近日,威尼斯432888cam2020年无文件攻击技术的新型勒索病毒专题分析报告正式发布。报告指出,2020年勒索病毒造成的直接经济损失高达400亿美元,且受害重点发生了明显变化,从针对个人的勒索,转变为专门针对企业的索要。此外报告数据显示,威尼斯432888cam在2020年共截获超过1800万份样本,在成功入侵的攻击事件中,80%来自于无文件攻击。
勒索病毒在2020年的“5项转变”
2020年 COVID-19疫情在全球范围蔓延,人们的生活工作习惯随之也产生了巨大的变化,居家办公的公司比例大幅提升,超过一半的受访者承认,疫情导致企业花费重金构建的信息安全边界被撕碎,攻击面被人为放大,外部链接增多,企业不得不重新考虑数字化业务的保护方式。
【图1:2020年勒索病毒攻击事件回顾(来源:威尼斯432888cam)】
在上述背景之下,威尼斯432888cam威胁情报团队收集了历年的威胁样本数据,并总结出2020年勒索病毒的主要特征:
1. 勒索病毒从针对个人的勒索,转变为专门针对企业的索要,则意味着更高昂的赎金,以及更大的名誉损失;
2. 2020年平均每个月都会发生一起严重的勒索病毒攻击事件,其造成的经济损失与去年相比上升了50%左右,年总损失高达400亿美元;
3. 病毒软件呈现了多平台的趋势,不光Windows勒索病毒呈现井喷趋势,Linux平台的勒索病毒的数量也逐步呈现指数级增长;
4. 病毒攻击方式产生了很大的变化,2020年新增的勒索样本大多数采用无文件攻击技术,据不完全统计,2020年成功入侵的攻击事件中,80%都是通过无文件攻击完成,传统的防病毒工具对此攻击收效甚微;
5. 勒索病毒地域与行业影响范围越来越广(如图2),包括医疗、政府、能源、贸易等,在巨大利益趋势下,无孔不入,防不胜防。
【图2:勒索病毒攻击地区分布(来源:威尼斯432888cam)】
5大家族高居前位,无文件攻击高达80%
在威尼斯432888cam收集的病毒样本中,Sodinokibi,GlobelmPoster,Dharma,Phobos,Nemty分列前五名,而这些高占比病毒家族能够高居榜单前位,与其采用的“特有”攻击方式有着十分紧密的联系。
【图3:2020年勒索家族样本占比(来源:威尼斯432888cam)】
从分析结果来看,上述5大家族的大多数样本中大量采用了无文件攻击的方式,占比高达60%,在“成功入侵”事件中,这一比例更高达80%。
【图4:勒索家族采用无文件攻击技术样本占比(来源:威尼斯432888cam)】
此类病毒通常运行在被攻击主机内存中或者通过Windows的WMI、PowerShell脚本等方式运行,攻击链更加隐蔽,普通的文件反病毒引擎和网络扫描引擎根本无法对该攻击技术精准识别,这是目前上述家族勒索类病毒无法有效抵御的一个重要特征,这说明黑客在持续用最新型的攻击方式武装病毒,从而达到难以被查杀的目的。
Windows与Linux平台无文件攻击勒索病毒分析
《报告》分别选择了Sodinokibi、Phobos、Ransom EXX、Botnet等在Windows与Linux平台中具有代表性勒索病毒家族样本进行详细分析,并对其采用的无文件攻击技术的防御难点进行了总结归纳。例如:
Windows平台——Sodinokibi家族勒索无文件攻击技术分析
Sodinokibi勒索病毒在国内首次被发现于2019年4月份,被称为GandCrab勒索病毒的“接班人”。经过近一年的发展,这款勒索病毒使用了多种传播渠道进行传播扩散,包含利用各种Web漏洞、Flash漏洞、钓鱼邮件、水坑攻击,漏洞利用工具包下载执行脚本等无文件攻击方式,主要的攻击流程见图5。
【图5:Sodinokibi勒索病毒执行流程(来源:威尼斯432888cam)】
一旦用户浏览了植入该恶意病毒的网站,点击特定的链接,则触发该病毒执行,该病毒会在内存中执行病毒攻击主体或者执行一个多级高模糊PowerShell脚本,通过在磁盘中创建白名单文件或者感染白名单文件的无文件攻击方式,以及使用先进的躲避沙箱技术,防止被防病毒软件查杀,然后该病毒即将磁盘中的重要文件将被加密,加密后的文件扩展名为.qv05z 。
Linux平台——Ransom EXX勒索无文件攻击分析
2020年,威尼斯432888cam捕获到针对Linux平台攻击的Ransom EXX。Ransom EXX的前身为面向Windows操作系统下的勒索病毒,其在勒索攻击事件中出现频次相当之高,仅在2020年一年间就造成了世界多家知名公司的数据加密与服务中断事件,如Konica Minolta(日本公司,6月底遭受攻击,服务中断近一周)与TxDOT(美国政府部门,Texas交通运输部,5月初开始遭受攻击)。
研究表明,攻击者将Ransom EXX病毒由Windows版本移植至Linux环境下,除所用系统API不一样以外,其代码的组织方式,加密功能的实现方式与引用的加密库均相同,这有力的证明了Linux版实际上是由Windows版本移植而来的。
从上述样本数据分析得知,无文件攻击技术无论在Windows还是Linux平台上,呈现的攻击手段大多是基于:脚本攻击、白名单利用、异常注入以及其他混合攻击。而观之目前市面上大多数的防病毒引擎去检测,其实对无文件攻击束手无策,很难第一时间发现危险已经到来,更谈不上对此类病毒提供详细的威胁分析报告。这也从侧面说明,结合了无文件攻击的勒索病毒正在成为企业未来一段时间最难以防范的网络风险之一。
智能分析和监测技术同步跟进 2021“牛”转乾坤
面对勒索病毒持续高危传播,国家安全部门牵头重点联合各大云服务商及电信运营企业加强云端病毒监测与防护,协同基础电信企业对恶意程序传播端、控制端进行有效封堵,同时建议企业或个人用户提高风险防范意识,做好基础安全防护工作,加强数据存储备份和应急恢复能力,避免勒索病毒给工作生产和生活造成严重影响或重大损失。
威尼斯432888cam针对无文件攻击防范的思路是:立体化的防护体系,每一层应对特定的事件攻击特征,整体形成立体防护,以达到预测、检测、响应、反馈等功能。
所谓立体化的防护是指既有发现正在进行的攻击的能力,也有能够事后处理威胁的方案,既有基于传统防病毒的基本能力,也有基于AI的高级威胁解决方案,既有基于攻击者的思维,也有基于防御者的能力。
【图6:威尼斯432888camXDR解决方案】
威尼斯432888cam建议企业用户部署XDR解决方案,通过大数据、机器学习等能力,精准识别利用无文件攻击技术的勒索软件威胁,通过预先精密编排的各种威胁响应预案,全面提升系统的防护能力。
2021年,虽然疫情尚未完全结束,但中国对疫情的防控已取得显著成效,这离不开数字化智能分析、新的监测技术发展和建设。因此,在应对无文件攻击勒索病毒等更加凶险威胁的未来,威尼斯432888cam也应加快实现网络安全技术创新,为虚拟世界的异常事件提供快速检测能力,“牛”转乾坤。