安天技术文章汇编：“敲诈者”分析专题分册发布

时间 ：  2014年6月15日  来源：  安天

        安天从2014年开始研究跟踪勒索软件，深入分析其机理，积极改善安天产品对其的检测与防御能力，并发布多篇分析报告。安天于9月重新修订校对部分报告，并补充了一次安天内部相关讨论的内容，推出——安天技术文章汇编热点事件卷-“敲诈者”专题分册。供安天内部学习和业内安全业界同行交流参考。安天智甲终端防御系统产品负责人徐翰隆为本册汇编撰写了序言。

 

        安天智甲终端防御系统
 

        安天智甲终端防御系统面向政企用户网络安全需求，同时支持传统企业反病毒和白名单+安全基线两种防御模型。通过安天自主研发的反病毒引擎和主动防御模能有效防御感染式病毒、蠕虫、木马、僵尸网络、格式文档攻击等针对主机的安全威胁。针对高级威胁能够进行网内威胁追溯和定点查杀。安天在智甲产品中形成了一套独有的针对勒索软件及各家族变种的检测、防御和阻断方法，可帮助企业用户免受勒索软件骚扰。

 “敲诈者”分析专题分册汇编序言

 

安天智甲终端防御系统产品负责人：徐翰隆

 

        某一类恶意行为如果绵延不绝，则必然有其持久动力。在恶意代码领域，最持久的动力就是攻击者对利益的追逐。一切古老的以逐利为目的的犯罪形式，都会在新的空间演变，“敲诈勒索”也是如此。在过去几年间，以加密用户数据要挟用户支付费用获取解密秘钥的攻击，给大量用户造成了不同程度的损失或困扰。

 

        实际上，从1989年第一款用来勒索用户的恶意代码AIDS木马问世至今，已经将近三十年的时间，但在较长时间内，并未演化成一种主流的威胁模式。其不多的样本也基本被我们归纳到“Badjoke”一类，而这些样本中使用加密数据方式来要挟用户的家族较为罕见。多数样本发作的后果是导致系统不能正常登陆、反复重启动、光驱反复弹出，让用户不堪其扰，而交钱了事。2013年9月出现的CryptoLocker，其以加密用户数据为要挟向用户勒索比特币赎金，这也开启了大规模利用受感染网站和邮件附件形式传播勒索软件的先河。2014年，CryptoDefense家族对类似行为进行效仿，其作者又很快推出改进版本CryptoWall并持续更新，随后又陆续出现了CTB-Locker、TeslaCrypt和Locky等一系列恶名昭彰的“敲诈者”病毒家族。至此，勒索软件开始在全球肆虐，且感染普通用户的数量也迅速增长。其中Locky家族中最先出现了第一款带有中文提示的勒索软件，标志着中国用户也已经开始成为勒索软件攻击的重要目标。
 

安天原创手绘图——“勒索软件”

 

        国外研究者Danahy认为，“敲诈者”病毒的崛起是两个因素造成的：其一是越来越多的犯罪分子发现这种攻击方式利润丰厚；其二是勒索工具、开发包和服务的易用性和破坏力不断提高。安天研究人员对此的补充观点是——比特币匿名支付和匿名网络带来的犯罪隐蔽性也是其中重要的原因。从后续来看，这种威胁会进一步复合化、与目前的黑产合流，走向更多的系统平台，采用更多的投放方式（而可能不再仅仅是尼日利亚王子式的垃圾邮件的群发），其灰色的配套服务也会更系统化。

 

        安天此前多次跟进了“敲诈者”病毒的分析。2015年4月30日，安天接到用户一例“疑似APT”事件的告警，经安天CERT分析后确认该样本实际为“敲诈者”病毒CTB-Locker，随后便针对样本的整个工作流程和防御方案撰写了分析报告，这是国内较早的一篇专门针对“敲诈者”的较为完整详实的报告。随后安天针对“敲诈者”进行了持续跟踪，又相继推出了《邮件发送JS脚本传播敲诈者木马的分析报告》、《首例具有中文提示的比特币勒索软件“locky”》和《不修改加密文件名的勒索软件TeslaCrypt 4.0》等报告，对当时主流的“敲诈者”类的勒索软件及其变种的工作流程进行了详尽介绍。特别是在2015年8月3日，安天推出的长篇报告《揭开勒索软件的真面目》对勒索软件的演进历史和典型勒索软件的攻击手段进行了系统的归纳总结。该报告中的内容和数据多次被友商和同业机构所引用，使更多的机构和用户对勒索软件形成了足够的重视。

 

        勒索软件对国内政企网络安全也带来了新的挑战，在较长时间内，国内部分政企机构把安全的重心放在类似网站是否被篡改或DDoS等比较容易被感知和发现的安全事件上，但对网络内部的窃密威胁和资产侵害则往往不够重视。因为这些攻击更难被发现，但“敲诈者”以端点为侵害目标，其威胁后果则粗暴可见。同时，对于类似威胁，仅仅依靠网络拦截是不够的，必须强化端点的最后一道防线，必须强调终端防御的有效回归。安天智甲终端防御系统研发团队依托团队对“敲诈者”的分析和预判，依托安天反病毒引擎和主动防御内核，完善了多点布防：包括文档访问的进程白名单、批量文件篡改行为监控、诱饵文件和快速文件锁定等。经过这些功能的强化，安天不仅能够有效检测防御目前“敲诈者”的样本和破坏机理，还对后续“敲诈者”可能使用的技巧进行了布防。除了PC端的防护产品，安天AVL TEAM对Android平台的反勒索技术做了很多前瞻性的研究工作，并应用于安天移动反病毒引擎中。

 

        对于多数的病毒、木马，用户通过杀毒、深度处置后重装系统一般都可以解决问题。但对于绑架加密用户数据的勒索软件而言，由于部分使用了PKI技术，如果不能通过其他方式获取到秘钥，似乎只有支付赎金才可以重新获得原始文档。基于安天对智甲在“敲诈者”主动防御上的自我信心，安天确定使用智甲的客户如果被“敲诈者”病毒攻陷，安天会先行赔付客户的政策。而在安天红蓝对抗内部工作群中，爆发了一场对于社会上求援的非安天产品用户，安天作为安全厂商是否应该帮助受害用户交付“赎金”的长时间争论。一种意见认为，安全厂商要勇于承担社会责任，不能坐视用户遭遇数据损失，如果用户需要，可以帮助用户交付赎金；另一种意见认为，帮助用户交付赎金等于事实上鼓励纵容黑产犯罪，帮助了少数人，而导致更多人受害。应该说，这是一次有价值的关于安全厂商的原则和行为伦理的讨论，最终大家重新确认“不妥协”的底线共识，我的同事整理了这次讨论的部分过程，也编辑到了本册汇编当中。

 

        金钱夜未眠，在巨大的经济利益驱使下，未来勒索软件的传播途径和破坏方式也会变得愈加复杂和难以防范。作为安天智甲的开发者，我们期望帮助更多用户防患于未然。
 

       
        安天乐于进行技术的分享，积极活跃在安全会议上分享自身最新的研究进展，以原创、沉淀、共享的原则， 从2006年至今，安天技术文章汇编共印发15卷，包括《 热点事件分析》 、《移动安全分册》、 《 工控安全分册》 、 《 专题报告分册》、 《 APT专题分册》 、 《 文献翻译分册》 等以及部分英文版分册，印刷70余次，总印刷数超过40000多册，全部免费在各大安全会议发放，与同行共享。安天有关技术负责人参与翻译了《Reverse Deception》等书目。安天公益翻译小组也面向业界推出了“安天每周一译”。安天还曾赞助GPG等开源软件开发工作。

 

        本分册中，除其中一份关于“敲诈者”病毒的相关讨论之外，其他内容都已在网上公开，更多关于勒索软件专题报告内容详情可参见安天微信公众号自定义菜单“技术分享——勒索软件专题报告”。

 

点击下方报告，即可查看敲诈者（勒索软件）安天系列分析报告。
《“攻击WPS”样本实为敲诈者》
《揭开勒索软件的真面目》
《邮件发送JS脚本传播敲诈者木马的分析报告》
《发现使首例具有中文提示的比特币勒索软件“LOCKY”》
《勒索软件家族TESLACRYPT最新变种分析》