设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 数据 公司
当前位置: 首页 > 服务器 > 安全 > 正文

深度 | 和木马撕X的三场战役

发布时间:2017-01-25 15:34 所属栏目:53 来源:雷锋网
导读:1989年,勒索木马的鼻祖“ PC Cyborg 木马”出现,以“艾滋病信息引导盘”的形式进入系统,在系统启动次数达到 90 次时,该木马将 C 盘的全部文件加密。此时,屏幕显示信息,声称用户的软件许可已经过期,要求用户向“ PC Cyborg ”公司位于巴拿马的邮箱寄

1989年,勒索木马的鼻祖“ PC Cyborg 木马”出现,以“艾滋病信息引导盘”的形式进入系统,在系统启动次数达到 90 次时,该木马将 C 盘的全部文件加密。此时,屏幕显示信息,声称用户的软件许可已经过期,要求用户向“ PC Cyborg ”公司位于巴拿马的邮箱寄去 189 美元,以解锁系统。

庆幸的是,这个勒索木马的作者被抓获,被起诉时他还曾为自己辩解,称其非法所得用于艾滋病研究。

如今,艾滋病依然是闻之令人变色的疾病,但勒索木马也丝毫不逊色。多年来,各种勒索木马肆虐赛博世界,因其复杂的加密形式,一旦中招,除了极少部分可以被破解加密方法,大部分被加密的文件要么只能在利益权衡下被忍痛舍弃,要么只能靠赎金解救。

现在,许多勒索木马作者依然躲在黑暗的世界里横行,虽然在与他们的战役中,败多胜少,但是依然还是有一群守护者坚守在这个领域。

也许,在这场常常被失败笼罩乌云的战役中,需要看到一些胜利继续被鼓舞前进。

2016年的三场胜利

对腾讯反病毒实验室而言,2016 年的这三场胜仗值得铭记。

腾讯反病毒实验室安全研究员刘桂泽告诉小编,很多勒索软件的加密需要超级计算机一刻不停地计算,才能在数百年后解密。人们对这些勒索软件的反破解能力如同一艘小船在苍茫大海上遇上一艘巨轮,无疑以卵击石。

只有在勒索木马加密强度不高时,才可被斩于马下。

  • 一招棋错的petya

勒索木马Petya 在 2016 年 3 月被人出现,且以一种全新方式登场:修改系统 MBR 引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,通过 Tor 匿名网络索取比特币。

这是第一个将敲诈和修改 MBR 合二为一的恶意木马,这意味着,它的破坏力极强。

深度 | 和木马撕X的三场战役

petya 的战术出其不意,本来看上去已毫无胜算。不料,研究人员在分析它的样本时,峰回路转。由于这个勒索木马作者的疏忽,petya 这个家伙虽然算法很完美,但用得有问题——密钥支持 64 位,却只用了 16 位,加密强度呈指数级降低,于是,一艘巨轮幻化成了与小船同等量级的对手。

刘桂泽称,靠修改 MBR,利用加密算法漏洞暴力破解,针对petya的破解工具不到一天就被制作了出来。

  • 变化多端的 locky

与 petya 的战斗可以称得上速战速决,但下一个对手locky 却没有这么简单。

locky 并非 2016 年出现的新勒索木马,却在 2016 年,产生了多个变种。刘桂泽称,locky 是 2016 年变种最多、变化速度最快的对手。相比正面狙击,locky 简直就是开挂的持续战选手。

locky 在2016年2月席卷全球,大肆攻击企业与个人用户。

深度 | 和木马撕X的三场战役

按照刘桂泽的说法,一般一种勒索木马都是玩一波就走,但是locky 却异常顽强。

“因为locky 的作者比较执着,喜欢跟安全软件斗争。它的变化速度有多快?比如,同一天上午和下午收到的该勒索软件的邮件后,下载附件,可能中了locky 1的招,到了下午下载同一个邮件,就是locky 2,甚至你和同事同时下载,都可能中了不同版本的招。locky 在不同国家和地区版本也各异。总体来说,它会根据时间、IP等变化。”刘桂泽说。

这样开挂的选手,常常让杀毒软件反应不过来,就像你刚拿出手榴弹,准备朝对面的敌人扔过去,却发现不知何时敌人又派了一架轰炸机。

它也很像一个狡诈的间谍,时刻变化着装、妆容。一般人很难从间谍乔装打扮及精湛的演技中辨认出是否同一人。

在这种棘手的情况下,刘桂泽说,他们只好派出了哈勃分析系统。

哈勃分析系统有很大的分析集群,对历史信息持续监测,对新样本进行分析,了解是否与之前的木马有相似的家族特征。哈勃不需要看这个勒索木马穿了什么“衣服”,却可以透过衣服看“基因”,把勒索木马文件下载后进行虚拟执行,把这个狡诈的对手所有可能的运行道路都走一遍,相当于派专人不断下载跟踪。

当然,对于已经中招的用户,已回天乏力。但是,在locky频繁变种及躲避查杀下,第一时间识别它,做到预先拦截,已经是可喜的胜利。

  • 犯案者可能是十几岁小孩的手机锁屏敲诈

2016年,腾讯反病毒实验室还遇到一场锁屏敲诈的战斗。

这些锁屏敲诈木马主要有 Windows 密码锁屏、非英文密码锁屏、FBI 敲诈木马、安卓系统锁屏敲诈木马等,木马制作者通常将这些木马伪装成免费刷钻、批量刷赞等名号,吸引受害者安装,一旦受害者重启电脑或者手机锁屏,新密码便会启动。

刘桂泽称,对手主要是手机锁屏敲诈。每天有上万个安卓手机用户遭遇了手机锁屏敲诈,而且这个锁屏敲诈木马很狡猾,专门伪装成比较实用的应用诱使用户下载。

深度 | 和木马撕X的三场战役

比如,它会伪装成系统整理软件,安卓用户老觉得手机慢,愿意装这种软件,还有一些会伪装成壁纸类 App,结果下载运行后,敲诈锁机页面覆盖了原来的开机页面。

“安卓手机用户有多少会刷机?很多品牌的手机刷机了后,都与售后条款有冲突,不再属于售后范围。再加上,锁机敲诈往往金额不高,就 10 到几十个虚拟货币,而且,我们在提供专杀工具,跨界打击后发现,多起锁机敲诈的操作者是十几岁的小孩。”刘桂泽说。

这一类型的勒索敲诈,纯粹就是“国产”。刘桂泽分析,因为歪果仁用 iPhone 较多,应用软件多从应用商店购买,虽然现在 Apple 的应用商店也常爆出有木马应用,但相对而言,国内安卓用户更多,且应用下载渠道五花八门,给了手机锁屏敲诈可乘之机。

不过,刘桂泽认为,这一类手机锁屏敲诈木马在技术难度上没有那么高,这也是为何许多十几岁小孩参与了敲诈。

攻防之战:勒索软件变化升级

道高一尺,魔高一丈。

在这场与勒索木马的斗争中,安全人员的对手——勒索木马也在依据人们的防守策略不断调整自己的进攻姿势。

  • 升级招式一:反侦察,你骗我也骗

刘桂泽称,2016年来,勒索木马与安全人员对抗增加,如代码混淆,检测分析环境,检测虚拟机等。勒索木马已经学会了对安全人员的反侦察。

安全人员在分析勒索木马时,是在实验室环境下进行,而非真实的用户环境。这是什么意思?

比如,如果是虚拟机运行,用户不会和虚拟机有什么交互,而真实的环境则会有人机交互。

勒索木马在侦查时,还会看看:为什么这台设备的运行速度这么快,都没有人按键盘,是不是机器在自己操作?为什么这台设备上没什么文件,或者为什么这台设备都没有某宝购物网站的浏览记录?

勒索木马变得越来越精明,它不在乎对方是不是有价值的“平民”,它想知道的是对方是不是手握武器的士兵!

在严密分析后,勒索木马就会作出决策:要不要进攻?还是蛰伏就好?

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读