2. 傳播形式
雖然在各類應用程序中的表現形態(tài)不盡相同�,但是其傳播形式卻大同小異,主要通過偽裝���、誘騙的手段吸附在各類應用程序中,具體表現為:
1)?偽裝成游戲����、社交軟件、時下流行軟件的插件等�,當用戶運行時,終端界面就會被惡意程序自身的界面置頂�����,并無法進行操作���;
2)?勒索病毒子包隱藏在資源文件中����,系統(tǒng)后臺自動安裝運行�,并將子包復制到系統(tǒng)目錄下,偽裝成系統(tǒng)應用����。
3. 實現形式
勒索病毒表現出的流氓屬性十分強烈���,根據其攻擊目的對被攻擊者的終端進行操作及系統(tǒng)的破壞,強制被攻擊者付費后被攻擊者終端才可以被解鎖�����,否則一般被攻擊者將無法對其終端進行繼續(xù)操作�����。
多數勒索病毒實現需要申請系統(tǒng)權限或者激活設備管理器權限�����,兩種主要實現方式如下:
1)?控制手機懸浮窗屬性制作一種特殊的全屏懸浮窗并強制置頂���;
2)?通過直接激活設備管理器����,設置系統(tǒng)解鎖密碼����,被攻擊用戶因無法得知解鎖密碼而無法對手機進行操作�����。
4. 贖金形式
不同于PC端勒索病毒�,移動端勒索病毒支付贖金的方式比較簡單�����、靈活��,除了比特幣支付外���,還可以進行微信支付、QQ支付�����、支付寶等直接轉賬支付形式����。此類勒索單次支付金額較低,但存在重復勒索����,關卡收費的情況����。以QQ支付為例����,被攻擊者在解鎖過程中需要繳納入群費、解鎖費甚至學徒費�����。
贖金繳納類型示意
勒索病毒威脅分析
我們對《網絡安全威脅信息共享通報》(以下簡稱《通報》)中勒索病毒作專項調查和分析�����,以《通報》中216個勒索病毒樣本為分析對象���,基于通付盾全渠道應用監(jiān)測平臺���,實現對全網勒索病毒數據的挖掘與分析,共發(fā)現5萬余個含關聯惡意行為的惡意應用�����。下面我們將從攻擊目標����、傳播來源��、威脅行為三個方面對勒索病毒進行威脅趨勢分析�。
1. 偽裝類型分析
根據挖掘出的惡意樣本數據分析�����,我們發(fā)現惡意應用主要偽裝成外掛��、插件等�。其中QQ搶紅包、刷鉆助手�����、王者榮耀輔助����、黑客工具箱���、神器等應用名稱頻繁出現且占比較大�。
全網勒索病毒分布圖譜
根據勒索病毒應用名稱���,主要可分為社交類�����、游戲類��、免流插件類以及視頻四類����。其中,社交類軟件已成為惡意攻擊的首選��,全網勒索病毒中共發(fā)現28,143個社交類應用���,占總數的55%��;其次是免流插件類軟件�,共9,732個����;游戲類軟件作為移動端熱門應用,同樣也是勒索病毒攻擊的高發(fā)區(qū)�����,全網共發(fā)現6,754個相關勒索病毒,排名第三�。
2.傳播來源分析
a)?地域分析
根據全網的勒索病毒數據分析結果來看,勒索病毒主要分布在互聯網發(fā)展較好地區(qū)或鄰近地區(qū)����。就國內而言,勒索病毒主要來源于監(jiān)管不嚴����、審核機制不完善的小型應用市場;從應用市場地理分布來看,勒索病毒的攻擊區(qū)域主要集中在廣東����、北京、湖北等互聯網行業(yè)發(fā)展較好���、經濟較發(fā)達的省市,其中����,廣東省勒索軟件發(fā)生頻次最高,捕獲惡意勒索病毒樣本876個���。其次是北京地區(qū)����,捕獲惡意勒索病毒樣本873個。
b)?病毒開發(fā)者分析
我們對《通報》中的惡意樣本進行逆向分析����,發(fā)現不同病毒樣本在代碼結構上存在很多共性,且不同病毒開發(fā)者之間具有關聯性��。我們對勒索病毒樣本中預留的QQ號以及開發(fā)者信息進行追蹤����,共發(fā)現近百個具有代表性的QQ群組,數萬人受影響���。該類QQ群在作為解鎖贖金收取渠道之外���,群內還通過百度云、貼吧等方式售賣鎖機源碼���、教程���、插件�����、教學視頻�,傳播勒索病毒��。受害者加入群之后����,往往被誘惑成為黑產下線,利用群內兜售的教程向他人發(fā)起二次攻擊��,轉變?yōu)椤安锁B黑客”���,進一步擴大病毒的傳播范圍�����,影響惡劣����。不同QQ群成員之間具有關聯性�,且成員的個人信息一般設定為00后����、90后學生��。
攻擊者攻擊模式示意圖
我們對搶紅包和王者榮耀皮膚兩類勒索病毒中共同存在的鎖屏信息進行攻擊者溯源分析�,追蹤到以推廣和售賣鎖機源碼���、搶紅包��、免流插件���、秒贊工具等為主的“彼岸花技術”黑產團隊,該團隊以QQ群����、網店的形式活躍,通過百度網盤傳播勒索病毒���,人數總計數百人��,相關聯群成員總數達千余人��。除了進群時需要支付費用之外��,群內源碼�����、工具的獲取也需要另外付費�����。下圖展示“彼岸花技術”團伙的溯源過程��,我們可以看出��,大部分病毒開發(fā)者之間相互關聯�����。
“彼岸花”團隊溯源分析圖
c)?威脅行為分析
我們對活躍度集中區(qū)的勒索病毒進行分析���,根據鎖屏實現方式���,大體將勒索病毒威脅行為分為兩大類:一類是通過修改設備的開機密碼來實現,另一類是通過控制懸浮窗置頂屬性來實現�����。
這兩類鎖屏在實現流程上存在共性����,首先,通過偽裝獲取設備的系統(tǒng)權限���;然后����,通過系統(tǒng)權限直接激活設備管理器�����,修改系統(tǒng)開機密碼��,或控制手機懸浮窗強制置頂屬性�,使用戶無法正常使用設備。同時��,有些勒索病毒為防止被破解��,設置可反復鎖屏機制�����,即用戶在破解第一層鎖屏之后會出現第二層鎖屏��,反復循環(huán)。最后被攻擊者需要通過被鎖屏幕中預留的QQ碼�、郵箱、手機號等信息聯系勒索者繳納贖金方可解鎖���。下圖展示了勒索病毒實現的具體流程�。
勒索病毒實現流程圖
威脅趨勢分析
1. 勒索病毒活躍度總體呈上升趨勢
本次報告中�,我們采樣的數據為2016年9月到2017年9月全網范圍內的惡意勒索病毒,從分析結果來看���,勒索病毒活躍度總體呈上升趨勢���,每月新增病毒數持續(xù)增加。其中��,2017年4月份勒索病毒急劇增加�����,新增病毒總數達812個��,比3月份增加了160.2%���。國家互聯網應急響應中心從4月份起發(fā)布一系列勒索病毒通報���,相關單位和部門對勒索病毒采取了一定的防御措施��。5月份之后�,雖然勒索病毒總體仍然處于上升趨勢�,但每月病毒新增速度有所放緩�。9月份新增 219個勒索病毒,增長速度有所下降但仍然相當活躍���。
2.勒索病毒仍將主要攻擊經濟發(fā)達地區(qū)
從惡意樣本的地理分布圖中可以看出�����,勒索病毒主要活躍在廣東�����、北京等互聯網氛圍較好地區(qū)��。2016年9月份到2017年1月份�,勒索病毒集中活躍在北京�����、廣東、湖北經濟發(fā)達地區(qū)���,2017年2月至5月份�����,勒索病毒活躍范圍在原來的基礎上向湖南���、福建、安徽�����、四川�����、天津等鄰近省市擴散�,直至9月份,北京���、廣東仍然是勒索病毒攻擊的重災區(qū)�����,除此以外���,在上海����、浙江等經濟發(fā)展較好的省市也發(fā)現了勒索病毒的蹤跡并且數量逐月增加�,經濟發(fā)達地區(qū)仍將是勒索病毒的主要攻擊目標。
3.勒索病毒查殺成本或將提高
為了逃避安全產品的查殺��,病毒開發(fā)者開始利用各種手段���,提高病毒免殺能力。我們在逆向分析病毒樣本時發(fā)現��,部分勒索病毒使用加密平臺進行加密保護����,不僅難以破解,而且加密過后能夠躲過病毒防御類產品檢測查殺���。某些加固產品無安全認證機制���,免費為各類開發(fā)者包括病毒程序開發(fā)者提供加密服務�����。經過此類加固平臺加固的病毒��,惡意代碼被隱藏�����,查殺難度增大��,提高了查殺成本��。下圖為捕獲到的使用某加固平臺加固后的病毒樣本代碼示例�����。
使用加固平臺加密的病毒樣本截圖示意
總結
1. 不法收益誘惑下的網絡攻擊仍將持續(xù)
當移動端遭受惡意攻擊時��,被攻擊者通常為非專業(yè)技術人員�,比起報案或請求技術破解�,絕大部分被攻擊者更愿意“主動”交費以解除威脅。而攻擊者的主要目的就是通過非法手段索取錢財��,從這一角度來看,移動端具有“誘人”的黑色收益���,且這種收益并不會隨著技術的創(chuàng)新或防御手段提升而減少��,反而攻擊者利用用戶的依賴心理表現的更加肆無忌憚�����,移動端的勒索攻擊將持續(xù)發(fā)生��。
2. 社會工程學成為主流攻擊手段
勒索攻擊在社會工程學中的主要表現為直接誘惑和利用好奇心理達到攻擊目的��。直接誘惑中�����,攻擊者將惡意程序喬裝成與用戶利益直接相關或有利可圖的助手軟件,如在社交類軟件中���,“紅包”幾乎是聊天必備���,“搶紅包”作為一種新型慶祝和游戲方式十分受用戶歡迎。攻擊者利用紅包的誘惑偽裝成紅包助手類應用誘導下載���,如“秒搶紅包”�、“紅包速搶”、“紅包外掛”等帶有直接誘惑性的詞語�。另一種不同的心理攻擊方法則是利用人的好奇心理,通常惡意應用的名稱帶有一定的“勸誡或阻撓”意義����,如勒索軟件“不要點我”、“千萬別點開”等�。當用戶“不聽勸誡”點開軟件圖標則面臨系統(tǒng)鎖住的危險。
3. 勒索攻擊低齡化��、團體化
以00后�����、90后為主的互聯網技術愛好者��、學習者在金錢的誘惑下或為滿足自身的欲望逐漸成為“新人”黑客�����,在網絡攻擊中占比較大�����。病毒開發(fā)者呈現低齡化趨勢。此類“菜鳥黑客”由于年齡小�,缺乏健全的法制教育,自身抵制誘惑的能力較弱����,在非法收益驅動下,對網絡攻擊的熱情相對較高�。雖然“菜鳥黑客”散布的病毒目前沒有達到完全免殺,但技術能力仍然持續(xù)提升�。“菜鳥黑客”攻擊范圍日益擴大�,難清理、難監(jiān)管���,逐漸成為網絡攻擊的主力軍����,需要重點打擊�。
4. 攻擊團伙較為集中��,存在市場化攻擊服務
勒索病毒開發(fā)者之間相互關聯����,攻擊團伙相對固定�。從捕獲到的病毒樣本分析來看�����,雖然威脅行為相同�����,但收款賬號信息卻不盡相同���,我們認為同一勒索病毒程序在反復流轉過程中如鎖屏圖片�、收款信息等部分信息可根據需求實現定制化��,地下黑產行業(yè)已由原先的“個體戶”變成“服務商”��。惡意程序��、鎖機工具等開發(fā)者團隊或視頻教程��、源碼售賣團隊擔當“源碼服務商”的角色向黑產下游團隊提供豐富的用戶數據資源以及攻擊技術��,并形成完整的攻擊方案��,使得地下黑產行業(yè)運作流程市場化��。此類服務的提供,縮短病毒開發(fā)的周期����、降低成本,使得攻擊收益大幅提高���。
移動互聯網的蓬勃發(fā)展�,不僅滿足了公眾多樣化的需求��,服務水平和質量也大幅提升��。與此同時�,業(yè)務多樣性、 系統(tǒng)復雜性��、技術綜合性等因素導致安全隱患相伴而生����。通過對全網勒索病毒移動應用的監(jiān)測分析,發(fā)現移動應用安全問題對企業(yè)用戶和個人用戶的隱私�、財產安全造成極大威脅?!秷蟾妗钒l(fā)布有助相關部門出臺相關法律法規(guī)��、政策,合理規(guī)劃網絡安全發(fā)展策略����,凈化網絡空間安全、打擊網絡違法犯罪��,助力移動互聯網快速����、安全發(fā)展。
