IBMSecurityIBMX-Force威胁情报季度报告2015年3季度随着勒索.docVIP

IBM Security IBM X-Force 威胁情报季度报告 2015 年 3 季度 随着勒索软件攻击的不断增加，了解恶意软件如何通过因特网进行传播以及如何使网络受到传染，这比以往任何时候都更重要。 2015 年 8 月 PAGE 18 PAGE 18 IBM X-Force 威胁情报季度报告 - 2015 年第 3 季度 IBM Security IBM Security PAGE 19 目录 总体概述 2 总体概述 4 勒索软件即服务 7 黑暗网络 13 控制公司网络中 Tor 的使用 16 2015 年上半年的漏洞披露 18 关于 X-Force 19 作者名单 19 更多信息 在本季度的报告，我们首先讨论勒索软件。相比勒索软件事件，更频繁发生的是媒介易于遭受数据泄漏，但是勒索软件存在的威胁现在呈增长趋势发展。据 FBI 估计，仅 CryptoWall 一种勒索软件威胁，到目前为止已使其制作者获利约 1800 万美元1 。甚至执法机构也已沦为受害者2 。随着威胁越来越复杂以及攻击者越来越多，他们的攻击操作的目标也在不断扩大，因此某些攻击者专门针对人气颇高的网络游戏的本地数据文件进行勒索。这些威胁的不断演变形成了一种模式，我们之前已对此有所了解，这种模式被越来越多的攻击者采用。现在，出现了“勒索软件即服务”这种形式。这种形式起初仅作为开发包提供，随后才是“感染即服务”。IBM? X-Force? 小组猜测，对于我们所有人来说，这可能是一场旷日持久战役的开始。 黑暗网络隐藏在大众网络的掩盖之下，我们将在下篇文章中对此进行详细阐述。黑暗网络就像身处深度未知的海洋中，很大程度上是未知的，并且是未被探索的，同时其中还隐藏着各种掠食者。IBM Managed Security Services (IBM MSS) 的最新体验显示犯罪分子和其他大规模威胁的实施者利用“洋葱路由”(Tor) 软件启用匿名通信作为攻击媒介和僵尸网络命令与控制的基础结构。Tor 网络的路由迷惑设计特点为违法实施者在实施匿名操作时提供了额外保护。它还可以掩藏攻击的实际来源位置，同时可以让攻击者将攻击设计为源自某个特定地理位置。 我们在第三篇文章中重点讲述 Tor 这个问题。本文重申之前 IBM MSS 文章的一些结论，并且提供所需的其他技术详细信息，帮助您保护您的公司网络避免受到因 Tor 的存在而引发的恶意和无意威胁的伤害。 本报告的最后一篇文章会快速阐述今年到目前为止的漏洞披露，最后会概述通用安全漏洞评估系统 (CVSS) v3 中的变更事项。 勒索软件即服务 勒索软件已不是过去的样子。现在的勒索软件不断演变，需要的关注度并不亚于安全防护。 勒索软件作为一种恶意软件，出现了已有一段时间。多年以来，它曾被冠以不同的名字，例如在早些时候一些破坏性较小的事件情况中被称 勒 为“恐吓软件”。这些年慢慢地，勒索软件已成为网络犯罪分子每年收入上百万美元的大生意。例如，名为 CryptoLocker 的勒索软件在 6 个月内预计获利达 100 万美元3 。而 CryptoWall 自从 2013 年出现以来，已获利 1800 万美元1。到目前为止，受害者主要是终端用户，但在 X-Force 小组仔细研究勒索软件如何演变的过程中，我们注意到勒索软件的技术复杂程度在不断提高，因为此类软件也开始选定特定社区进行针对性设计。 对于较早阶段的勒索软件形式（例如 WinLocker），其仅仅只是通过显示威胁性消息以及设置障碍使得难以绕过屏幕运行其他应用程序来“锁住”计算机。对于高级计算机用户，用户计算机上显示的一条（据称）来自执法机构（如 FBI）的要求缴费的警告可能就可能骗倒用户，而这看起来几乎是荒唐可笑的。但是，在有些情况下，一些人就是可能受骗或者给了钱。 有大量用户被虚假/流氓防病毒 (AV) 消息所欺骗，而这些消息只不过就是一些看起来像实际产品的动画网页广告。假防毒软件欺诈诱导用户安装或更新它们可能根本都没有的防毒产品。然后，假防毒软件会不断弹出虚假的恶意程序检测通知，直到用户支付一定金额的费用，一般情况下，是防毒软件可能费用范围内的金额。回到 WinLocker 这个例子，一些没有受骗的用户可能仍认为没有必要花费时间和精力来自行删除感染，并且他们可能为了进行下一步就会付费。 后来出现的勒索软件（包括 CryptoLock、ZeroLocker 和 CryptoWall）的制作者决定通过对硬盘内容进行加密，然后再要求勒索付费来进一步发展他们的勒索手段。勒索软件通过公钥加密系统来实现这一点。他们会在公钥密码系统中生成一个密钥对或者从命令与控制服务器获得一个公共密钥。早期的 WinLocker 及其复制软件主要依附在专有的付费网页产品（如