揭秘“敲诈者”的黑色产业链
小编()按:本文作者腾讯反病毒实验室,节选自《“敲诈者”黑产研究报告》。 导读 一封短短的邮件,却可以被不法分子用来远程加密受害者文件,敲诈比特币赎金。 本来用于自动运行操作方便用户的宏命令,却成为了木马的“帮凶”。 敲诈木马的背后,是成熟运转的黑色产业链。从恶意服务器的注册和建设,到木马的制作、邮件的发送,都能从受害者支付的赎金中分得一杯羹。 不法分子还会利用宏发动什么样的攻击?面对这样的木马又应该如何防范? 本文将带你了解以上内容,挖掘“敲诈者”及其背后的黑色产业。 一、愈演愈烈的敲诈风暴
北京的汪为(化名)周一上班后,和往常一样开始处理手头的工作。 汪为所在的公司是一家互联网企业,汪为日常的工作是在网上与客户进行联系,维护产品销售渠道。最近,公司准备出国参加一场展销会,汪为正跟几家快递公司通过邮件商量宣传物资的邮递事宜。汪为在未读邮件中挑出了与快递相关的部分,逐一阅读并打开其中的附件。他不知道的是,在这批邮件中,有一封主题为Delivery Notification的邮件,正悄悄地露出自己狰狞的爪牙。 一小时后,汪为看着自己电脑上被改成乱码无法打开的文件,以及被修改为敲诈内容的桌面背景,近乎绝望的心情占据了整个内心。 汪为的遭遇并非个例。自2014年起,陆续有人在打开邮件之后,发现自己电脑中的文件被修改,其中不乏公司核心数据、有重要意义的图片等内容,一旦丢失造成的损失难以估量。同时,这些受害者都发现,在显著位置上出现的敲诈文字,内容不外乎是“文件已被加密,如需恢复请按如下方式支付赎金……”云云。 哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系统。凭借每日对真实环境中捕获的海量样本进行自动化分析,哈勃分析系统在第一时间捕获到了这类木马。 据哈勃分析系统长时间跟踪发现,敲诈木马最初仅在国外传播,后来逐渐渗透到国内,敲诈使用的语言也从单一的英语逐渐发展到了包括中文在内的多种语言。受到木马影响的公司不乏医院、公交公司这样的大型企业。 更为严重的是,除了一些自身含有漏洞的木马之外,还有很多木马并无有效的解决之道,如果事先防范措施没有做好,中招之后除了联系不法分子之外无计可施。虽然FBI曾经提示不要支付赎金,以免木马制作者尝到甜头,继续传播木马,然而对于一些重要的数据被加密的公司而言,这是无奈之中最后的办法,例如好莱坞某医院为了恢复患者病历,被迫支付了相当于数万美元的赎金。 二、木马的传播渠道
这些破坏力强大、影响恶劣的木马,是如何传播到受害者电脑上的呢?经哈勃分析系统的调查,木马的常用传播渠道是通过邮件进行传播,将木马伪装成邮件附件,吸引受害者打开。其中,最常见的附件格式是微软的Office文档,木马使用文档中的宏功能执行恶意命令,再从网上下载真正的恶意程序,对受害者电脑进行攻击。 哈勃分析系统研究发现,在木马入侵受害者电脑的每一步,都有一些固定的套路和模式。 在木马传播的第一步,即发送带木马的邮件时,不法分子通常会使用一些正常的公务主题进行伪装,诱使受害者打开附件。此前汪为遇到的假冒邮件,是假称快递除了问题;除此之外,常见的主题还包括发票、费用确认等。一个明显的现象是,处于财务、会计、对外关系等职位的员工,每日收发的同类邮件较多,对于这类邮件容易降低警惕心,因此容易成为不法分子发送邮件的目标。 如果受害者打开了带木马的宏文档,由于高版本Office中,默认是不开启宏的,所以木马会在文档正文中诱导用户启用宏,使得恶意代码得以执行。 除了在邮件附件中放置文档之外,还有一些其它的文件格式被用于木马的传播。这些格式有的是可以直接运行的脚本格式,例如Powershell、js、vbs等,有的是格式关联的可执行文件具有一定的任意执行能力,例如JAR、CHM等。 三、木马背后的威胁情报
既然大部分文档木马中的宏运行起来后,会从网络上下载可执行文件,那么通过下载地址是否能找到有关木马作者的蛛丝马迹呢? 哈勃分析系统抓取了一段时间自动捕获的木马数据,对木马以及下载时用到的网址进行了统计分析。 下载网址对应的域名,有一些用的是通用域名,其中又以.com域名最多,占全部域名接近一半的比例。还有一些用的是国家域名,数量较多的是.cn(中国)和.ru(俄罗斯)。 同时,通过下载目标的命名可以看出,木马经常将恶意文件伪装成jpg、gif之类的图片文件,或者是访问php、cgi这样的动态网页,不直接提供文件格式信息,以躲避部分安全产品对exe可执行文件的检查。 下载网址对应的IP信息,来自33个不同国家,其中又以美国和俄罗斯的服务器数量最多。 下载网址又可以分为两种情况。有的类似如下网址: http://robotforex[.]net/873nf3ghttp://sayvir[.]com/087gbdv4http://seyahatdanismani[.]net/878hf33f34fhttp://sublimeshop[.]co[.]uk/87t34f (编辑:ASP站长网) |