360《2019年上半年勒索病毒疫情分析报告》之三：勒索病毒攻击者分析

根据数据分析，2019年上半年，黑客攻击时间主要集中在15时至次日7时，攻击手段多样，常用弱口令等五大攻击手段。
一、 黑客登录受害计算机时间分布
利用360安全大脑对被黑客攻击计算机（多为服务器系统）的相关数据进行分析，发现攻击时间分布情况不再平均。上午与中午时间段攻击占比较低，攻击主要集中在15时至次日7时。一方面是因为这个时间段服务器无人值守，更易成功入侵；另一方面可能也和入侵者所在地区与中国存在时差有关。如下图所示。

二、 攻击手段
攻击者主要利用以下五种手段进行入侵，包括弱口令、钓鱼邮件、系统与软件漏洞、网站挂马、破解软件与激活工具等。
（一） 弱口令攻击

口令爆破攻击依然是当前最为流行的攻击手段。使用过于简单的口令或者已经泄露的口令是造成设备被攻陷的最常见原因。计算机中主要有7个领域涉及到口令爆破攻击，主要包括远程桌面弱口令、SMB弱口令、数据库管理系统弱口令(例如MySQL、SQL Server、Oracle等)、Tomcat弱口令、phpMyAdmin弱口令、VNC弱口令、FTP弱口令等。因系统遭遇弱口令攻击而导致数据被加密的情况，排在所有被攻击情况的首位。

弱口令攻击持续成为黑客热衷使用的手段，其原因有以下五点：
1、安全意识淡薄。存在图省事、侥幸的心理，认为黑客不会攻击自己的机器。
2、使用者不清楚自己的设备中存在弱口令问题。
3、各种弱口令攻击工具比较完善，被公布在外的利用工具和教程众多，攻击难度低。
4、各类软件与系统服务，本身对口令爆破攻击的防护能力较弱。很多安全软件不具备防护弱口令扫描攻击的能力，造成这类攻击横行。
5、使用已经泄露的口令。部分软件系统，存在内置口令，这个口令早已被攻击者收集，另外多个服务和设备使用相同口令，也是造成口令泄露的一个常见因素。
远程桌面弱口令攻击已成为传播勒索病毒的最主要方式。根据360互联网安全中心对远程桌面弱口令爆破的监控，上半年对此类攻击的日均拦截量超过370万次。排名靠前的勒索病毒家族，如GlobeImposter、GandCrab、Crysis都在利用这一方法进行传播。
黑客攻击攻手法包含三步。首先尝试攻击暴露于公网的服务器，获得一定的权限后。其次，利用这台机器做中转，继续寻找内网内其他易受攻击的机器，在内网中进一步扩散。最后，在入侵了一定数量的设备之后，就会向这些设备植入挖矿木马和勒索病毒。有时，黑客还会利用这些被感染机器对其他公网机器发起攻击。因此，当用户感知到机器被攻击文件被加密时，通常是多台设备同时中招。
（二） 钓鱼邮件攻击
“钓鱼邮件”攻击是常见的一类攻击手段，在勒索病毒传播中也被大量采用。通过具有诱惑力的邮件标题、内容、附件名称等，诱骗用户打开木马站点或者带毒附件，从而攻击用户计算机。比如Sodinokibi勒索病毒，就大量使用钓鱼邮件进行传播。攻击者伪装成DHL向用户发送繁体中文邮件，提示用户的包裹出现无限期延误，需要用户查看邮件附件中的“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。

（三） 利用系统与软件漏洞攻击

漏洞攻防一直是安全攻防的最前沿阵地，利用漏洞发起攻击也是最常见的安全问题之一。目前，黑客用来传播勒索病毒的系统漏洞、软件漏洞，大部分都是已被公开的且提供了修复方案的漏洞，但并非所有用户都会及时安装补丁或者升级软件，所以即使是被修复的漏洞（Nday漏洞）仍深受黑客们的青睐。一旦有利用价值高的漏洞出现，都会很快被黑客加入到自己的攻击工具中。“永恒之蓝”工具就是其中的一个典型代表，其被用来传播WannaCry勒索病毒。由于大部分服务器都会对外开放部分服务，这意味着一旦系统漏洞、第三方应用漏洞没有及时修补，攻击者就可能乘虚而入。比如年初的alanwalker勒索病毒，攻击Weblogic、Jboss、Tomcat等Web应用，之后通过Web应用入侵Windows服务器，下载执行勒索病毒。今年上半年，常被用来实施攻击的漏洞包括（部分列举）：

Confluence RCE 漏洞 CVE-2019-3396
WebLogic反序列化漏洞 CVE-2019-2725
Windows内核提权漏洞 CVE-2018-8453
JBoss反序列化漏洞 CVE-2017-12149
JBoss默认配置漏洞 CVE-2010-0738
JBoss默认配置漏洞 CVE-2015-7501
WebLogic反序列化漏洞 CVE-2017-10271
“永恒之蓝”相关漏洞 CVE-2017-0146
Struts远程代码执行漏洞S2-052（仅扫描）CVE-2017-9805
WebLogic任意文件上传漏洞 CVE-2018-2894
Spring Data Commons远程代码执行漏洞 CVE-2018-1273
比如，4月底，360安全大脑监控到有黑客在利用各类Web组件漏洞攻击用户服务器，并植入“锁蓝”勒索病毒。攻击者主要使用的是一个4月底刚被披露的Weblogic远程代码执行漏洞，因为许多用户还没来得及打补丁，“锁蓝”才会屡屡得手。

（四） 网站挂马攻击
挂马攻击一直以来是黑客们热衷的一种攻击方式，常见的有通过攻击正常站点，插入恶意代码实施挂马，也有自己搭建恶意站点诱骗用户访问的。如果访问者的机器存在漏洞，那么在访问这些被挂马站点时，就极有可能感染木马病毒。如今年3月份再次活跃的Paradise勒索病毒，就是通过网站挂马的方式进行传播的。攻击者使用了在暗网上公开售卖的Fallout Exploit Kit漏洞利用工具进行攻击，该漏洞利用工具之前还被用来传播GandCrab和一些其它恶意软件。
在使用的漏洞方面，Windows自身漏洞和flash漏洞是网页挂马中，最常被使用到的漏洞。比如CVE-2018-4878flash漏洞和CVE-2018-8174 Windows VBScript引擎远程代码执行漏洞就被用来传播GandCrab。
（五） 利用破解软件与激活工具攻击
破解软件与激活工具通常都涉及到知识产权侵权问题，一般是由个人开发者开发与发布。此类软件或工具由于缺少有效的管理，其中鱼龙混杂，也是夹带木马病毒的重灾区。如国内流行的一些系统激活工具中，多次被发现携带有下载器、rootkit木马、远控木马等。STOP勒索病毒便是其中一类，从去年年底开始活跃的STOP勒索病毒，通过捆绑在一些破解软件和激活工具中，当用户下载使用这些软件时，病毒便被激活、感染用户计算机、加密计算机中的文件。




来源 360官网

360安全卫士拦截勒索病毒