勒索软件过去现在和未来-Cisco.PDF

2 0 1 6 年 4 月 1 1 日，星期一 勒索软件：过去、现在和未来 “凡是过去，皆为序章。” - 威廉·莎士比亚，《暴风雨》 引言 去年兴起的勒索软件正成为一个日益严重的问题。企业通常认为支付赎金是取回数据最划算 的办法，现实情况也可能正是这样。但是，我们所面临的问题是，每一个企业为了取回其文 件而支付的赎金，会直接用于下一代勒索软件的开发。因此，我们看到勒索软件正以惊人的 速度不断发展。 在本篇博文中，我们将探讨过去各种高效的自我传播型恶意软件的特点，以及助使恶意软件逐 步渗透的工具的发展情况。这些研究非常重要，因为我们预计网络攻击者会开始在勒索软件中 使用这些功能，从而使其更富攻击性。在本博文中，我们将重点放在两条思路上：首先，过去 出现了很多成功的恶意软件；其次，成功的网络勒索者会根据过去的经验开发出新的和不断 进化的威胁软件。 据我们现在的了解，勒索软件的使用者有一种“漫天撒网，守株待兔”的心态；他们会尽可能多、 尽可能快地攻击各种目标。通常，他们通过漏洞攻击包或大规模网络钓鱼活动来发送负载。 最近出现了大量互无联系的勒索软件活动，明确地以企业作为攻击目标。我们认为这是一种 预兆，预示着勒索软件未来的攻击趋势。 过去，数据丢失大多只是恶意软件活动的附带危害（虽然偶有例外）；现在，恶意软件与破 坏数据或拒绝访问内容的关联变得前所未有的严峻。大多数攻击者所关注的是持续性地访问 数据或者获取系统所提供的资源，以达到他们的目地。勒索软件改变了这一传统模式，从破 坏系统转向彻底的勒索；如今，攻击者使用勒索软件拒绝人们访问数据，如果要恢复对数据 的访问，则需支付赎金。本文将讨论勒索软件的最新发展趋势以及如何保护您的企业以应对 这种威胁。 目录 引言 1 目录2 第 1 章：勒索软件简介3 第 2 章：勒索软件简史5 第 3 章：勒索软件最新动态 8 ANGLER EK 为CRYPTOWALL 推波助澜（ANGLER 分析）8 LOCKY：从银行木马病毒转变成勒索软件8 发展趋势：SAMSAM.EXE 10 第 4 章：高效自我传播型恶意软件的特性 14 第 5 章：未来的勒索软件 18 主流勒索软件框架 18 场景示例 19 第 6 章：防御 27 防止初始访问 27 DMZ 强化技巧 27 缓解网络钓鱼/社交工程 28 阻止逐步渗透和传播 29 恢复 31 总结 31 参考资料 32 第 1 章：勒索软件简介 勒索软件是以通过各种手段来拒绝人们访问用户数据作为最终目标的一类恶意软件。这种 软件的早期变体会使用各种技术锁定人们对计算机的访问权限或者拒绝人们访问文件（例 如修改ACL 以及禁止访问系统工具、桌面等），而较新的变体则直接使用强加密算法（例 如AES 、RSA 等）来加密用户文件。勒索软件专门以用户文件为攻击目标，同时会避免破 坏系统文件。其中的原因是，这一方面可以确保用户会收到相关的通知，以告知他们的文件 所遭到的攻击，另一方面，用户也能够通过一定的方法支付赎金以取回他们的文件。对文件 进行加密后，此类恶意软件通常会自我删除，并留下某种形式的文档。这个文档会指示受害者 如何支付赎金，并重新获得对加密文件的访问权限。某些变体还会向受害者设定支付时限，并 威胁如果在此时限之前未收到付款，则将删除密钥/解密工具；或者，在其他情况下，则会增 加赎金的价格。 勒索软件的发送方式通常包括：漏洞攻击包、水坑式攻击、恶意广告，或者大规模的网络钓鱼 活动。一旦发送成功，勒索软件一般通过某种嵌入式文件扩展名列表来识别用户文件和数据。 勒索软件还会通过编程，避免影响某些系统目录（例如Windows 系统目录或某些程序文件目 录），以确保负载运行结束后，系统仍然保持稳定，以使客户能够支付赎金。如果某一位置的 文件与列表中的某个文件扩展名相符，勒索软件就会对该文件进行加密。否则，就不会攻击该