资讯
主页 > 权威报告> 正文

敲诈木马汇总解读

发表时间:2016-11-29

目录


一、简介

近几年来,敲诈木马逐渐成为安全领域内重点关注的对象,因为此类木马的家族、影响范围、公众感知度等都有了显著的增长。时常会有被敲诈不得不支付赎金的新闻见诸报道,并且有一些新闻中提及的金额高达数万美元,令人乍舌。据安全公司估计,敲诈木马在所有恶意软件中所占比例,从2015年的第三位上升到了2016年的高居首位。

最早的敲诈木马可以追溯到1989年的PC Cyborg。然而,如今的敲诈木马已经与以前大不相同。现在提到敲诈木马,一般指的都是最近几年开始流行的、以高强度密码学算法加密受害者电脑上的文件,并要求其支付赎金以换取文件解密的这类敲诈木马,在部分场合也被称为密锁类木马。本文中将要讨论的大部分敲诈木马都是这种类型。

此外,在Android手机系统中,近年也流行一种锁屏类的敲诈木马,这类木马也会在后文有所提及。

1.技术分析

敲诈木马近两年的爆发,很大程度上与加密算法的日益完善有关。一个成熟的加密算法,可以做到在算法完全公开的前提下,仅需要安全保存密钥,便可以使加密后的密文无法被恶意破解,这就是“柯克霍夫原则(Kerckhoffs's principle)”。密码学领域的这个基本原理保证了我们日常网络中数据传输和保存的安全性。遗憾的是,敲诈木马的作者也利用了这个特性,使得我们虽然知道了木马的算法,但由于不知道作者使用的密钥,也就没有办法恢复被恶意加密的文件。

加密算法通常分为对称加密算法和非对称加密算法两大类。这两类算法在敲诈木马中都被使用过。

对称加密算法的加密和解密使用的是完全相同的密钥,特点是运算速度较快,但是单独使用此类算法时,密钥必须使用某种方法与服务器进行交换,在这个过程中存在被记录和泄漏的风险。敲诈木马常用的对称加密算法包括:

AES算法,这是敲诈木马最常使用的一种算法,它的完整名称是Advanced Encryption Standard,由NISTNational Institute of Standards Technology)于1997年向世界范围内征集,并在200010月确定由比利时密码学家Joan DaemenVincent Rijmen所设计的算法当选。

RC4算法,它于1987年由Ron Rivest设计,并在1994年流传开来,曾被用于SSLWEP等安全场合。随着众多分析成果的发表,目前认为RC4的安全性不是很强,但在实际应用中还是可以保证一定的安全性。

非对称加密算法也被称为公钥加密算法,它可以使用公开的密钥对信息进行加密,而只有私钥的所有者才可以解密,因此只要分发公钥并保存好私钥,就可以保证加密后的数据不被破解。与对称加密相比,非对称加密算法的运算速度通常较慢。敲诈木马常用的非对称加密算法包括:

RSA算法,它的名字以发明者的名字(Ron RivestAdi ShamirLeonard Adleman)命名,是第一个既能用于数据加密也能用于数字签名的算法,易于理解和操作,应用十分广泛。此算法的安全性依赖于大整数因式分解的难度,通常需要1024位或更长的密钥位数才能保证安全。

ECC算法,即Elliptic Curve Cryptography椭圆曲线密码学,于1985年由N KobitzV Miller分别独立地根据代数几何学中经典的椭圆曲线问题与密码学结合而成,其安全性依赖于椭圆曲线离散对数问题的的难度。ECC在密码学上的实际应用包括数字签名算法ECDSAEC-KCDSA、公钥加密算法ECIES\PSEC、密钥交换协议STSECMQV等等。

通常,敲诈木马会将这两大类加密算法结合起来使用,以充分利用二者各自的优点。具体而言,首先会使用非对称加密算法,将公钥从服务器同步给木马,然后使用随机算法生成一次性的对称加密算法密钥,并使用该算法将文件进行加密,最后使用非对称加密算法,将对称加密的密钥进行加密存储,然后清除该密钥的痕迹。使用这样的方法,既可以迅速完成整个电脑大量文件的加密,又避免了对称加密算法的密钥进行传输交换的安全性问题。

2.爆发特点

目前爆发的敲诈木马大部分具有如下共性特点。

通过邮件的方式,使用大量的非PE载体进行传播。2015年左右,传播时使用的非PE文件大部分是带宏的Office文档,通过在邮件或者文档内容中欺骗受害者开启宏功能以执行脚本,下载恶意payload;而近一段时间以来,包括jsvbschm等在内的其它非PE文件也被用于传播敲诈木马。这样的传播方式可以避免木马直接放在邮件中时被安全类软件和网关直接拦截,同时通过不断变换下载地址对应的木马文件,也给安全类软件的检测和查杀提出了较高的挑战。这一风气甚至影响到了其它木马类型,包括后门类、APT类等木马都被发现有使用类似的手法进行传播的趋势。

使用成熟的、高强度的加密算法,对受害者电脑上的文件进行加密操作后,删除原文件。当图片、文档等资料文件都变得不可用,就有可能给受害者带来不可估量的损失。参考前一节中的技术分析,如果加密算法使用得当的话,被加密的文件是无法在没有密钥的情况下恢复的;不过,各类敲诈木马在具体的实现上,可能遗留了一些漏洞,如果发现了此类漏洞,就有可能可以使用一些较低的代价恢复文件。

破坏文件恢复的一些途径,例如禁用Windows系统的备份和还原机制,或者在删除文件之前向其中写入无意义数据,阻止一些数据恢复软件从已删除的扇区中恢复文件,进一步增加木马的破坏性,使得用户不得不支付赎金。

展示的赎金支付说明指向暗网中的页面。暗网是依托于现有的互联网而建,但只有使用特定的软件、协议或权限才能访问的一套网络,诸多限制的目的主要是为了提供匿名性,防止通过正常的途径追踪到位置、身份等信息。目前最大规模的暗网是基于TorThe Onion Router)建立的匿名网络,需要使用特定的浏览器才能进行访问。不过,由于敲诈木马使用暗网的主要目的是保护木马作者的身份,对于网站访问者的身份并不关心,因此木马在说明中也会提供一些普通浏览器能够访问的代理链接,允许受害者通过tor2web这类代理服务查看敲诈网页。

要求受害者使用比特币支付赎金。比特币是一种建立在密码学基础上的数字货币交易系统,最初于2008年公布了原理说明,并于2009年发布了开源软件。关于比特币的细节本文不再详细介绍,不过需要强调的一点是,比特币的一个很重要的特点就是它的使用者具有匿名性,通过比特币收款地址很难追踪到对应的拥有者,因此很多地下交易者慢慢地开始采用比特币收款,这样既能通过互联网在全球范围内进行收付款,又避免了安全人员沿收款地址这个线索进行追踪。敲诈木马背后的众多恶意分子也逐渐加入了这一行列。

二、家族和历史

CryptoLockerCryptoWall

CryptoLocker就算不是最早的敲诈木马,也是较早引起人们关注的敲诈木马之一了。早在2013年,就有报道称其已经入侵了超过25万台电脑。很快,在2014年,由美国司法部、FBI等部门联合发起的国际执法安全行动Operation Tovar(有媒体音译为托瓦尔行动)中,此木马及其传播工具Gameover Zeus被破获,并且有安全公司拿到了部分解密密钥,为此前已经被加密的受害者提供文件解密服务。

然而这次行动并未成为敲诈木马覆灭的丧钟,相反却是今后此类木马愈演愈烈的起点。接下来,CryptoLocker的一系列变种开始爆发,包括CryptoLocker.FTorrentLocker以及CryptoWall等,在其中都能看到CryptoLocker的影子。

大约从CryptoWall 3.0版本开始(约20153月),木马使用了chm文件作为传播的载体。chm文件是Windows早期即支持的一种帮助文件格式,可以运行html文件中的javascript脚本,由于没有采用当前浏览器这样较高级别的安全防护和隔离措施,使得脚本可以有较大的权限操作电脑,也就成为了易被恶意软件利用的渠道。CryptoWall会使用chm文件中的脚本,从网络上下载恶意payload并执行。加密操作前,木马会请求服务器生成一组RSA公私钥,并从服务器得到其中的公钥。早期的CryptoWall会直接使用RSA公钥进行文件加密,后期的变种会使用随机生成的AES密钥加密文件,然后使用RSA算法加密AES密钥,这样能够提高文件加密的速度。

CTB-Locker


图1.CTB-Locker木马敲诈界面

CTB-Locker大概是最早在国内产生反响的敲诈木马。该木马最早的捕获时间可追溯到20147月,当时的敲诈界面上还没有CTB-Locker的字样,此名称是在后来的变种中才加到界面上的。

CTB的意思是Curve-Tor-Bitcoin,其中Curve意指前文提到的ECC算法(Elliptic Curve Cryptography),是木马对文件进行加密时用到的密码算法——具体而言,是ECC衍生出的ECDH算法;Tor的意思是木马与服务器交换信息时使用的是Tor匿名网络;Bitcoin表示赎金需要使用比特币进行支付。除椭圆曲线密码之外,在匿名网络上展示敲诈说明和使用比特币进行支付这两个特点,逐渐变成了之后敲诈木马的常见手法。

回过头来说ECDH算法,它是ECCDHDiffie-Hellman)算法的结合算法,原本的用途是让双方在没有安全信道的情况下协商出密钥CTB-Locker将其用于生成文件加密算法AES的密钥。这与其它木马使用RSA算法来加密AES密钥的做法有较大区别,因为本质上,DH算法和RSA算法是最常用的两类用于密钥协商(key establishment)的算法。目前看来,这两类算法并没有分出明显的优劣,不过有安全厂商猜测,CTB-Locker使用ECDH算法的原因是,在同等的加密强度下,ECC需要的密钥长度比RSA要短一些。

CTB-Locker主要通过邮件附件传播,大概在2015年初的时候,有一部分邮件流入了国内,导致一批受害者被此木马敲诈,引起了媒体的跟进。有趣的是,一些中文媒体在报道过程中,提及了其作者正在被FBI通缉,但查找英文来源后发现,提及的嫌疑人其实是CryptoLocker的疑作者,俄罗斯人Evgeniy Mikhailovich Bogachev

最初版本的CTB-Locker木马加密文件后,会给文件加上.ctbl的扩展名,不过新版本的木马已经无此限制。

TeslaCrypt

TeslaCrypt木马的相关分析和报道最早可追溯到20152月,木马最初的目的可能是要对游戏玩家进行敲诈,因为在早期的版本中,其加密的文件扩展名主要针对各类游戏的数据和资料文件,例如.sc2save.mcgame这种类型。不过在后期的更新中,TeslaCrypt也会对其它常见的文档文件进行加密。

TeslaCrypt的主要传播方式是网页挂马传播,通过在网页中植入恶意构造的文件,通过Flash播放器、pdf阅读器等各种漏洞,在受害者不知情的情况下下载并执行恶意payload,加密其电脑上的文件。

安全业界曾经与TeslaCrypt木马进行过艰苦卓绝的斗争。思科、卡巴斯基等公司都曾先后发现过TeslaCrypt加密流程中的漏洞,大部分与AES密钥的保存方式有关,使得从文件中可以还原或者猜测出加密时使用的AES密钥。但是,TeslaCrypt的作者也会在后续的更新版本中修补原来的漏洞,使得密钥破解变得愈加困难。在一次次的版本更新中,TeslaCrypt给加密后的文件添加的扩展名的种类也逐渐变多,有.ecc.exx.ezz这种e系列的,有.xxx.ttt这种同字母系列的,也有一些特殊的扩展名如.encrypted.micro等,还有一类变种并不给加密后的文件添加特殊的扩展名。

时间来到了20165月的某一天,TeslaCrypt的作者在暗网上宣布停止木马的开发,并同时给出了解密文件所需要用到的私钥。ESET等安全公司迅速跟进并制作了TeslaCrypt木马的解密工具。


图2.TeslaCrypt木马被停止的网页,截图来自bleepingcomputer.com

目前仍不能确认作者做这个决定时真实的想法是怎么样的。据媒体报道,ESET的安全人员发现了TeslaCrypt已经有停止开发的迹象,似乎作者重心转移到了其它的敲诈木马,然后通过在暗网中与作者进行交流,促成了密钥的公布。因此,完全无法期待这一解决方法能够在其它类似的敲诈木马中被使用,也无法指望其它木马的作者也能这样“仁慈”,与敲诈木马进行对抗的道路依然困难重重。

Locky

Locky20162月被捕获到的一类敲诈木马。前面提到的被敲诈并支付了数万美金赎金的组织,据称就是受到了Locky木马的攻击。

根据版本的不同,Locky会采用不同的传播载体,一开始依然是使用Office宏执行下载代码,后期的版本会使用jswsf等多种类型的脚本文件。同时,被加密的文件也会被添加.locky.zepto.odin.thor等多种不同的扩展名。

Locky在使用AESRSA对文件进行加密后,会根据操作系统语言的不同,向服务器请求不同语言的敲诈文本并进行展示。值得注意的是,在Locky的敲诈界面上,很快出现了繁体中文和简体中文的敲诈内容。


图3.某版本Locky木马敲诈说明,在中文Windows下会显示繁体中文内容

Shujin

Shujin这个名称是“赎金”的拼音,这是首款使用简体中文的敲诈木马。同时,在有限的线索中可以发现,此木马并没有其它语言包括英语的版本,仿佛是专门针对国内设计的一样。然而,此木马依然要求使用暗网和比特币进行交易,似乎并不符合国情。


图4.Shujin木马敲诈界面

有安全厂商认为此木马只是利用人们对现有敲诈木马的恐惧心理进行恐吓,实际上并没有包含任何加密相关的代码。如果真是这样的话,这类木马并不应该成为本文收录的对象。不过还有另外一种可能,那就是真正的敲诈木马在完成加密文件操作之后已经自我销毁了,目前收集到的程序只是用于展示敲诈信息。毕竟,在中文论坛上,存在着不少与Shujin敲诈内容相关的求助贴,最早的可以追溯到20163月,并且有受害者声称自己的文件确实丢失了。

此后,没有再发现过Shujin木马的新的变种。此木马究竟是不是使用了新的作恶手段,还需要进一步的分析。

Petya


图5.Petya木马发作界面

Petya木马在20163月被安全厂商捕获。与其它敲诈木马不同的是,此木马首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,是第一个将敲诈和修改MBR合二为一的恶意木马。木马的受害者主要位于德国。

Petya仍然使用邮件作为传播,但是伪装的恶意程序并未放在邮件中,而是通过邮件中的链接指向网盘分享的文件。

Petya生成随机的一次性密钥之后,会使用变种的Salsa算法将其进行变换,然后保存起来,用于用户输入解密密钥之后进行比对。值得一提的是,早期的Petya木马在算法的使用上有一些问题,可用的密钥的复杂度偏低,导致可以通过暴力破解的办法枚举并找到密钥,并还原被加密的磁盘。

不过,在后期的几次更新之后,新的Petya木马已经修补了算法使用上的漏洞。同时,更新后的Petya还加上了Mischa敲诈木马的代码,对整个磁盘和单个文件均可以进行加密。新版本的木马也将敲诈界面从红色改成了绿色。

国产C#敲诈木马


图6.国产C#敲诈木马敲诈说明

此木马也是一个简体中文界面的、以国内受害者为目标的敲诈木马,它会给加密后的文件加上.btc的扩展名。

通过简单的分析即可发现,此木马是使用C#作为编程语言,并进行了简单的混淆。使用C#的一大优点在于,可以方便地调用很多密码库函数,不用重新编写相关代码,开发的速度和质量都可以得到大幅度的提升。

不过不得不说的是,再强大的库,也需要得到合理的使用,才能发挥最大的作用。而此木马的作者在编写加密逻辑的时候,犯了一些错误,导致随机生成的RSA的公私钥会在受害者电脑上存储起来,并且使用的是C#库提供的标准导出格式。有了RSA密钥之后,就可以还原加密时使用的AES密钥,进一步对所有被加密的文件进行解密。虽然在敲诈木马中,这个木马只不过是一个失败之作,不过对于中了此木马的受害者而言不得不说是万幸之事。

Cerber

Cerber也是最近比较常见的一类木马,以其给加密后的文件添加.cerber*系列后缀而得名。此木马使用的是RC4RSA的加密方式,与其它木马没有什么本质上的区别,本文不再详述。

Cerber主要通过网络挂马传播,至今已升级到第五代,作者使用EKAngler Exploit Kit)等公开的黑客工具包能够覆盖大量的已知漏洞,通过渗透网站、投放恶意广告等方式进行挂马。



图7.Cerber木马敲诈界面

三、Android敲诈木马

Windows操作系统类似,Android操作系统上的敲诈木马在近几年也有愈演愈烈的趋势。不过,在手机侧鲜有出现像电脑侧一样直接加密受害者手机中的内容进行敲诈的木马,更多的是通过锁定受害者手机屏幕,使受害者无法正常使用手机,借机进行敲诈。究其原因,Android系统的安全特性可能起了正反两方面的作用。一方面,Android系统对应用权限的严格限制,使得未root的手机上,恶意应用并没有太多办法去读写大量文件;另一方面,由于手机的便携性,使得手机系统的开发者需要更多地考虑手机在未授权的物理访问场景下也能受到良好的保护,这反过来又使得受害者在面对锁屏敲诈的时候能够用上的手段不多。

Android敲诈木马的传播手段,大部分是伪装成各类其它应用,例如工具类应用、刷流量等非法应用、色情类应用等,在小型下载网站、网盘、社交网络中进行传播,诱使受害者下载安装。

1.置顶对话框锁屏敲诈木马

顾名思义,此类木马会弹出自定义的对话框窗口,将该窗口反复强制置顶,使受害者无法正常使用手机的其它功能,同时在置顶对话框中提出敲诈需求和联系方式。与电脑相比,手机端的屏幕较小,运行的任务比较聚焦,同时缺乏丰富的进程管理工具,因此简单的置顶对话框就可能造成严重的影响。


图8.置顶对话框锁屏敲诈木马界面示例

对于这类敲诈木马,如果手机已经开启了USB调试功能并给电脑授予了调试权限,则可以在电脑上使用adb对手机进行操作,清除木马相关进程。除此之外,也可以尝试重启手机并进入安全模式,在避免木马启动的同时卸载对应的恶意应用。

2.修改锁屏密码敲诈木马

此类木马利用了Android系统设备管理器模块的高级权限,可以直接修改系统锁屏密码,然后使用提示框显示敲诈内容。虽然系统限制了用户必须主动给应用授予设备管理器权限,但是由于用户并不熟悉这些权限细节,或者是由于木马反复弹出对话框骚扰,使得木马获取到敏感权限的案例时有发生。


图9.修改锁屏密码敲诈木马示例

同时,被添加为设备管理器的应用,也无法通过通常的途径卸载,必须将应用的设备管理器权限取消后,才能执行卸载操作,而在取消设备管理器权限的过程中,还有可能触发木马恶意行为,重新设置锁屏密码。

Android系统的开发者Google也意识到了这个问题,在Android 7.0版本更新中,限制了使用设备管理器更改密码的功能,只能为没有密码的设备添加密码,而不能修改已存在的密码或者清除密码。对于已经设置过锁屏密码的用户来说,这一更改在一定程度上有助于抵御此类敲诈木马。但是,考虑到Android系统的碎片化现状,要让更多的用户从这一改动中受益,还有很长的路要走。

四、总结

通过以上的分析可以发现,敲诈木马这两年的爆发,与密码学、暗网、比特币等多种技术的发展都是密不可分的。“技术是把双刃剑”,这句老生常谈在此处依然有价值。技术被恰当地利用,可以保护用户的安全;而到了不法分子手中,也有可能成为受害者面前无法逾越的高山。

对于这些敲诈木马,事前的预防远比事后的补救来得重要。用户需要养成良好的安全意识,不随意打开不明来源的附件或链接,也不要随意下载运行小网站和网盘上分享的电脑软件或手机应用。日常生活中,建议使用腾讯电脑管家、腾讯手机管家等安全类产品,实时保护电脑和手机的安全。遇到不确定的文件,也可以上传到哈勃分析系统(https://habo.qq.com/)检查是否安全。


参考资料

 http://www.digitaltrends.com/computing/hollywood-hospital-ransomware-attack/

 Tony Jarvis, 国际安全新趋势, 2016.

 https://en.wikipedia.org/wiki/AIDS_(Trojan_horse)

 段钢加密与解密, 2011

 https://en.wikipedia.org/wiki/Kerckhoffs's_principle

 Diffie W, Hellman M E, New Directions in Cryptography, 1976.

 https://en.wikipedia.org/wiki/Darknet

 https://en.wikipedia.org/wiki/Bitcoin

 http://www.bbc.com/news/technology-25506020

 http://www.computerworld.com/article/2476366/cybercrime-hacking/wham-bam--global-operation-tovar-whacks-cryptolocker-ransomware---gameover-zeus-b.html

 http://www.networkworld.com/article/2894248/microsoft-subnet/help-files-not-helpful-malicious-chm-being-used-in-cryptowall-3-0-attack.html

 http://malware.dontneedcoffee.com/2014/07/ctb-locker.html

 https://en.wikipedia.org/wiki/Elliptic_curve_cryptography

 https://en.wikipedia.org/wiki/Elliptic_curve_Diffie%E2%80%93Hellman

 https://blogs.sophos.com/2015/12/31/the-current-state-of-ransomware-ctb-locker/

 http://www.bleepingcomputer.com/forums/t/568525/new-teslacrypt-ransomware-sets-its-scope-on-video-gamers/

 http://blogs.cisco.com/security/talos/teslacrypt

 https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall/

 http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

 https://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-victims

 http://blog.trendmicro.com/trendlabs-security-intelligence/chinese-language-ransomware-makes-appearance/

 https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives

 https://securelist.com/blog/research/74609/petya-the-two-in-one-trojan/

 https://github.com/leo-stone/hack-petya

 https://blog.malwarebytes.com/threat-analysis/2016/07/third-time-unlucky-improved-petya-is-out/

 http://www.freebuf.com/articles/system/112256.html

 https://developer.android.com/guide/topics/admin/device-admin.html

 https://developer.android.com/about/versions/nougat/android-7.0-changes.html



资讯排行