勒索病毒攻击原理及检测方法研究

Jiangxi Communication Science & T echnology

2019年3期 江西通信科技

勒索病毒攻击原理及检测方法研究

0 前言

自2017年Wannacrypt勒索病毒出现后，勒索病毒引起了人们的广泛注意。2018年4月，Satan勒索病毒变种携永恒之蓝卷土归来。2019年3月，勒索病毒Globelmposter的新变种爆发，在国内广泛传播。随着勒索病毒变种的出现以及新勒索病毒爆发的态势，勒索病毒对用户的影响不可小觑，甚至有可能产生不可挽回的结果。但是，面对勒索病毒我们也并不是束手无策。可以通过了解勒索病毒常用的攻击手法以及其原理来认识勒索病毒，有针对性的做好预防以及应对处置措施。

1 勒索病毒简介

勒索病毒是一种带有勒索属性的恶意程序，通过锁屏、加密等方式劫持用户设备或文件，并以此达到敲诈用户钱财的目的。这种病毒主要以漏洞利用、弱口令、钓鱼邮件等形式进行传播，并利用各种加密算法对用户文件加密后，需要用户支付赎金才能获得解密密钥。

2 勒索病毒攻击原理2.1 勒索病毒的分类

从攻击方式来看，勒索病毒可分为三类：第一类：锁屏不加密型。该类勒索病毒由于其给用户造成的损失很小，用户只需要清除相应病毒就可以解锁，如LockScreen勒索病毒。时至今日，该类型

万子龙 国家计算机网络应急技术处理协调中心江西分中心 南昌市 330038

摘 要：当前，随着数字货币的兴起，以数字货币为赎金的勒索病毒相继出现。随着勒索病毒的变种和新型勒索病的产生，勒索病毒已成为政企机构和网民最大的网络安全威胁之一。本文从勒索病毒的概念出发，对勒索病毒的攻击原理进行深入分析，提出一种基于度的文件状态变化和内存特征分析的勒索病毒检测方法，最后从勒索病毒的预防和处置两个层面给出了应对措施及建议。

关键词：勒索病毒 攻击原理 检测方法

1009-0940(2019)-3-42-44

的病毒已很少见。

第二类：锁屏加密型。该类勒索病毒能给攻击者带来较大的利润，由于其采用高强度加密算法对用户文件加密，在获取不到私钥的情况下几乎不可能解密，如TeslaCrypt勒索病毒。

第三类：蠕虫式传播型。该类勒索病毒传播速度很快，一般是利用系统或web应用漏洞以及口令等方式进行渗透攻击，病毒的变种很快，更新频繁。所要的赎金一般是比特币或达世币等虚拟货币。相比前面两种，危害程序更高，影响范围更广，如WannaCry和Satan勒索病毒。

2.2 勒索病毒的攻击手段

传统上的勒索病毒攻击主要通过垃圾邮件、水坑式攻击等方式传播，可以理解为被动意义上的传播，因为需要受害者下载运行勒索病毒。而如今的勒索病毒更为倾向于一种主动传播方式，利用的是漏洞或弱口令等方式将病毒植入计算机并运行，效率高而且前期隐蔽性好。

2.3 勒索病毒的加密原理及攻击流程

从近年的爆发的勒索病毒来看，勒索软件一般都采用公钥加密的方式来加密文件。从加密算法来分，大致可以分为R S A加密和E C C（椭圆曲线）加密两种。这两种加密算法各有优势，R S A加密实现起来更为简单，更加易用。而E C C的优势在于达到同样强度的密钥要短得多，病毒的隐蔽性更好。本文以GlobeImposter3.0为例，分析勒索病毒RSA+AES形式的

DOI:10.16714/j.cnki.36-1115/tn.2019.03.012

◆网络信息安全◆

43

图1 RSA+AES加密的原理

图2 勒索病毒攻击的流程

加密原理，如图1所示。从图1可以看到，黑客通过生成随机的全局唯一标识GUID，并将该标识作为AES加密算法的key，同时在用户机器上生成RSA密钥对，RSA私钥用于生成用户唯一ID，RSA公钥则用于加密随机GUID，因此加密后的文件由被加密后的文件内容、用户唯一ID、用户机器上生成的RSA公钥加密过的随机GUID三部分构成。

攻击流程：首先，攻击者会通过钓鱼、弱口令或漏洞形式对机器进行攻击，当联网的某台机器被入侵后，就会对局域网中有漏洞的机器进行探测，最终向有漏洞的机器植入勒索病毒程序。通过弱口令方式影响局域网其他机器的攻击类似。如图2所示。

3

勒索病毒检测

3.1 勒索病毒检测原理

目前，针对勒索病的检测主要有静态检测和动态

检测两种。静态检测主要是通过特征匹配的方法去分析程序特征，对于已知威胁的发现很有效，此检测方法的准确率较高，但检测速度慢。然而，多数勒索病毒会使用代码混淆、花指令等手段对抗静态分析。这就需要考虑采用动态检测方法。所谓动态检测，就是通过拦截或监控方法去分析程序运行时的行为特征，通常使用沙箱或虚拟机模拟程序运行。该检测方法能发现未知的威胁，但容易产生误报。

3.2 基于度的文件状态改变和内存特征分析的勒索病毒检测方法

由于目前的动态检测方法存在误报率高、冗余特

征多等问题，并且勒索病毒多具有反虚拟环境技术，基于沙箱捕获的样本并不能完全反应样本的行为。本文提出一种基于度的文件状态改变和内存特征分析相结合的检测方法，通过动态分析程序运行时的行为活动，从文件特征的多个维度去判断文件状态变化，结合Volatility内存取证工具和Yara匹配工具分析内存行为特征，最后根据文件状态变化和内存行为特征的匹配综合分析该恶意程序是否为勒索病毒。该方法的研究思路主要包含以下五个方面。

（1）创建诱饵文件

在模拟真实的操作系统环境下，将事先设置好的诱饵文件插入到不同路径下。其中诱饵文件包括各类用户类型文件，如jpg,pdf,docx,xls等。需要注意的是，诱饵文件不能为空，文件大小需要占据一定的字节。

（2）度监测文件状态变化

从文件名、文件类型及文件内容三个维度去监测文件状态变化。文件名和文件类型的变化主要有两种情况：一是勒索病毒直接将原文件命名为自定义的文件名；二是勒索病毒会采用原文件的文件名，修改文件类型（后缀）为自定义的格式；而对于文件内容而言，主要可以从两个方面去监测和分析。一是勒索病毒在对文件进行加密操作后，文件的MD5值发生了变化，与加密前的原文件MD5值不一样；二是文件在加密前后产生的变化会导致与原文件的相似度变得较低，使用sdhash算法来计算加密前后文件的相似度。

（3）内存行为特征分析

通过在沙箱中分析样本完毕后，使用Volatility导出

Jiangxi Communication Science & T echnology 2019年3期 江西通信科技

44

内存镜像，再使用Yara根据匹配规则对镜像进行分析，从而获取行为特征。之后通过前期对勒索病毒的分析，将构造的Yara勒索病毒行为特征与获取的行为特征进行匹配，以帮助识别样本是否属于病毒样本家族。

（4）监控桌面变化

当计算机感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，通常会出现勒索提示信息及解密联系方式框，告知用户如何进行解密操作。在样本执行前后自动截屏桌面，使用图像分析方法（如SSIM算法）分析和比较系列的屏幕截图，以确定屏幕突然变化是否是样本运行期间发生的。

（5）综合判断是否为勒索病毒

由于当前勒索病毒多为文件加密型，通过监测分析文件状态变化，基本可以判定该样本是否属于勒索病毒，再加上内存行为特征分析以及出现勒索病毒最为明显的勒索提示信息框，更能帮助检测样本的勒索性质。

4 应对勒索病毒的措施及建议4.1 如何做好预防（1）从口令和漏洞入手

由于大多数勒索病毒都是通过口令或漏洞作为攻击切入点，所以首先需要加强对机器口令的复杂度设置，并做到定期更新。其次，多台机器不使用相同的口令，避免攻击者同时进行勒索。漏洞方面，及时更新系统或组件补丁，避免给攻击者留下可乘之机。

（2）从日常习惯入手

首先，计算机设备需要安装杀毒软件，并及时更新版本和病毒库。另一方面，需要注意通过钓鱼邮件传播勒索病毒的攻击方式。日常要养成好的习惯，陌生邮件不可轻易点击，附件更是不可轻易下载，往往附件中会隐藏病毒。

（3）从备份和端口入手

重要数据要定期备份，可采用本地备份和云端备份等方式，甚至可以采用脱机隔离备份的形式。检查机器开放的端口，尽量关闭445、33、135、139等高危端口。

4.2 如何进行处置

如果感染了勒索病毒，需采取以下处置措施：首先，对感染勒索病毒的机器进行隔离，避免其他机器受影响。其次，做好局域网内排查，看看其他机器是否受影响。再次，即可通过启用数据备份或联系专业安全机构和厂商的方式进行解决。另外，如果被勒索的文件用户已经提前做好了备份或者没有备份但数据对用户来说没那么重要，这时可以考虑重新安装操作系统。

5 总结

随着虚拟货币的迅速发展，由于盈利模式的驱动，各类型病毒均有可能随时附加勒索属性。因此，应对勒索病毒需要做好必要的预防和处置措施。本文从勒索病毒的概念及出发，从病毒分类、攻击手段、加密原理及攻击流程三个层面分析了勒索病毒的攻击原理，并结合作者对勒索病毒的研究提出了一种基于文件状态变化和内存行为特征分析的检测方法，最后从预防和处置两个方面提出了勒索病毒的应对措施及建议。

参考文献

[1] 王乐东,李孟君,熊伟.勒索病毒的机理分析与安全防御对策[J].网络安全技术与应用. 2017(08):46-47

[2] 崔盟.比特币勒索病毒作用机理及影响分析[J].中国新通信. 2018(21):155-156

[3] 雷春,李娜.一种基于文件损坏度的勒索软件检测方法[J].信息安全研究.2018(04):387-392