《从八个方面认识勒索攻击和危害》之三：惯用传播方式与侵入途径

时间： 2021年11月04日来源：安天

自2021年11月1日起，安天垂直响应服务平台运营组以威胁分析和防御赋能视角，通过一天一篇的科普专题连载，分享勒索攻击的攻击技术、行为特点、演进趋势等8组关键信息，介绍安天产品如何构建防御勒索攻击的防线。

今天是本专题的第三篇，围绕勒索攻击的惯用传播方式与侵入途径展开介绍。

勒索攻击专题

《从八个方面认识勒索攻击和危害》之一：勒索攻击中的四种分工角色

《从八个方面认识勒索攻击和危害》之二：勒索攻击的两种典型模式

可能部分用户还没有认识到，如今的网络环境的每一步应用场景，几乎都有可能被攻击者利用成勒索攻击的传播方式与侵入途径。

安天垂直响应服务平台运营组基于我司历史勒索攻击分析报告及相关资料，将目前已知的攻击者惯用传播方式与侵入途径进行了归类整理，通过本文呈现，旨在为用户制定勒索攻击防护方案时提供参考。

一、邮件传播侵入

一般为垃圾邮件、钓鱼邮件与鱼叉式钓鱼邮件，逻辑是通过邮件中的时事热点信息或与受害者相关的内容（包括标题），诱使用户点击或运行内嵌了勒索软件的附件（格式多为Word文档、Excel表格、JavaScript脚本或exe文件等），或打开邮件正文中的恶意链接。用户一旦进行相关操作，勒索软件将会自动下载和运行。

垃圾邮件在非定向勒索攻击中较为常见，以“广撒网”的方式进行传播，邮件内容一般为时事热点、广告、促销信息或伪装成打招呼邮件（如标题为“好久不见”等）。

钓鱼邮件与鱼叉式钓鱼邮件则常用于定向勒索攻击中，由于攻击者通常在事前已通过侦察手段获取到了受害者的相关信息，因此会将邮件包装成官方或工作伙伴发送的邮件（如：“XX最新政策信息”、“XX年度XX工作表”、“公司将升级XX系统”等相关标题与内容），甚至会模仿熟人发信的语气，增加收件人上当的概率。

这类传播及侵入的目标多为企业、高校、医院机构等单位，这些单位组织中的本地设备通常保存有较重要的文件，一旦侵入成功，即可造成极大威胁。

例：安天曾在《LooCipher勒索软件分析报告》^[1]中指出：LooCipher勒索软件主要通过垃圾邮件进行传播，邮件附件为包含恶意宏代码的Word文档。该文档诱使用户启用宏以查看文档内容，宏代码的功能为连接Tor服务器并下载执行程序，将该文件重命名为LooCipher.exe，然后执行该文件。

二、系统或软件漏洞

攻击者利用各类系统或软件漏洞（包括已公开且已发布补丁的漏洞）组合，或通过黑色产业链中的漏洞利用套件（如：Exploit Kit）来传播勒索软件。

由于未能及时修补漏洞，因此用户即便没有不安全用网行为，也可能遭到攻击者侵入；同时，攻击者还会扫描同一网络中存在漏洞的其他设备，以扩大威胁攻击范围。

例：“魔窟”（WannaCry）就是利用Windows操作系统中，名为“永恒之蓝”的安全漏洞进行全球范围传播的。

三、弱口令暴力破解（远程桌面控制）

由于部分服务器会使用弱口令（可简单理解为复杂度较低的密码）远程登录，攻击者便利用这一弱点实施暴力破解，实现远程登陆并手动下载运行勒索软件。譬如：通过弱口令尝试暴力破解RDP端口、SSH端口和数据库端口等。

即使服务器安装了安全软件，攻击者也可手动将其退出。该手段具有较高的隐蔽性、机动性，因此极难被安全软件发现。

例：2021年3月，安天就曾发布《对HelpYou勒索软件的分析报告》^[2]，发现该勒索软除了通过邮件之外，还可以利用RDP弱口令渗透进行传播。

四、僵尸网络

僵尸网络是指：采用一种或多种传播方式，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

例：攻击者利用已经被僵尸网络控制的系统主机进行病毒传播，特点是传播范围广，隐秘性高，感染速度快。2021年8月，安天发布了《对AstraLocker勒索软件的分析报告》^[3]，该勒索软件主要通过垃圾邮件和僵尸网络进行传播。

五、恶意广告链接（网页挂马）

攻击者会向网页代理投放广告（弹窗广告、悬浮窗广告等），并在其中植入跳转链接，从而避开针对广告系统的安全机制，诱导用户点击广告、访问网站并触发恶意代码，进而下载勒索软件并执行。

有些攻击者则会选择直接攻击网站，并植入恶意代码，用户一旦访问就会感染。

也有一些攻击者会自主搭建包含恶意代码的网站，或者仿造制作与知名站点相似的“假网站”，以此来诱骗用户访问。

例：安天在《对Maze勒索软件的分析》^[4]中发现，该勒索软件擅长使用FalloutEK漏洞利用工具，或通过网页挂马的方式传播；被挂马的网页，多用于黄赌毒以及某些软件内嵌的广告页面等。

六、软件供应链（信任转嫁）

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播、安装和升级过程中，通过软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查达到传播侵入的攻击类型。

例：2021年7月3日，美国技术管理软件供应商Kaseya遭遇REvil勒索软件的攻击。REvil团伙在Kaseya供应链攻击中利用了0day漏洞。据媒体报道，至少有1000家企业受到了攻击的影响，受害者来自至少17个国家，包括英国、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚等。而REvil勒索团伙当时索要的赎金高达7000万美元^[5]。

七、移动存储介质

攻击者通过隐藏U盘、移动硬盘等移动存储介质中的原有文件，创建与移动存储介质盘符、图标等相同的快捷方式并植入病毒，一旦用户点击就会运行勒索软件，或运行专门用于收集和回传设备信息的木马程序，便于未来实施针对性的勒索软件攻击行为。

由于PE类文件（常见后缀为exe、dll、ocx、sys、com的都是PE文件）被感染后具有了感染其他文件的能力，如果此文件被用户携带（U盘、移动硬盘、网络上传等）到别的设备上运行，就会使得其他设备的文件也被全部感染。许多内网隔离环境，就是被藏在移动存储介质里的恶意软件感染的。

例：2021年3月，安天捕获到的BleachGap勒索软件就具备添加自启动、改写MBR、通过可移动介质传播等多项特征^[6]。

八、水坑攻击

攻击者在受害者必经之路设置了一个“水坑（陷阱）”，致使受害者上当。譬如：攻击者会分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

例：勒索软件“Bad Rabbit”就曾采用水坑攻击的方式传播，通过伪装成Adobe flashplayer欺骗用户安装，感染后会在局域网内扩散^[7]。

下期预告

勒索攻击的传播方式与侵入途径与常见的计算机网络威胁攻击大体一致，但“魔鬼藏在细节中”，用户的不当用网习惯、对系统或软件漏洞修补的忽略、对安全防护措施的忽视等，都有可能导致勒索攻击趁虚而入。

因此，养成日常安全用网习惯、构建安全防护体系、提升安全运营水平，是有效防御勒索攻击传播侵入的首要行动条件。

下一期主题：勒索攻击“杀伤链”分析，敬请期待。

附件：安天智甲5+2防护，构筑端点系统侧安全防线

▲ 智甲终端防护系统防御勒索病毒原理示意图

智甲针对勒索攻击构建了“五层防御，两重闭环”的防护解决方案。五层防御即系统加固、（主机）边界防御、扫描过滤、主动防御、文档安全五个防御层次，两重闭环是EPP（端点防护）实时防御闭环，和EDR（端点检测和响应）准实时/异步防御闭环。

安天智甲终端防御系统防护勒索病毒的机理表
防护层级	技术原理
系统加固	通过基线和补丁检查功能，实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等，从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面，削弱漏洞利用的成功率。
（主机）边界防御	通过分布式主机防火墙和介质管控功能，拦截扫描、入侵数据包，阻断攻击载荷传输，拦截U盘、光盘等插入自动运行，使勒索攻击难以获得主机入口。
扫描过滤	基于安天AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描，判断检测对象是否是已知病毒或者疑似病毒，从而实现精准判断查杀。
主动防御	基于内核驱动持续监控进程等内存对象操作行为动作，研判是否存在持久化、提权、信息窃取等攻击动作，判断是否存在批量读写、删除、移动文件或扇区等操作，并通过文件授信（签名验证）机制，过滤正常应用操作动作以降低误报。
文档安全	依靠部署多组诱饵文件并实时监测，诱导勒索病毒优先破坏，达成欺骗式防御效果。采用多点实时备份机制，即使正常文档被加密也可快速恢复。