騰訊報告:上半年區(qū)塊鏈安全造成27億美元損失(附全文)
加密原理、對網(wǎng)絡(luò)安全均有較高的認知。然而,許多數(shù)字虛擬幣交易參與者并不具有這些能力,非常容易出現(xiàn)安全問題。
2017年7月1日,中原油田某小區(qū)居民188.31個比特幣被盜。油田警方幾個月后將位于上海的竊賊戴某抓獲,價值280萬美元;
2017年10月,東莞一名imToken用戶發(fā)現(xiàn)100多個ETH(以太坊幣)被盜,最終確認是身邊的朋友盜取他的數(shù)字加密貨幣。
三、區(qū)塊鏈數(shù)字貨幣“熱”背后的三大網(wǎng)絡(luò)安全威脅
1.數(shù)字貨幣勒索事件頻發(fā),基礎(chǔ)設(shè)施成勒索病毒攻擊重點目標
勒索病毒是2018年上半年危害互聯(lián)網(wǎng)最嚴重的病毒之一。勒索病毒加密受害者電腦系統(tǒng),并要求受害者向某些指定的比特幣錢包轉(zhuǎn)帳,其危害范圍日益擴大,影響到事關(guān)國計民生的各個行業(yè)。
1.1上半年勒索病毒攻擊特征與三大勒索病毒家族
從受攻擊行業(yè)分布上看,傳統(tǒng)工業(yè)、互聯(lián)網(wǎng)行業(yè)、教育行業(yè)和政府機構(gòu)是受勒索病毒攻擊的重災區(qū),醫(yī)療行業(yè)緊隨其后。醫(yī)療由于其行業(yè)特殊性,一旦遭受到病毒攻擊導致業(yè)務(wù)停擺,后果將不堪設(shè)想。
觀察2018上半年勒索病毒攻擊系統(tǒng)占比可知,Windows Server版本系統(tǒng)受攻擊次數(shù)占比大于普通家用、辦公系統(tǒng)。Windows Server版本系統(tǒng)中Windows Server 2008版本系統(tǒng)受勒索病毒攻擊占比最大,造成該現(xiàn)象的主要原因為企業(yè)服務(wù)器數(shù)據(jù)價值一般情況下要遠遠高于普通用戶,中招后更加傾向于繳納勒索贖金,這一特性進一步刺激了攻擊者有針對性地對服務(wù)器系統(tǒng)的設(shè)備實施攻擊行為。
2018上半年以GlobeImposter,Crysis,GandCrab為首的3大勒索家族展開的攻擊活動占據(jù)了網(wǎng)絡(luò)勒索事件的絕大部分。此外,Satan家族在2018上半年時段展開的攻擊也有明顯上升,其它老牌家族依然有不同程度的活躍。
Top1:GlobeImposter勒索病毒家族
2018年2月,春節(jié)過后不久,包括醫(yī)療行業(yè)在內(nèi)的多家國內(nèi)公共機構(gòu)的服務(wù)器就遭到最新的GlobeImposter家族勒索病毒變種的攻擊,黑客在突破企業(yè)防護邊界后釋放并運行勒索病毒,加密破壞數(shù)據(jù)庫文件,最終導致系統(tǒng)被破壞,正常工作秩序受影響。
該勒索病毒變種將加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,并通過郵件來告知受害者付款方式,使其獲利更加容易方便。
Top2:Crysis勒索病毒家族
Crysis家族最早可以追溯到2016年3月,進入2017年后開始針對windows服務(wù)器發(fā)起持續(xù)攻擊。Crysis勒索病毒家族的攻擊模式主要為黑客通過爆破遠程登錄后,手動傳播勒索病毒并執(zhí)行。
Crysis勒索病毒在2017年5月萬能密鑰被公布之后,消失了一段時間,但在2018上半年中新的變種依然比較活躍。Crysis家族變種也有多種,較為流行的加密后綴多為.arena、.arrow等,并且附加上的后綴中還會帶有受害者id和勒索者聯(lián)系郵箱,如1.txt.id-EE5106A8.[decrypthelp@qq.com].arrow。贖金金額需要受害者自行聯(lián)系黑客方可獲知。
Top3:GandCrab勒索病毒家族
GandCrab勒索病毒家族堪稱2018年勒索病毒界的“新星”,自1月騰訊御見威脅情報中心捕獲到首次盯上達世幣的勒索病毒GrandCrab起,短短幾個月的時間,GrandCrab歷經(jīng)四大版本更迭。
第一版本的GandCrab勒索病毒因C&C被海外安全公司與警方合作后控制而登上各大科技媒體頭條,兩個月后GandCrab V2版本勒索病毒出現(xiàn),勒索軟件作者為了報復安全公司與警方控制了其V1版本的C&C服務(wù)器,在V2版本中直接使用了帶有安全公司與警方相關(guān)的字符做為其V2版本的C&C服務(wù)器,因而又一次登上科技新聞版面。
兩個月后的GandCrab V3版本結(jié)合了V1版本與V2版本的代碼隱藏技術(shù),更加隱蔽。GandCrab V3勒索病毒使用CVE-2017-8570漏洞進行傳播,漏洞觸發(fā)后會釋放包含“?????”(韓語“你好”)字樣的誘餌文檔。與以往版本的該家族的勒索病毒相比,該版本并沒有直接指明贖金金額,而是要求用戶使用Tor網(wǎng)絡(luò)或者Jabber即時通訊軟件與勒索者聯(lián)系。
GandCrab V4版本為該家族系列病毒中目前最新迭代版本,相比較以往的版本,V4版本文件加密后綴有了進一步變化(.KRAB),傳播渠道上也有了進一步的擴展,病毒通過軟件供應鏈劫持,破解軟件打包病毒文件,進一步傳播到受害者機器實施勒索攻擊。
此外,4月3號發(fā)現(xiàn)“魔鬼”撒旦(Satan)勒索病毒攜“永恒之藍”漏洞卷土重來,變種不斷出現(xiàn),對企業(yè)用戶威脅極大。該病毒會加密中毒電腦的數(shù)據(jù)庫文件、備份文件和壓縮文件,再用中英韓三國語言向企業(yè)勒索0.3個比特幣,該病毒的最新變種除了依賴“永恒之藍”漏洞在局域網(wǎng)內(nèi)攻擊傳播,還會利用多個新漏洞攻擊,包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat漏洞(CVE-2017-12615)、Tomcat web管理后臺弱口令爆破、Weblogic WLS組件漏洞(CVE-2017-10271)等等。
1.2下半年勒索病毒的傳播趨勢
(1)勒索病毒與安全軟件的對抗加劇
隨著安全軟件對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術(shù)方案。
(2)勒索病毒傳播場景多樣化
傳統(tǒng)的勒索病毒傳播主要以釣魚郵件為主,勒索病毒更多利用了高危漏洞(如永恒之藍)、魚叉游戲攻擊,或水坑攻擊等方式傳播,大大提高了入侵成功率。以GandCrab為例,該家族勒索病毒傳播同時利用了釣魚郵件、水坑攻擊、網(wǎng)頁掛馬和漏洞利用四種方式。
(3)勒索病毒攻擊目標轉(zhuǎn)向企業(yè)用戶
個人電腦大多能夠使用安全軟件完成漏洞修補,在遭遇勒索病毒攻擊時,個人用戶往往會放棄數(shù)據(jù),恢復系統(tǒng)。而企業(yè)用戶在沒有及時備份的情況下,會傾向于支付贖金,挽回數(shù)據(jù)。因此,已發(fā)現(xiàn)越來越多攻擊目標是政府機關(guān)、企業(yè)、醫(yī)院、學校。
(4)勒索病毒更新迭代加快
以GandCrab為例,當?shù)谝淮暮笈_被安全公司入侵之后,隨后在一周內(nèi)便發(fā)布了GandCrab2,現(xiàn)在已升級到3.0版本。病毒早期發(fā)布時存在漏洞,使得安全公司可以解密被加密的文件,隨后更新的版本已無法被解密。
(5)勒索贖金提高
隨著用戶安全意識提高、安全軟件防御能力提升,勒索病毒入侵成本越來越高,贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵后,竟被勒索9.5個比特幣。如今勒索病毒的攻擊目標也更加明確,或許接下來在贖金上勒索者會趁火打劫,提高勒索贖金。
(6)勒索病毒加密對象升級
傳統(tǒng)的勒索病毒加密目標基本以文件文檔為主,現(xiàn)在越來越多的勒索病毒會嘗試加密數(shù)據(jù)庫文件,加密磁盤備份文件,甚至加密磁盤引導區(qū)。一旦加密后用戶將無法訪問系統(tǒng),相對加密而言危害更大,也有可能迫使用戶支付贖金。
(7)勒索病毒黑色產(chǎn)業(yè)鏈形成
隨著勒索病毒的不斷涌現(xiàn),騰訊御見威脅情報中心甚至觀察到一類特殊的產(chǎn)業(yè)誕生:勒索代理業(yè)務(wù)。當企業(yè)遭遇勒索病毒攻擊,關(guān)鍵業(yè)務(wù)數(shù)據(jù)被加密,而理論上根本無法解密時,而勒索代理機構(gòu),承接了受害者和攻擊者之間談判交易恢復數(shù)據(jù)的業(yè)務(wù)。
2.挖礦木馬“異軍突起”,成幣圈價值“風向標”
挖礦病毒發(fā)展成為2018年傳播最廣的網(wǎng)絡(luò)病毒,且挖礦熱度往往與幣種價格成正比。由于挖礦病毒的控制者可以直接通過出售挖到的數(shù)字虛擬貨幣牟利,挖礦病毒的影響力空前高漲,已經(jīng)完全取代幾年前針對游戲玩家的盜號木馬、針對網(wǎng)購用戶的交易劫持木馬、甚至是用于偷窺受害者家攝像頭的遠程控制木馬。
當受害者電腦運行挖礦病毒時,計算機CPU、GPU資源占用會上升,電腦因此變得卡慢,如果是筆記本電腦,會更容易觀察到異常:比如電腦發(fā)燙、風扇轉(zhuǎn)速增加,電腦噪聲因此增加,電腦運行速度也因此變慢。挖礦年年有,但進入2018年以來,PC端挖礦木馬以前所未有的速度增長,僅上半年爆出挖礦木馬事件45起,比2017年整年爆出的挖礦木馬事件都要多。
2.1上半年挖礦木馬樣本分析與傳播特征
騰訊御見威脅情報中心對數(shù)十萬挖礦病毒樣本進行歸類,對挖礦木馬使用的端口號、進程名、礦池地址進行了總結(jié)。
挖礦木馬最偏愛的端口號是3333,其次是8008、8080、5555等端口。
木馬最愛的借用的進程名是svchost.exe以及csrss.exe,這兩個名字原本屬于windows系統(tǒng)進程,現(xiàn)被挖礦木馬利用來命名以迷惑用戶。
礦池就是一個開放的、全自動的挖礦平臺,目前挖礦木馬主要通過連接礦池挖礦,礦工將自己的礦機接入礦池,貢獻自己的算力共同挖礦,共享收益。上半年P(guān)C端僵尸網(wǎng)絡(luò)挖礦應用最廣泛的礦池為f2pool。
與以往挖礦木馬相比,2018上半年挖礦木馬出現(xiàn)新的傳播特征:
(1)瞄準游戲高配機,高效率挖礦
輔助外掛是2018上半年挖礦木馬最喜愛的藏身軟件之一。由于游戲用戶對電腦性能要求較高,不法分子瞄準游戲玩家電腦,相當于找到了性能“絕佳”的挖礦機器。
2018年1月,騰訊電腦管家曝光tlMiner挖礦木馬隱藏在《絕地求生》輔助程序中進行傳播
責任編輯:售電衡衡
-
5大重點任務(wù)11個重點細分 河北加快構(gòu)建省級能源大數(shù)據(jù)中心
-
能源互聯(lián)網(wǎng)注入數(shù)字經(jīng)濟新動能 電力大數(shù)據(jù)實現(xiàn)更多價值
-
中國首個100%利用清潔能源運營的大數(shù)據(jù)產(chǎn)業(yè)園投運
2020-07-21清潔能源,清潔能源消納,青海
-
探索大數(shù)據(jù) 區(qū)塊鏈實現(xiàn)與能源互聯(lián)網(wǎng)良好契合
2020-06-09區(qū)塊鏈,電力行業(yè),能源互聯(lián)網(wǎng) -
基于區(qū)塊鏈的含安全約束分布式電力交易方法
-
區(qū)塊鏈在能源交易與協(xié)同調(diào)度的應用前景:提升電力交易的自由度和實時響應效率
2019-11-04區(qū)塊鏈在能源交易與協(xié)同