勒索病毒工作原理:
勒索病毒是黑客通過鎖屏、加密等方式劫持用戶設備或文件,並以此敲詐用戶錢財的惡意軟件。黑客利用系統漏洞或通過網絡釣魚等方式,向受害電腦或服務器植入病毒,加密硬盤上的文檔乃至整個硬盤,然後向受害者索要數額不等的贖金後才予以解密,如果用戶未在指定時間繳納黑客要求的金額,被鎖文件將無法恢復。
1、針對個人用戶常見的攻擊方式
通過用戶瀏覽網頁下載勒索病毒,攻擊者將病毒偽裝為盜版軟件、外掛軟件、色情播放器等,誘導受害者下載運行病毒,運行後加密受害者機器。此外勒索病毒也會通過釣魚郵件和系統漏洞進行傳播。針對個人用戶的攻擊流程如下圖所示:
攻擊流程
2、針對企業用戶常見的攻擊方式
勒蘇病毒針對企業用戶常見的攻擊方式包括系統漏洞攻擊、遠程訪問弱口令攻擊、釣魚郵件攻擊、web服務漏洞和弱口令攻擊、數據庫漏洞和弱口令攻擊等。其中,釣魚郵件攻擊包括通過漏洞下載運行病毒、通過office機制下載運行病毒、偽裝office、PDF圖標的exe程序等。
1)系統漏洞攻擊
系統漏洞是指操作系統在邏輯設計上的缺陷或錯誤,不法者通過網絡植入木馬、病毒等方式來攻擊或控制整個電腦,竊取電腦中的重要資料和信息,甚至破壞系統。同個人用戶壹樣,企業用戶也會受到系統漏洞攻擊,由於企業局域網中機器眾多,更新補丁費時費力,有時還需要中斷業務,因此企業用戶不太及時更新補丁,給系統造成嚴重的威脅,攻擊者可以通過漏洞植入病毒,並迅速傳播。席卷全球的Wannacry勒索病毒就是利用了永恒之藍漏洞在網絡中迅速傳播。
攻擊者利用系統漏洞主要有以下兩種方式,壹種是通過系統漏洞掃描互聯網中的機器,發送漏洞攻擊數據包,入侵機器植入後門,然後上傳運行勒索病毒。
通過系統漏洞掃描網絡中的計算機
另外壹種是通過釣魚郵件、弱口令等其他方式,入侵連接了互聯網的壹臺機器,然後再利用漏洞局域網橫向傳播。大部分企業的網絡無法做到絕對的隔離, 壹臺連接了外網的機器被入侵,內網中存在漏洞的機器也將受到影響。
入侵壹臺機器後再通過漏洞局域網橫向傳
網上有大量的漏洞攻擊工具,尤其是武器級別的NSA方程式組織工具的泄露,給網絡安全造成了巨大的影響,被廣泛用於傳播勒索病毒、挖礦病毒、木馬等。有攻擊者將這些工具,封裝為圖形化壹鍵自動攻擊工具,進壹步降低了攻擊的門檻。
2)遠程訪問弱口令攻擊
由於企業機器很多需要遠程維護,所以很多機器都開啟了遠程訪問功能。如果密碼過於簡單,就會給攻擊者可乘之機。很多用戶存在僥幸心理,總覺得網絡上的機器這麽多,自己被攻擊的概率很低,然而事實上,在全世界範圍內,成千上萬的攻擊者不停的使用工具掃描網絡中存在弱口令的機器。有的機器由於存在弱口令,被不同的攻擊者攻擊,植入了多種病毒。這個病毒還沒刪除,又中了新病毒,導致機器卡頓,文件被加密。
通過弱口令攻擊和漏洞攻擊類似,只不過通過弱口令攻擊使用的是暴力破解,嘗試字典中的賬號密碼來掃描互聯網中的設備。
弱口令掃描網絡中的計算機
通過弱口令攻擊還有另壹種方式,壹臺連接外網的機器被入侵,通過弱口令攻擊內網中的機器。
入侵壹臺機器再弱口令爆破局域網機器橫
3)釣魚郵件攻擊
企業用戶也會受到釣魚郵件攻擊,相對個人用戶,由於企業用戶使用郵件頻率較高,業務需要不得不打開很多郵件,而壹旦打開的附件中含有病毒,就會導致企業整個網絡遭受攻擊。釣魚郵件攻擊邏輯圖:
釣魚郵件攻擊邏輯
文章轉載至:2018勒索病毒全面分析報告