如何追蹤勒索軟體的贖金，找到幕後首腦

背景

首先要說到一點就是勒索軟體之所以成功的原因就在於人們不重視數據備份。

上圖是2017年7月的一個針對美國網路用戶的備份習慣的調查統計表。上圖的數據顯示出，雖然人們意識到勒索軟體的存在，但是有備份習慣的人還是很少：只有37%的被訪者說他們有備份數據的習慣。而這一小部分備份的人群中，備份頻率也很低。也就是說，即使有系統級的數據保護方案，用戶可能也不會去應用。

勒索軟體感染的生命周期

下圖是勒索軟體的工作原理：

勒索軟體的生命周期可以分為4個階段，分別是感染、勒索贖金、支付贖金、解密文件。

勒索贖金Ransom

受害者被勒索軟體感染後，他們的個人文件就會被勒索軟體加密，並展示一個勒索信息。如上圖所示，這種勒索信息一般都指向一個tor站點，該站點含有一個唯一的ID來識別受害者。近期，多數的勒索軟體通過威脅增加贖金的方式向受害者施壓，以迫使受害者儘快支付贖金。甚至有如果不及時支付贖金就刪除受害者所有文件的威脅。

支付網站Payment site

一旦受害者訪問tor站點，就會看到一個含有一些指示信息的頁面，指示信息包括需要支付的比特幣金額、購買比特幣的方式、支付贖金的比特幣錢包信息等。因為比特幣允許任意用戶創建任意多的賬戶，因此許多的勒索軟體會對每個受害者生成不同的比特幣錢包帳號。

Bitcoin 購買

受害者會在比特幣交易軟體上購買比特幣，然後轉賬到勒索者的比特幣錢包中。

解密

一旦勒索組織確認受害者的支付信息，受害者的設備就會收到解密密鑰並恢復加密的文件。大多數的勒索軟體犯罪分子會遵守承諾提供解密密鑰並恢復文件。但是Wannacry和NotPetya這樣的軟體是以勒索軟體的形勢隱藏其真實意圖。

因為支付贖金無法區分和辨別，因此受害者在這個過程中還是有可能會被欺詐的。需要注意的是，如果勒索軟體的作者被捕或研究人員（或官方）發現了勒索軟體加密方案的漏洞，那麼解密密鑰就會公開給受害者。

勒索軟體使用比特幣或Tor的原因

在解釋如何追蹤勒索軟體支付前，需要要解釋一些為什麼勒索軟體選用了比特幣和TOR，這也就說明了在追蹤支付時所遇到的挑戰和困難。

比特幣Bitcoin?

匿名性：與其他虛擬貨幣一樣，創建比特幣錢包是不需要任何身份證明信息的，這對實施網路犯罪來說是非常理想的。

全自動：比特幣可以將勒索支付的所有環節自動化，從創建比特幣錢包到監控帳戶入賬等。

不可逆性：比特幣交易是不可逆的，也是說一旦支付了贖金，是無法退回的。

可替代性：比特幣是虛擬貨幣，是可以提現的。沒有其他的貨幣可以讓網路犯罪分子進行數億美元的大宗交易而不被發現。

勒索軟體使用多個比特幣錢包?

因為創建和監控比特幣錢包可以自動完成，因此比特幣錢包可以幫助犯罪分子識別哪些受害者支付了贖金。

勒索軟體使用TOR?

TOR讓執法機構很難定位勒索網站的地址並關停網站。因為這些站點要求爬蟲支持TOR協議，所以使用TOR後，很難爬去這些網站的信息來獲取勒索錢包的地址。

追蹤勒索軟體贖金支付

追蹤勒索軟體支付需要4個階段來完成：

1. 收集勒索軟體樣本。尋找並標記正在研究的勒索軟體樣本並建立數據集。

2. 通過聚類增加覆蓋範圍。用數據集中的二進位作為種子，可以用聚類技術來增加數據集中的勒索軟體二進位文件的數量。

3. 尋找與每個勒索軟體家族相關的比特幣錢包。通過對勒索軟體二進位文件應用動態執行和機器學習，爬取與數據中的勒索軟體相關的支付地址，就可以將勒索軟體家族與特定的比特幣錢包進行關聯。

4. 找出勒索軟體取款錢包。通過對上一步中識別出的比特幣錢包進行追蹤支付，就可以找出勒索贖金是怎樣通過區塊鏈來轉移的，並找出網路犯罪分子提現所用的錢包地址。

收集勒索軟體樣本

研究的第一階段是包括為主要的勒索軟體家族創建勒索軟體二進位文件集，這一階段的難點在於確定哪些惡意軟體文件屬於哪個惡意軟體家族。一共有34個惡意軟體家族和幾百個變種，一共有15萬左右的勒索軟體二進位文件集。

利用聚類增加覆蓋範圍Increasing coverage via clustering

在原來數據集的基礎上，用聚類技術和代碼相似性來自動找出額外的勒索軟體二進位文件。代碼相似性分析可以幫助找出更多的勒索軟體，聚類演算法可以根據不同的域名、釋放的文件、其他動態執行等將新發現的勒索軟體分配到正確的所屬家族和變種中。

這一階段幾乎會讓惡意軟體二進位文件數據集的數量翻倍，覆蓋範圍變大後，該數據集就可以代表勒索軟體的活動了。

找出每個勒索軟體家族相關的比特幣錢包

通過勒索軟體二進位文件中獲取比特幣錢包分為三個步驟：

1. 執行勒索軟體二進位文件獲取勒索信息note

2. 用深度學習技術分析勒索信息並提取支付站點的TOR地址

3. TOR web爬蟲抓取支付站點的信息來獲取比特幣錢包的詳情

找出勒索軟體提現的錢包

找出勒索軟體二進位文件相關的比特幣錢包地址後，下一步就是通過比特幣鏈來追蹤支付信息，最終找出現金流和提錢方式。

通過比特幣支付的勒索軟體支付信息分析

追蹤比特幣的流動雖然很難，但也是可能的。因為比特幣交易是公開的，包含了追蹤勒索支付所需要的所有信息。

上圖是比特幣錢包交易的一個截屏，每個交易都含有以下信息：轉賬金額、發送者錢包、接受者錢包和交易日期。

通過前三步可以找出支付贖金的錢包，而提現相關的錢包是依賴Chainanalysis數據集來找出的。

經過推斷，收取贖金的3個比特幣錢包的地址是在localbitcoins.com上購買的，從交易信息中可以看到1N1NnUFAxbJScsDN6fVuoNMsCtbWwnE1Ji 是發送者錢包。同樣地，這4個比特幣錢包最終是通過BTC-e進行取現的，BTC-e控制的接受者錢包是152LfB5rEXnWvk2W2GvvcQWjX6ibC4kKna。

中轉錢包

大多數情況下，網路犯罪分子會用多個比特幣中轉錢包來避免被追蹤到。甚至有人會用比特幣mixer來讓追蹤變得更難。但是，不管比特幣被轉移多少次，最終都會被取出。為了簡化提現操作，網路犯罪分子會把大量的勒索贖金轉移到一個錢包中提現，這個錢包叫做積累錢包accumulation wallets。研究發現，在過去的幾周中，這些積累錢包是非常平穩的，直到達到百萬美元才會提現。

研究人員向之前發現的勒索錢包中支付了少量的比特幣（贖金），然後追蹤該筆款項的轉移，直到轉移到積累錢包中。

找出支付的贖金

積累錢包是找到勒索贖金的關鍵，一旦找到這些錢包，可以在交易賬本中追蹤所有的支付。從中可以看到支付的金額和支付時間。有了這些信息，就可以將勒索贖金支付和這些臨時數據與給定的二進位文件和勒索軟體家族關聯在一起。

重複這個過程就可以發現勒索軟體經濟的內在工作原理，並找到幕後的首腦。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！