一.什么是勒索病毒?
勒索病毒是一种恶意程序,可以感染设备,网络与数据中心使其瘫痪,直至用户支付赎金使系统解锁
二.勒索病毒的工作过程
1.外部入侵过程-----非法登录计算机,传递勒索病毒
通过分析多起针对Windows服务器的勒索病毒攻击,发现此类攻击大多利用弱口令漏洞,系统漏洞等方式获得远程用户名和密码,之后通过RDP(远程桌面协议,TCP,3389)远程登录目标服务器运行勒索病毒。黑客一旦能够成功登录服务器,则可以在服务器上为所欲为。这也意味着,即使服务器安装了安全软件也可能被黑客手动退出
对于很多内网中的主机,黑客一般采用的方式是,先攻克一台暴露在公网上的主机,通过这台主机再进一步渗透内网中的其他主机
2.感染加密
以Globelmposter加密为例
该勒索软件使用了RSA+AES加密方式(非对称加密+对称加密)方式,加密过程设计两队RSA密钥(分别为黑客公私钥和用户公司钥,分别用hacker_rsa_xxx和user_rsa_xxx表示这两对密钥)。黑客RSA密钥密钥用于加密用户的RSA密钥,用户RSA密钥用于加密AES密钥,AES密钥用于加密文件内容
具体加密过程:勒索软件首先解码出一个内置的RSA公钥(hacker_rsa_pub),同时对每个受害用户,使用RSA生成公私钥(user_rsa_pub和user_rsa_pri),其中生成的密钥信息使用内置的RSA公钥(hacker_rsa_Public)进行加密后,作为用户ID。在遍历系统文件,对符合加密要求的文件进行加密。对每个文件,通过CoCreateGuid生成一个唯一标识符(32位字符串),并由该唯一标识符最终生成AES密钥(file_aes_key),对文件进行加密。在加密文件的过程中,该唯一标识符会通过RSA公钥(user_rsa_pub)加密后保存到文件
黑客在收到赎金,用户ID和文件后,通过自己的私钥(hacker_rsa_pri)解密用户ID,可以得到user_rsa_pri,使用user_rsa_pri解密文件,就可以得到文件的file_aes_key,进而可以通过AES算法解密出原始文件
上述感染行为复盘
1)勒索程序中有黑客的公钥,对每个受害用户使用RSA产生公钥和私钥,然后使用黑客的公钥对受害者的公钥和私钥加密,并作为用户ID(用来识别用户的身份)
2)遍历文件时,对符合要求的文件,每个都创建一个唯一标识符,并使用这个标识符生成AES密钥,使用这个AES密钥对文件进行加密,同时使用用户的公钥加密这个AES密钥
这样的话,用户如果想要获取文件内容,首先必须获取AES密钥,但是AES密钥,被用户的公钥加密,所以还需要用户的私钥,用户的私钥和公钥信息是经黑客的公钥加密后保存在在黑客端的,所以要想解开文件,必须使用黑客的私钥解密用户的公钥和私钥,得到了用户的私钥,才可以获得AES密钥,从而解密文件
三.预防手段
(1)主要是从传输途径上预防,勒索病毒是利用网络传播的,不打开不明网址,不接收来路不明的邮件和文件等
(2)关闭危险端口,445文件共享,3389远程桌面接口等
(3)及时升级杀毒软件
(4)定期异地备份重要数据和文件
(5)防火墙对用户发出的异常流量的监控控制(截断被攻克主机与C&C服务器的通信)
四.传播手段
1.钓鱼邮件
主要对象:个人PC
传播方向:从外到内
典型案例:Hermes,Petya
2.蠕虫式传播
主要对象:无定向,自动传播
传播方向:横向传播
典型案例:WannaCry,Petya变种
3.恶意软件捆绑
主要对象:个人PC
传播方向:从外到内
典型案例:Globelmposter
4.暴力破解:通过暴力破解RDP端口,SSH端口,数据库端口
主要对象:开放远程管理的Server
传播方向:横向,从外到内
五.永恒之蓝勒索病毒分析
1.感染主机后,在主机上安装勒索软件
2.勒索软件需要和远端的C&C服务器通信(切断传输路径)
3.对文件加密
4.横向扩展
1343
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
