经济利益是黑客攻击主要驱动力
2019 处理的安全事件
中,绝大多数攻击者具有较为明确的目的,如下图所示:以经济为攻击意图 的安全事件达到了 77%,其中包含了勒索诈骗、虚拟挖矿、黑产活动以及为后续黑产做铺垫的后门权限 维持等攻击行为。 恶意竞争
政治 勒索诈骗
虚拟挖矿
业务安全 24%
6% 经济
权限维持 77%
其他原因
黑产活动 12%
- 其他原因
业务安全
政治
恶意竞争
- 虚拟挖矿
勒索诈骗
权限维持
黑产活动 图 2.10 攻击意图分类统计图 对于大部分攻击者而言,发起攻击的主要原因是为获取暴利,实现自身最大利益。为提高投资回报率, 攻击者往往倾向于用成本低、传播广的方式进行攻击。如利用武器化的漏洞利用模块搭载挖矿、勒索恶 意代码进行蠕虫式传播,可以快速攫取大量虚拟币;利用撞库、弱口令对脆弱系统进行攻击;利用广撒 网的钓鱼邮件进行攻击;利用 1DAY漏洞抢占迅速发开出各类自动化利用工具,在全网扫描抢占肉鸡资 源;通过完善的产业链 进一步降低成本等。在经济利益的驱动下,攻击者将不断更新攻击手段,完善黑色产业链;这也使得使网络攻击更加难 以防范,为网络安全 从业者带来新的挑战。### 勒索软件即服务势头迅猛 勒索软件即服务(RaaS)是指由开发者编写恶意软件后,提供给代理分发者,扩散感染再抽成的 利模式。这种模式让黑产从业者不需要恶意软件开发的专业知识就可以发起勒索活动,他们可以通过 RaaS 轻获取勒索软件,只需进行一些配置并将恶意软件分发给受害者即可。低门槛高收益的利模 式推动黑色产业链日趋成熟,勒索软件层出不穷,频繁更新更是堪比商业软件。并伴随低风险,高收益 的特性,让不少黑客们跃跃欲试。勒索软件即服务发展迅猛。
- 虚拟挖矿
完善的产业链
2019 年绿盟科技处理的应急事件占比中,前三名依旧是:勒索软件、挖矿和入侵事件,勒索软件 占比 17%,虽然排名比去年下降,但因为攻击可获得巨大的经济收益,仍是最热门的几大安全事件类型 之一。
6% 挖矿 业务安全 入侵事件!流量异常
勒索软件 网络钓鱼 蠕虫病毒 黑链暗链 其他
图 2.11 勒索软件类型事件占比图
2019 年绿盟科技处理的事件中, GlobeImposter 勒索事件 12 起,Phobos 勒索事件 10 起, GandCrab 勒索事件 9 起, Sodinokibi 勒索事件 6 起,Crysis/Dharma 勒索事件 5 起还有很多小众的勒 索一并归并到其他类型中。主流家族占比如下图所示:
其他
图 2.12 勒索软件主流家族事件占比
这正是由于产业链的关系,产业链中包含了家族化和持续更新,如果说家族化是为夺取更多的利益, 那持续更新就是扩大领地,创造更多的机会。
从 18 年 刚 C 位 出 道 的 GlobeImposter 和 GandCrab 再 到 19 年 异 常 活 跃 的 GandCrab、 GlobeImposter 和 Sodinokibi。2019 年 活 跃 的 家 族 有 GlobeImposter、Phobos、GandCrab、REvil/ Sodinokibi、Crysis、和 Satan 等。勒索软件开始呈现出家族化。
持续更新也是产业链持续壮大的重要原因之一,持续的更新让勒索软件能够及时利用新的漏洞或新 的传播途径进行传播。以 GlobeImposter 作为例子,接下来我们看一看 GlobeImposter 的一个发展历程。
17 年 5 月,GlobeImposter1.0 版被发现。
18 年 2 月,GlobeImposter2.0 出现,并作为 GlobeImposter 家族中最为活跃的一个版本。
18 年 8 月,GlobeImposter3.0 出现。
19 年 1 月,GlobeImposter4.0 出现,3 月出现 4.0 变种。
19 年 7 月,GlobeImposter5.0 推出了希腊神话十二主神版。
截止到 10 月,GlobeImposter5.0 又出了新的变种。
由 GlobeImposter 的发展史可以发现,持续更新不仅可以壮大产业链的规模,而且还能够对之前版 本的异常情况做出修改,实现持久控制受害者主机,获取更多的利益。
如果说家族化和持续更新是为了争夺更多的利益和机会,那么一组完善的产业链则是用于获取这些 利益的秘密武器。
从研发 ->传播 ->勒索 ->在线客服 ->幕后团队 ->变现。从勒索软件的研发,到最后的变现,一条龙服务, 可谓是行云流水。
详细逻辑如下图所示
代理商 传播 勒索软件
分发 开发 加密用户文件
变现操作 变现 幕后团队 直接支付赎金 受害者
询问
在线客服
图 2.13 勒索软件产业链
产业链的各环节情况简述如下:
首先是有一个完善的勒索软件,软件应有严谨的逻辑,健壮的代码,良好的界面,以及最重要的详 细的指导手册用于告诉受害者如何完成解密的整个过程。相信在这一点上,勒索软件的作者会比受害者 更加上心,因为这直接关系到他们是否可以获取到更多的收益问题。
其次就是有一个稳定的传播渠道,比如钓鱼邮件、诈骗网站、WEB漏洞或者系统漏洞等。一个稳 定的传播渠道也可以为勒索软件作者带来很多的收益,采用 RaaS 的分发方式来获取高额的收益,像传 销一般顶层有一个出售者,向下面进行分发,层层传递的方式。另一种是购买勒索软件服务的方式来获 取利益。例子中正是采用的这种方式。
最后还需要一个隐秘的沟通渠道和安全的付款方式。隐秘的沟通渠道主要是用以给受害者和在线客 服交流的地方,通常会使用 Tor 浏览器来完成。安全的付款方式现在几乎都是使用区块链来完成。最常
用的就是比特币 (BitCoin)或者门罗币 (Monero) 来作为交易货币。这些交易货币都有着一个相同的特点, 那就是交易无法追踪,完成交易的双方只有对应的交易钱包,无法获取到对方除了交易钱包信息的任何 其他信息。使得整个过程隐秘和安全。
勒索软件的运营团队将这些虚拟货币变现,就完成了整个获取利益的过程。
低风险高收益
随着勒索软件产业链的形成,勒索软件即服务 (RaaS) 势头迅猛, 可以说产业链和低风险、收益大 推动了 RaaS 的发展。令人印象深刻的莫过于 19 年 6 月,勒索软件团队发表官方声明将停止更新,准 备金盆洗手隐退江湖。GandCrab 在一年多的时间里赚 20 多亿美元。万恶的 GandCrab 获得了如此庞大 的收益却没有受到惩罚是 RaaS 服务兴起的重要原因之一。 图 2.14 GandCrab 黑产团队通告截图 将其中重要的内容提取出来如下。 我们要退休了。我们已经证明了作恶不一定有恶报,也证明了在一年内就可以赚一辈子的钱,更证 明了成为别人眼中,而不是自己口中的第一名是有可能的。 GandCrab 官宣的内容也证明了 RaaS 模式的低风险和收益大,GandCrab 团伙猖獗程度让人无法直 ,各种挑衅和诱饵正在影响着下一代,恐怕效仿者会一个接着一个出现,网络世界很有可能在未来一 段时间充斥着新的勒索软件,既 GandCrab 之后,勒索软件的种类激增。 2019 年绿盟科技捕获的勒索软件类型如下图所示。 其他 clop GandCrabSodinokibi Evil Locker ACCDFISA 数据库勒索 图 2.15 勒索软件类型统计图 2019 年越来越多的小众勒索软件出现,而主流的还是 Globelmposter、 Phobos 、GandCrab、 REvil/Sodinokibi、和 Satan 等家族最为活跃,这些勒索软件家族的变种也越加频繁。种类激增的勒索软 件反向证明了 RaaS 发展的势头迅猛。
