勒索病毒家族,如GlobeImposter、GandCrab、Crysis都在利用這一方法進行傳播。
黑客攻擊攻手法包含三步。首先嚐試攻擊暴露於公網的服務器,獲得一定的權限後。其次,利用這臺機器做中轉,繼續尋找內網內其他易受攻擊的機器,在內網中進一步擴散。最後,在入侵了一定數量的設備之後,就會向這些設備植入挖礦木馬和勒索病毒。有時,黑客還會利用這些被感染機器對其他公網機器發起攻擊。因此,當用戶感知到機器被攻擊文件被加密時,通常是多臺設備同時中招。
(二) 釣魚郵件攻擊
“釣魚郵件”攻擊是常見的一類攻擊手段,在勒索病毒傳播中也被大量採用。通過具有誘惑力的郵件標題、內容、附件名稱等,誘騙用戶打開木馬站點或者帶毒附件,從而攻擊用戶計算機。比如Sodinokibi勒索病毒,就大量使用釣魚郵件進行傳播。攻擊者偽裝成DHL向用戶發送繁體中文郵件,提示用戶的包裹出現無限期延誤,需要用戶查看郵件附件中的“文檔”後進行聯絡。但實際該壓縮包內是偽裝成文檔的勒索病毒。
引言:《2019年上半年勒索病毒疫情分析報告》(以下簡稱“報告”)由360核心安全反病毒部和360智庫聯合發佈。報告包含五部分,分別為勒索病毒上半年攻防態勢分析、受害者分析、攻擊者分析、勒索病毒發展趨勢分析和安全建議。全文將分期對外公開。
根據數據分析,2019年上半年,黑客攻擊時間主要集中在15時至次日7時,攻擊手段多樣,常用弱口令等五大攻擊手段。
一、 黑客登錄受害計算機時間分佈
利用360安全大腦對被黑客攻擊計算機(多為服務器系統)的相關數據進行分析,發現攻擊時間分佈情況不再平均。上午與中午時間段攻擊佔比較低,攻擊主要集中在15時至次日7時。一方面是因為這個時間段服務器無人值守,更易成功入侵;另一方面可能也和入侵者所在地區與中國存在時差有關。如下圖所示。
二、 攻擊手段
攻擊者主要利用以下五種手段進行入侵,包括弱口令、釣魚郵件、系統與軟件漏洞、網站掛馬、破解軟件與激活工具等。
(一) 弱口令攻擊
口令爆破攻擊依然是當前最為流行的攻擊手段。使用過於簡單的口令或者已經洩露的口令是造成設備被攻陷的最常見原因。計算機中主要有7個領域涉及到口令爆破攻擊,主要包括遠程桌面弱口令、SMB弱口令、數據庫管理系統弱口令(例如MySQL、SQL Server、Oracle等)、Tomcat弱口令、phpMyAdmin弱口令、VNC弱口令、FTP弱口令等。因系統遭遇弱口令攻擊而導致數據被加密的情況,排在所有被攻擊情況的首位。
弱口令攻擊持續成為黑客熱衷使用的手段,其原因有以下五點:
1、安全意識淡薄。存在圖省事、僥倖的心理,認為黑客不會攻擊自己的機器。
2、使用者不清楚自己的設備中存在弱口令問題。
3、各種弱口令攻擊工具比較完善,被公佈在外的利用工具和教程眾多,攻擊難度低。
4、各類軟件與系統服務,本身對口令爆破攻擊的防護能力較弱。很多安全軟件不具備防護弱口令掃描攻擊的能力,造成這類攻擊橫行。
5、使用已經洩露的口令。部分軟件系統,存在內置口令,這個口令早已被攻擊者收集,另外多個服務和設備使用相同口令,也是造成口令洩露的一個常見因素。
遠程桌面弱口令攻擊已成為傳播勒索病毒的最主要方式。根據360互聯網安全中心對遠程桌面弱口令爆破的監控,上半年對此類攻擊的日均攔截量超過370萬次。排名靠前的勒索病毒家族,如GlobeImposter、GandCrab、Crysis都在利用這一方法進行傳播。
黑客攻擊攻手法包含三步。首先嚐試攻擊暴露於公網的服務器,獲得一定的權限後。其次,利用這臺機器做中轉,繼續尋找內網內其他易受攻擊的機器,在內網中進一步擴散。最後,在入侵了一定數量的設備之後,就會向這些設備植入挖礦木馬和勒索病毒。有時,黑客還會利用這些被感染機器對其他公網機器發起攻擊。因此,當用戶感知到機器被攻擊文件被加密時,通常是多臺設備同時中招。
(二) 釣魚郵件攻擊
“釣魚郵件”攻擊是常見的一類攻擊手段,在勒索病毒傳播中也被大量採用。通過具有誘惑力的郵件標題、內容、附件名稱等,誘騙用戶打開木馬站點或者帶毒附件,從而攻擊用戶計算機。比如Sodinokibi勒索病毒,就大量使用釣魚郵件進行傳播。攻擊者偽裝成DHL向用戶發送繁體中文郵件,提示用戶的包裹出現無限期延誤,需要用戶查看郵件附件中的“文檔”後進行聯絡。但實際該壓縮包內是偽裝成文檔的勒索病毒。
(三) 利用系統與軟件漏洞攻擊
漏洞攻防一直是安全攻防的最前沿陣地,利用漏洞發起攻擊也是最常見的安全問題之一。目前,黑客用來傳播勒索病毒的系統漏洞、軟件漏洞,大部分都是已被公開的且提供了修復方案的漏洞,但並非所有用戶都會及時安裝補丁或者升級軟件,所以即使是被修復的漏洞(Nday漏洞)仍深受黑客們的青睞。一旦有利用價值高的漏洞出現,都會很快被黑客加入到自己的攻擊工具中。“永恆之藍”工具就是其中的一個典型代表,其被用來傳播WannaCry勒索病毒。
由於大部分服務器都會對外開放部分服務,這意味著一旦系統漏洞、第三方應用漏洞沒有及時修補,攻擊者就可能乘虛而入。比如年初的alanwalker勒索病毒,攻擊Weblogic、Jboss、Tomcat等Web應用,之後通過Web應用入侵Windows服務器,下載執行勒索病毒。今年上半年,常被用來實施攻擊的漏洞包括(部分列舉):
Confluence RCE 漏洞 CVE-2019-3396
WebLogic反序列化漏洞 CVE-2019-2725
Windows內核提權漏洞 CVE-2018-8453
JBoss反序列化漏洞 CVE-2017-12149
JBoss默認配置漏洞 CVE-2010-0738
JBoss默認配置漏洞 CVE-2015-7501
WebLogic反序列化漏洞 CVE-2017-10271
“永恆之藍”相關漏洞 CVE-2017-0146
Struts遠程代碼執行漏洞S2-052(僅掃描)CVE-2017-9805
WebLogic任意文件上傳漏洞 CVE-2018-2894
Spring Data Commons遠程代碼執行漏洞 CVE-2018-1273
比如,4月底,360安全大腦監控到有黑客在利用各類Web組件漏洞攻擊用戶服務器,並植入“鎖藍”勒索病毒。攻擊者主要使用的是一個4月底剛被披露的Weblogic遠程代碼執行漏洞,因為許多用戶還沒來得及打補丁,“鎖藍”才會屢屢得手。
引言:《2019年上半年勒索病毒疫情分析報告》(以下簡稱“報告”)由360核心安全反病毒部和360智庫聯合發佈。報告包含五部分,分別為勒索病毒上半年攻防態勢分析、受害者分析、攻擊者分析、勒索病毒發展趨勢分析和安全建議。全文將分期對外公開。
根據數據分析,2019年上半年,黑客攻擊時間主要集中在15時至次日7時,攻擊手段多樣,常用弱口令等五大攻擊手段。
一、 黑客登錄受害計算機時間分佈
利用360安全大腦對被黑客攻擊計算機(多為服務器系統)的相關數據進行分析,發現攻擊時間分佈情況不再平均。上午與中午時間段攻擊佔比較低,攻擊主要集中在15時至次日7時。一方面是因為這個時間段服務器無人值守,更易成功入侵;另一方面可能也和入侵者所在地區與中國存在時差有關。如下圖所示。
二、 攻擊手段
攻擊者主要利用以下五種手段進行入侵,包括弱口令、釣魚郵件、系統與軟件漏洞、網站掛馬、破解軟件與激活工具等。
(一) 弱口令攻擊
口令爆破攻擊依然是當前最為流行的攻擊手段。使用過於簡單的口令或者已經洩露的口令是造成設備被攻陷的最常見原因。計算機中主要有7個領域涉及到口令爆破攻擊,主要包括遠程桌面弱口令、SMB弱口令、數據庫管理系統弱口令(例如MySQL、SQL Server、Oracle等)、Tomcat弱口令、phpMyAdmin弱口令、VNC弱口令、FTP弱口令等。因系統遭遇弱口令攻擊而導致數據被加密的情況,排在所有被攻擊情況的首位。
弱口令攻擊持續成為黑客熱衷使用的手段,其原因有以下五點:
1、安全意識淡薄。存在圖省事、僥倖的心理,認為黑客不會攻擊自己的機器。
2、使用者不清楚自己的設備中存在弱口令問題。
3、各種弱口令攻擊工具比較完善,被公佈在外的利用工具和教程眾多,攻擊難度低。
4、各類軟件與系統服務,本身對口令爆破攻擊的防護能力較弱。很多安全軟件不具備防護弱口令掃描攻擊的能力,造成這類攻擊橫行。
5、使用已經洩露的口令。部分軟件系統,存在內置口令,這個口令早已被攻擊者收集,另外多個服務和設備使用相同口令,也是造成口令洩露的一個常見因素。
遠程桌面弱口令攻擊已成為傳播勒索病毒的最主要方式。根據360互聯網安全中心對遠程桌面弱口令爆破的監控,上半年對此類攻擊的日均攔截量超過370萬次。排名靠前的勒索病毒家族,如GlobeImposter、GandCrab、Crysis都在利用這一方法進行傳播。
黑客攻擊攻手法包含三步。首先嚐試攻擊暴露於公網的服務器,獲得一定的權限後。其次,利用這臺機器做中轉,繼續尋找內網內其他易受攻擊的機器,在內網中進一步擴散。最後,在入侵了一定數量的設備之後,就會向這些設備植入挖礦木馬和勒索病毒。有時,黑客還會利用這些被感染機器對其他公網機器發起攻擊。因此,當用戶感知到機器被攻擊文件被加密時,通常是多臺設備同時中招。
(二) 釣魚郵件攻擊
“釣魚郵件”攻擊是常見的一類攻擊手段,在勒索病毒傳播中也被大量採用。通過具有誘惑力的郵件標題、內容、附件名稱等,誘騙用戶打開木馬站點或者帶毒附件,從而攻擊用戶計算機。比如Sodinokibi勒索病毒,就大量使用釣魚郵件進行傳播。攻擊者偽裝成DHL向用戶發送繁體中文郵件,提示用戶的包裹出現無限期延誤,需要用戶查看郵件附件中的“文檔”後進行聯絡。但實際該壓縮包內是偽裝成文檔的勒索病毒。
(三) 利用系統與軟件漏洞攻擊
漏洞攻防一直是安全攻防的最前沿陣地,利用漏洞發起攻擊也是最常見的安全問題之一。目前,黑客用來傳播勒索病毒的系統漏洞、軟件漏洞,大部分都是已被公開的且提供了修復方案的漏洞,但並非所有用戶都會及時安裝補丁或者升級軟件,所以即使是被修復的漏洞(Nday漏洞)仍深受黑客們的青睞。一旦有利用價值高的漏洞出現,都會很快被黑客加入到自己的攻擊工具中。“永恆之藍”工具就是其中的一個典型代表,其被用來傳播WannaCry勒索病毒。
由於大部分服務器都會對外開放部分服務,這意味著一旦系統漏洞、第三方應用漏洞沒有及時修補,攻擊者就可能乘虛而入。比如年初的alanwalker勒索病毒,攻擊Weblogic、Jboss、Tomcat等Web應用,之後通過Web應用入侵Windows服務器,下載執行勒索病毒。今年上半年,常被用來實施攻擊的漏洞包括(部分列舉):
Confluence RCE 漏洞 CVE-2019-3396
WebLogic反序列化漏洞 CVE-2019-2725
Windows內核提權漏洞 CVE-2018-8453
JBoss反序列化漏洞 CVE-2017-12149
JBoss默認配置漏洞 CVE-2010-0738
JBoss默認配置漏洞 CVE-2015-7501
WebLogic反序列化漏洞 CVE-2017-10271
“永恆之藍”相關漏洞 CVE-2017-0146
Struts遠程代碼執行漏洞S2-052(僅掃描)CVE-2017-9805
WebLogic任意文件上傳漏洞 CVE-2018-2894
Spring Data Commons遠程代碼執行漏洞 CVE-2018-1273
比如,4月底,360安全大腦監控到有黑客在利用各類Web組件漏洞攻擊用戶服務器,並植入“鎖藍”勒索病毒。攻擊者主要使用的是一個4月底剛被披露的Weblogic遠程代碼執行漏洞,因為許多用戶還沒來得及打補丁,“鎖藍”才會屢屢得手。
(四) 網站掛馬攻擊
掛馬攻擊一直以來是黑客們熱衷的一種攻擊方式,常見的有通過攻擊正常站點,插入惡意代碼實施掛馬,也有自己搭建惡意站點誘騙用戶訪問的。如果訪問者的機器存在漏洞,那麼在訪問這些被掛馬站點時,就極有可能感染木馬病毒。如今年3月份再次活躍的Paradise勒索病毒,就是通過網站掛馬的方式進行傳播的。攻擊者使用了在暗網上公開售賣的Fallout Exploit Kit漏洞利用工具進行攻擊,該漏洞利用工具之前還被用來傳播GandCrab和一些其它惡意軟件。
在使用的漏洞方面,Windows自身漏洞和flash漏洞是網頁掛馬中,最常被使用到的漏洞。比如CVE-2018-4878flash漏洞和CVE-2018-8174 Windows VBScript引擎遠程代碼執行漏洞就被用來傳播GandCrab。
(五) 利用破解軟件與激活工具攻擊
破解軟件與激活工具通常都涉及到知識產權侵權問題,一般是由個人開發者開發與發佈。此類軟件或工具由於缺少有效的管理,其中魚龍混雜,也是夾帶木馬病毒的重災區。如國內流行的一些系統激活工具中,多次被發現攜帶有下載器、rootkit木馬、遠控木馬等。STOP勒索病毒便是其中一類,從去年年底開始活躍的STOP勒索病毒,通過捆綁在一些破解軟件和激活工具中,當用戶下載使用這些軟件時,病毒便被激活、感染用戶計算機、加密計算機中的文件。
相關推薦
