读·解 | 历数BTC勒索攻击(一)
勒索攻击的演变
2005年迄今,勒索类攻击最少经历了四次技术性形状的“演变”:
· 2005年-2009年:假冒系统软件盛行;
· 2010年-2011年:仿冒电脑杀毒软件泛滥成灾;
· 2013年-2014年:“锁勒索”攻击席卷;
· 2015年迄今:进到以“BTC”付款赎金为主导的“数据加密勒索”时期。
1、“发展”期:假冒系统软件和假电脑杀毒软件
2005年,销售市场上发生了许多輔助实际操作电子计算机的第三方专用工具,而黑客借此机会撰写了可以造成电子计算机出现异常的第三方系统软件。不知道的顾客一旦应用该类“假冒系统软件”便会造成 电脑操作系统发生各种各样难题,随后黑客就以向顾客扣除电子计算机维修费用和安全性检测费用为由行骗金钱。
2009年,电脑杀毒软件规模性盛行,许多黑客又逐渐撰写可以仿冒安全隐患的“假电脑杀毒软件”。顾客应用这类“电脑杀毒软件”当然便会发觉许多压根不会有的安全隐患,随后“假电脑杀毒软件”便会以修补安全隐患为由,向不在乎的说说的顾客扣除花费——解决每一个假安全隐患的花费达到40-100美金!另外,为了更好地不许上当受骗顾客起疑,黑客仿冒的电脑杀毒软件在页面设计设计风格及款式上都是会与那时候流行电脑杀毒软件保持一致。
但是,之上二种方法存有一个“缺点”,即在诈骗全过程中,黑客没法彻底置之度外,难以避免要与受害者相触碰,进而留有真相;正是如此,骗术一旦一语成谶,执法机关就非常容易抽丝剥茧,最后追捕作案的黑客。
2、“完善”期:锁勒索和数据加密勒索
2012年以后,对黑客来讲更“安全性”的锁勒索和数据加密勒索逐渐变成流行。这二种勒索攻击个人行为大多数选用TOR互联网和BTC赎金,进而合理掩藏了收付款全过程中给执法人留有的跟踪传动链条,大幅度降低了犯罪分子的被抓概率。但是锁勒索和数据加密勒索也存有显著差别,由于二者是根据不一样层来阻隔客户浏览数据信息的。
锁勒索
锁勒索(locker ransomware),也被称作Computer locker。一般是根据锁住受害者电子计算机或手机上的电脑操作系统页面(大多数仅是锁定屏幕),进而以“恢复过来浏览”相威胁勒索BTC赎金。整体而言,锁勒索相对性非常容易被破译,黑客的勒索页面大多数装扮成司法部门便于于“吓唬”。
以移动端为例子,锁勒索关键有二种方法:
第一种方法,黑客加上一个顶置框在操作面板以上(遮盖住页面),进而做到阻拦客户一切正常实际操作的目地。事实上,这类方法仍未系统对中的最底层文档做一切改动,仅仅加上了一层“阻隔”页面罢了,因而大多数能够根据方式方法消除锁住,并不一定向黑客交纳赎金。
第二种方法,黑客运用一些安全漏洞取得了root管理权限,进而设定手机屏保或改动解锁密码,并为此对受害人开展勒索。这类方法也可以在损害一定数据信息的前提条件下,根据手机上的recoery方法开展开启。
数据加密勒索
数据加密勒索(crypto ranspmware)也被称作data locker。此类种类的勒索手机软件专业搜索客户设备上面有使用价值的数据信息,随后对这种数据信息开展高韧性数据加密(如AES 256等),还会继续在数据加密的另外删掉原始记录;数据加密勒索攻击一般不容易对操作面板、电脑鼠标和电脑键盘等开展锁住,尽管数据库文件被数据加密,但一般不容易造成 电脑操作系统发现异常,受害人还能够应用电子计算机,仅仅无法根据单纯性的方式方法破译被数据加密的文档等。假如受害人事前沒有对数据信息开展备份数据,则很可能迫不得已工作压力向黑客付款BTC赎金。
3、“商业服务”期:勒索saas模式
今朝今日,勒索手机软件攻击的范围界定已不会再是单纯性的黑客技术性或恶意程序,其宛然产生了一套完善的运营模式——“勒索saas模式”(RaaS:Ransomware as a service),并紧紧围绕BTC勒索创建起了一条健全的全产业链。比如:暗网中就存有很多售卖BTC勒索服务项目的黑客团队,她们会出示模块化设计的BTC勒索服务项目部件,这种部件能够订制化的转化成勒索模块,进而用于“协助”这些还不掌握或有独特要求的故意分子结构进行BTC勒索攻击,而故意分子结构只能以相关服务付款一定的花费,及其特定收付款钱夹和赎金额度等就可以。凭着诸多“优点”,BTC勒索自2013年起进到发展趋势的“快速道路”,愈来愈多的黑客犯罪团伙从传统式的恶意程序、金融机构木马病毒、恶意程序、网络诈骗等方式转到BTC勒索。
BTC勒索攻击目标
1、偏重公司级总体目标的“指定严厉打击”式勒索
在这类方法下,黑客只追求完美高品质的总体目标,而不是生产制造大量的受害人,通常每笔勒索的BTC额度超出一万美金。
2、偏重个人规划的“乱枪打鸟”式勒索
在这类方法下,黑客主要是对于个人规划进行攻击,攻击的最后弹着点是本人数据信息,并根据迅速、普遍、很多散播以感柒大量受害人,进而诈取BTC赎金;这类勒索手机软件和病毒感染大多数藏匿于各种各样来历不明的广告宣传或信息内容中,且感染源有较强的全自动拷贝工作能力,尽管看起来每笔勒索额度较低,但针对个人计算机、移动用户的伤害一点都不逊于前面一种。
BTC勒索攻击实体模型
BTC勒索是一个非常繁杂的攻击步骤,能够对多种多样服务平台和手机软件启动攻击。流行BTC勒索手机软件能够依据不一样的硬件软件自然环境作出各种各样适应能力转变,尽管BTC勒索手机软件千姿百态,但关键依然合乎“感柒、免费下载、实行、勒索、收付款”这五大流程。
1、感柒
感柒是全部BTC勒索的第一步,也是最重要的一步,关键包含:网络信息安全系统漏洞、垃圾短信、下载工具、拒绝服务攻击、社会工程学和自身散播等方式;在其中,不一样的传播途径一般适用不一样的总体目标自然环境,自然也是有很多组成应用的实例存有。比如:社会工程学輔助下的垃圾短信一直是派发各种各样互联网恶意程序的优选方式 ,BTC勒索都不除外。据调查,有七成之上的BTC勒索攻击是以包括故意配件或故意url的垃圾短信逐渐的,而黑客为了更好地保护自己不被跟踪,推送垃圾短信一般都是会应用归属于拒绝服务攻击的网络服务器进行。
2、免费下载
当不知道的客户开启含有“感染源”的电子邮件、网站地址这些以后,恶意程序便会逐渐搜集当今设备的信息内容,其关键目地有二:
第一,鉴别当今设备的电脑操作系统,立即挑选一款“合适”相匹配电脑操作系统的恶意程序并就下载;
第二,鉴别当今设备是不是为vm虚拟机,假如明确是vm虚拟机或虚拟化技术自然环境,为了更好地防止被发觉,一部分勒索手机软件还会继续挑选停止本次攻击;假如明确是实体线机,勒索手机软件则会把搜集到的信息内容发送到黑客准备好的网络服务器上,另外从该网络服务器上自动下载一款“合适”总体目标设备的恶意程序。
3、勒索
在真实实行勒索手机软件以前,恶意程序会先试着运用系统漏洞来获得一定的用户权限,另外试着关掉一些系统软件内置的安全性维护体制;在其中一些勒索手机软件还会继续依据试着关掉的状况,分辨是不是要再次进行攻击。当勒索手机软件被取得成功布署到总体目标设备上之后,下一步就需要逐渐宣布执行勒索攻击,而勒索攻击的方法则与勒索软件应用的技术性相关,比如:两大流行勒索攻击种类——锁勒索和数据加密勒索(前文早已讲过,这儿不会再过多阐释)。
4、外扩散
这一步和勒索攻击通常是另外开展的。勒索手机软件的扫描仪控制模块会全自动根据被感染设备的网口、驱动器来检测互联网中的别的设备及其设备上的别的电子产品,一旦发觉能够浏览的机器设备便会试着把“感染源”拷贝到这种新的设备或电子产品当中,随后在新的设备或电子产品上再次反复这一套姿势——感柒、免费下载、勒索、外扩散,直到勒索手机软件涌向其所能碰触的全部互联网范畴。
5、收付款
与别的贷币不一样,BTC不借助特殊贷币组织发售,只是根据特殊优化算法,根据很多测算造成。更关键的是,BTC应用密码学设计方案保证贷币在商品流通买卖阶段的安全系数与群体极化。黑客在勒索取得成功后,规定受害人以BTC付款赎金恰好是出自于对其“安全系数”的考虑。可以说,BTC的发生“偶然间”为黑客执行勒索攻击开拓了一条更为秘密的安全通道,也非常值得全部公司和本人多方面关心和高度重视。
攻击种类
安全防护提议
攻击发展趋势
攻击总体目标:数据库查询
(未完待续)
安华金和网络信息安全经营服务平台的网络信息安全整治解决方法
安华金和金融业数据标准化等级分类解决方法
【安华金和】烟草网络信息安全服务咨询实践活动
100 数据库查询系统漏洞再创佳绩,数据信息将栖身哪里?
营运商领域网络信息安全合规评定项目实施方案