成功的比特幣勒索軟體攻擊剖析及如何防止成為受害者

2016年初，有關特別嚴重的勒索軟體攻擊的報道開始浮出水面。雖然許多受害者都在美國，但這些襲擊也在世界其他地方見證過。從那時起，勒索軟體一直處於活動狀態，並且隨著每個版本的發布而不斷更新和更好。

什麼是SamSam？

領先的安全服務公司Sophos發布了一篇詳細介紹勒索軟體細節的論文。憑藉其深入的知識和先進的研究工具，這家英國公司已經能夠發現有關這次襲擊的重要細節。這些包括攻擊範圍，關於勒索軟體創建者的某些推論，以及IOC（妥協指標）等。

這篇論文被稱為「SamSam：（差不多）六百萬美元勒索軟體」，是與區塊鏈分析公司Neutrino共同創建的。

勒索軟體是指一種惡意軟體。一旦軟體可以訪問計算機或計算機網路，它就會啟動並加密文件。然後，攻擊者要求受害者索要贖金，以便解密數據並恢復網路功能。今天，贖金通常以比特幣等加密貨幣支付。

在過去幾年中，勒索軟體攻擊的數量和嚴重程度都在增加。例如，去年獲得誹謗的WannaCry勒索軟體仍在感染新的受害者，最新的受害者是航空巨頭波音公司。

僅在今年，SamSam據報道影響了許多組織。該惡意軟體被指責刪除亞特蘭大市的dashcam鏡頭，可能會影響大量案件。此外，SamSam感染導致科羅拉多州交通局的網路離線多日。惡意軟體也影響了醫療保健提供商和大學。

怎麼運行的

雖然勒索軟體攻擊通常是嚴重的，但由於各種因素的共同作用，SamSam繼續將自己與同行區分開來。其中一個最重要的區別是感染載體。 Sophos的研究人員認為，肇事者使用的方法是攻擊如此成功的部分原因。

SamSam的目的不是通過附有惡意代碼的電子郵件進行傳播，就像目前大多數勒索軟體一樣。相反，惡意軟體的創建者明確地針對他們的受害者。他們試圖遠程訪問目標網路中的計算機。一旦攻擊者可以訪問一台計算機，它們就會瞄準網路上的其他計算機。整個攻擊過程分六步進行。

第一步是確定受害者;雖然不知道肇事者最終如何決定他們的受害者，但攻擊者將專門針對一個組織並且不是隨機感染。 Sophos假定攻擊者可能通過黑暗網路獲取受保護程度較低的系統列表，並且這些信息可能會告知他們決定攻擊誰。安全公司報告說：

「他們可能會從黑暗網路上的其他黑客那裡購買易受攻擊的伺服器列表，或者只是使用Shodan或Censys等公共搜索引擎。顯而易見的是，他們傾向於瞄準大中型組織，主要是在美國。「

獲取目標後，攻擊者將嘗試滲透網路。他們使用一些工具來實現這一目標。在SamSam惡意軟體的初始版本中，創建者利用網路中的JBOSS漏洞來提取允許他們在系統上啟動惡意軟體的許可權。 JBOSS是一個Java應用程序伺服器。

但是，隨著勒索軟體複雜程度的提高，攻擊開始使用遠程桌面協議（RDP）。 RDP是一種通信系統，旨在使管理員能夠遠程訪問網路，使其保持正常運行。但是，攻擊者使用此向量來訪問網路。使用NLBrute工具，攻擊者暴力強制加密到網路。這是惡意軟體目前的首選入口點，代表第二階段。

一旦攻擊者在強制輸入密碼後訪問系統，他們就會繼續嘗試將其許可權提升到管理員帳戶的級別，從而允許他們啟動SamSam。這個過程通常需要一段時間，可以持續數天。此外，犯罪者將使用名為Mimikatz的工具竊取真正管理員帳戶的登錄憑據。這是襲擊的第三階段。

第四步是識別網路中易受攻擊的計算機。 SamSam由其創建者手動傳播，黑客旨在部署惡意軟體，同時偽裝成真正的管理員。 Sophos相信這個載體是因為它為攻擊提供了某些優勢：

「作為一種手動攻擊，它不會造成失控的風險，從而引起不必要的注意。它還允許攻擊者挑選目標，並知道哪些計算機已加密。但首先，它必須選擇目標。「

使用他們竊取或以其他方式獲取的憑證，黑客控制網路上的伺服器。這個受損的伺服器然後成為攻擊的操作命令中心。黑客從伺服器部署網路掃描工具以識別他們將感染的計算機。

「當掃描工具能夠訪問潛在受害者的文件系統時，它會將名為test.txt的純文本文件（僅包含字元"ok"）寫入任何計算機的C： Windows System32文件夾中訪問。同時，該工具在受感染伺服器上名為alive.txt的文件中創建一個可操作的受害計算機列表。攻擊者稍後將此.txt文件用作目標列表。「

第五步是惡意代碼的實際啟動。黑客使用系統應用程序工具手動啟動SamSam。一旦惡意軟體感染了目標計算機，攻擊者的最後一步就是等待來自受害者的通信以及贖金。

需要注意的一點是，SamSam會加密其目標上的所有文件。 「SamSam不僅加密文檔文件，圖像和其他個人或工作數據，還加密運行應用程序（例如，Microsoft Office）所需的配置和數據文件。其備份策略僅保護用戶文檔和文件的受害者將無法在不重新映像的情況下恢復計算機，首先。「

他是惡意軟體如此陰險的原因之一，也是為什麼攻擊者在過去的兩年半里能夠以近600萬美元的利潤獲利。

SamSam Ransomware船員從贖金支付近600萬美元 - 來自@campuscodihttps：//t.co/5zxC59hGoW

- BleepingComputer（@BleepinComputer）2018年7月31日

在SamSam的創造者心中

安全專家認為，SamSam因其創造者而獨樹一幟。黑客對細節表現出極大的關注。他們使用的工具旨在使檢測和跟蹤變得困難，如果不是不可能的話。例如，如果由於某種原因攻擊失敗，攻擊者會包含一個刪除代碼的所有oast操作的文件。然後，此工具會自行破壞，刪除所有嘗試攻擊的痕迹。這使網路管理員很難檢測到攻擊。

此外，由於SamSam並非設計為蠕蟲，而是由攻擊者手動傳播，因此攻擊一旦啟動就很難阻止。這是因為如果系統具有檢測可疑活動並試圖阻止攻擊的安全功能，則攻擊者能夠對抗網路的響應。

黑客改變策略以環繞安全功能，並且通常能夠成功啟動惡意軟體。

此外，眾所周知，攻擊者在看到目標沒有使用網路時會發動攻擊。這是為了避免檢測和隨後停止努力。攻擊者確保在深夜或清晨開始加密文件。世界各地的受害者都是如此，這表明黑客精心策划了襲擊的每個階段。黑客通常會將進攻保持16小時，停止休息8小時。

SamSam的創建者繼續創建新版本的惡意軟體，活動版本是該軟體的第三次迭代。肇事者展示了每次發布的增長，使得越來越難以發現攻擊。

「顯而易見的是，他們已經匿名超過兩年半，並繼續顯示他們的攻擊變得更加複雜，」Sophos在其報告中說。該公司進一步認為，不斷增長和匿名表明攻擊者是一個人。此外，他們認為攻擊者不是母語為英語的人。

雖然報告的許多SamSam病例來自政府組織，但Sophos發現私營部門約佔犯罪者目標範圍的一半。公共部門組織更有可能報告襲擊事件，而私營部門受害者則沒有報告襲擊事件。受害者大多來自美國;然而，加拿大，英國，阿聯酋和澳大利亞等受到影響。

加密連接

SamSam要求比特幣支付贖金。一旦網路遭到入侵併且文件被加密，受害者就可以查看贖金票據，其中包括暗網（託管網站）上託管的網頁的地址，攻擊者的比特幣（BTC）地址以及贖金金額。目前贖金為每台受感染計算機0.8 BTC和7 BTC完全解密。

攻擊者一直在增加贖金所需的金額。這筆錢將在七天內支付，此時黑客需要額外的0.5 BTC。黑客為每個受害者創建一個獨特的支付站點，並直接與受害者通信，以便在支付贖金後平滑解密過程。奇怪的是，攻擊者有時會在贖金票據中包含道歉。

通過與Neutrino合作，Sophos能夠識別出已收到SamSam贖金的157個地址。還有89個與攻擊相關的地址未收到任何付款。研究人員還發現，這些地址都來自三個不同的錢包。雖然之前的估計假設SamSam為其創作者籌集了850,000美元，但Sophos和Neutrino已確定實際數字為590萬美元。他們還說，攻擊者每月從受害者手中賺取大約30萬美元。

截至2018年7月19日，233名受害者已支付全部或部分贖金。一名受害者支付的最高金額為64,000美元。

研究人員還發現黑客利用多種方法來清洗他們的利潤。其中包括將比特幣更改為以隱私為中心的山寨幣Monero以及使用比特幣翻滾和混音服務，如Helix和Bitmixer。

你怎麼能防止自己成為受害者？

雖然SamSam一旦推出就會讓人感到虛弱，但是出現這種情況卻非常容易。嚴肅對待簡單的安全措施有很長的路要走。首先，選擇不容易或簡單的密碼可在入口處提供巨大的保護。如果密碼構造良好且困難，則強制執行不起作用。

其次，Sophos建議組織採用最小特權原則（POLP）。該協議意味著為系統用戶提供有效執行其工作所需的最少訪問許可權。這可以降低攻擊者從受感染的管理員帳戶獲取訪問許可權的幾率。

第三，組織必須花時間和資源實時監控其網路，以便識別並在必要時快速鎖定異常帳戶活動。為了為這種情況做好準備，組織還應定期進行演習。

最後，安全公司建議對整個系統進行完整備份，以便離線和離線存儲，因為這是確保適當恢復系統的最佳方法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！