前言

2017年上半年，勒索軟件攻擊的復雜程度達到了新的高度。不僅復雜性增加，新的勒索軟件代碼發布與傳播速度也是驚人。今年兩大主要的勒索軟件安全事件將網絡安全徹底暴露在全球網民的視野下，成了人們茶余飯后的談資之一。無論是企業機構還是普通網民，都開始意識到了網絡攻擊的巨大殺傷力。

微軟于今年3月發布一份安全情報報告，總結了2017年第一季度不同領域的威脅動向，報告中闡述了勒索軟件猖獗肆虐的現狀。2017年1月至3月，微軟的安全產品所檢測到的勒索軟件受害者比例最高的國家有捷克共和國、韓國及意大利。

本文我們重點介紹已經發生的安全事件帶給我們關于未來趨勢、發展的啟發。

　　2017年1月-6月勒索軟件全球影響分布圖

勒索軟件增長規律

2017年3月，勒索軟件受害者數量在歷經幾個月的跌幅后開始逐漸回升。這種上升趨勢主要來自于像Cerber這樣已經具有一定規模的勒索軟件活動組織，以勒索軟件即服務的形式展開全球范圍內的強勢。

2016年7月至2017年6月每月勒索軟件數量（藍柱）與中招用戶數量（黃線）

這種上升趨勢的另一個原因是因為勒索軟件家族的不斷龐大，數量增長與傳播速度之快也令人咋舌。2017年上半年，我們發現了71個新的勒索軟件成員。

其中一些勒索軟件成員尤為“出類拔萃”，它們的攻擊活動形式更為新型復雜。例如，今年第一季度出現的Spora完全搶占了去年Cerber的風頭，成為當時傳播最為廣泛的勒索軟件。

　　2017年第一季度最流行的幾類勒索軟件成功率對比圖

Spora龐大的危害輻射面產生原因可能有兩個：第一，它能夠同時通過網絡驅動和USB等移動驅動進行傳播；第二，其初始版本主要針對的是俄羅斯網民，因此用戶界面的語言采用的也是當地語言，但后期攻擊目標擴大到全球范圍后，它又將系統語言更改為英文。

其它2017年臭名昭著的勒索軟件成員還包括Jaffrans、Exmas以及Ergop。盡管這些勒索軟件沒有達到Spora那樣的影響力，但是它們確實體現了勒索軟件領域的周期性進步和變本加厲的頑固性。

全球勒索軟件警鐘拉響

WannaCrypt（又稱WannaCry）是今年到目前為止影響范圍最大的新型勒索軟件之一。五月份出現的這個惡意程序利用了未更新win7系統中的一個補丁漏洞，并迅速傳播到歐洲乃至全球（該漏洞不影響Windows 10系統）。這次攻擊活動使得大量高科技設施、大型企業機構正常活動遭到嚴重破壞。

WannaCrypt爆發后幾周，一個新的變種Petya卷土重來。Petya采用了WannaCry所使用的一些新技術，但綜合了更多網絡傳播方式。Petya的爆發始于烏克蘭，被感染的軟件供應鏈通過一個更新程序開啟了Petya的傳播之路。短短幾小時，Petya就已經蔓延至其它國家。盡管Petya的傳播范圍不及WannaCry廣泛，但是復雜程度卻高于WannaCry，對于被感染機構的殺傷力更加大。

WannaCrypt和Petya打破了攻擊行為的針對性和本地化特征，是歷史上第一次全球范圍內大規模的惡意程序攻擊。這種趨勢形成了地下市場的全球利益鏈，但是這樣的變化對攻擊者來說也有弊端，比如，在這些攻擊活動中使用的比特幣錢包則更容易受到監管人員的密切監視。

WannaCrypt和Petya的出現表明，利用全球范圍內普遍漏洞產生的勒索軟件攻擊活動會給全人類帶來災難性的后果。全球性攻擊活動也向人類發出警告：安全響應人員應提高攻擊檢測、響應能力，控制勒索軟件感染疫情；系統或軟件的更新發布后應及時安裝。

勒索軟件復雜性分析

全球勒索軟件疫情爆發的原因之一是勒索軟件技術的進步。WannaCrypt、Petya、Spora等勒索軟件變體所具備的新功能以及他們的傳播速度于危害程度都體現了這一點。

利用漏洞進行內網漫游

Spora通過網絡驅動和可移動驅動器傳播的能力使其成為傳播范圍最為廣泛的勒索軟件之一。雖然它不是第一個整合蠕蟲狀擴散機制的勒索軟件，但它能夠通過這種功能來感染更多的設備。

帶有蠕蟲功能的勒索軟件攻擊活動范圍可以從終端安全延伸到整個企業網絡。WannaCry就是一個很好的例子，它利用CVE-2017-0144（又名“永恒之藍”，已修復 MS17-010）這個漏洞感染了未及時更新的設備。

而Petya則又對WannaCrypt的傳播機制進行了擴展——利用了兩個漏洞對未更新系統進行感染：CVE-2017-0144以及CVE-2017-0145（被稱為EternalRomance，已修復）。

這兩次攻擊事件都說明了及時更新系統或程序的重要性。同時安全人員檢測和攔截與漏洞相關惡意行為的及時性也非常關鍵。

另外，我們還應注意到這兩大勒索軟件的出現都沒有波及Win10系統，也就是說升級到最新版本的系統或平臺也會增加安全系數。就算這些漏洞也出現在Win10系統中，該系統也會多種漏洞緩解方案，包括零日漏洞。另外，Windows Defender高級威脅防護程序（Windows Defender ATP）也可以在無需簽名更新的情況下檢測到漏洞利用的惡意活動。

Here is the 彩蛋：由朔方翻譯的用于分析是否有內網橫向移動行為的參考手冊《日本CERT內網漫游人工檢測分析手冊》，可通過鏈接http://pan.baidu.com/s/1qYNq1uG密碼：u90s 獲取。

憑證竊取

Petya還有一個奪眼球的特點是它竊取重要憑證的功能，通過憑證轉儲工具獲取或直接從憑證庫中竊取。該功能對于使用本地管理員權限登錄并在多臺計算機上打開活動會話的用戶網絡構成了嚴重的安全威脅。在這種情況下，被盜憑證可以在其它設備上行使同等級別的訪問權限。

Petya疫情表明了保護憑證安全的重要性。企業應對特權賬戶進行不斷審查，因為這些賬戶具有對企業機密和其它關鍵數據的訪問權限，一旦淪陷，后果不堪設想。Win10系統中的Credential Guard使用虛擬安全保護派生域憑證，能夠攔截企圖侵入特權帳戶的惡意行為。

網絡掃描

掌握漏洞或憑證信息后，勒索軟件就開始通過網絡掃描把魔爪伸向網絡世界中的角角落落。例如，Petya通過掃描受感染的網絡，嘗試與其它計算機建立有效連接，然后通過竊取的憑證傳輸惡意程序副本。Petya同樣也掃描了網絡共享連接，嘗試通過這些共享行為進行傳播。

而WannaCrypt則大量掃描IP地址，尋找存在“永恒之藍”漏洞的計算機，這個功能使得WannaCry能夠在不同網絡之間的計算機上進行傳播。

破壞性行為

絕大多數勒索軟件都有一個相同的、明確的動機：受害者必須支付贖金，否則永遠拿不到自己電腦上已經被加密的文件。雖然不能保證支付贖金后對方一定會解密文件，但是大多數勒索軟件還是通過贖金聲明的方式說明他們要錢的意圖。WannaCry攻擊者于今年8月將所有比特幣從比特幣錢包領取兌現。而Petya開發者在早早地7月初就開始收網。

前文我們已經提到過，Petya的破壞性更大：它覆蓋或損壞主引導記錄（MBR）和卷引導記錄（VBR），使受感染的計算機徹底癱瘓。這個現象引起了安全界很多專家的思考與討論：Petya產生的根本目的是為了像WannaCry那樣騙取贖金還是像Depriz（也稱為Shamoon）那樣破壞網絡及系統安全？

　　Petya攻擊鏈

小編在PS、AI方面是菜鳥，圖片漢化就不花時間做了，就在下面附上圖片文字內容的翻譯，有需要的同志可自行替換。

1.MALICIOUS SOFTWARE DOWNLOAD 惡意程序下載

Initial infection appears to involve a compromised software supply-chain or a watering-hole attack

從感染某個軟件或發起一個“水坑式”攻擊開始

2. Victim 0 受害設備O

3. If Kaspersky is present, MBR and some disk sectors are destroyed. Otherwise，MBR is replaces with a ransom bootloader (or trash if fail)

如果設備上裝有卡巴斯基，MBR和一些磁盤扇區會被損壞。否則，MBR被替換為贖金引導程序（替換失敗則當作垃圾處理）

[SEDEBUG]

MBR ACTIVITIES MBR活動

[take effect post-reboot] 【重啟后執行】

TRASH 垃圾 INFECT 感染

4. Muti-threaded execution of malicious code begins in parallel 多線程惡意代碼執行同時進行

SMB EXPLOITS SMB漏洞

INTERNET/LOCAL NETWORK 互聯網/本地網絡

Org A Org B Org C 機構A 機構B 機構C

Victim 1 受害設備1

etc. …

CREDENTIAL THEFT 憑證竊取

From LSASS/CredEnumerateW, or steal active tokens

從LSASS/CredEnumerateW竊取或竊取活動令牌

Creds/tokens 憑證/令牌 SCANNING 掃描

Scanner enumerates targets for lateral movement(adminS) 掃描器列舉目標進行內網滲透（adminS）

Machine list 設備列表 FILE ENCRYPTION 文件加密

Local files on the machine are encrpted with AES 設備上的本地文件通過AES加密

Remote execution through PSEXEC or WMIC 通過PSEXEC或WMIC遠程執行

LOCAL NETWORK 本地網絡

關于Petya目的的討論，很多專家各執一端。但有一點可以肯定，攻擊者可以輕松地把其它payload加入勒索軟件代碼，形成針對性攻擊或其它類型的毀滅性網絡攻擊。隨著勒索軟件威脅程度的驟增，無論是各大企業機構還是個人，都需要一個完善的網絡安全防護方案，抵御端到端的勒索軟件攻擊。

結 語

原文接下來的部分講的就全是微軟夸自己的win10系統多么厲害了。這里我就不給微軟打廣告，有興趣者也可參見原文：