首页 >民生风情

通付盾移动安全实验室全国首发2017移动

2018-08-19 19:43:30 | 来源: 民生风情

通付盾移动安全实验室全国首发2017移动互联勒索病毒专项研究报告

2017年5月,一种名为WannaCry的勒索病毒肆虐席卷全球,不法分子利用NSA泄露的危险漏洞EternalBlue(永恒之蓝)传播。在这场全球性互联灾难,据不完全统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。6月出现一种Petya变体勒索软件,相继欧洲多国遭遇勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度地受到影响。

国内移动互联已经成为新的主体,为了预防移动互联勒索病毒大规模爆发,避免企业、个人遭受损失,同时也为行业监管机构提供政策制定提供移动互联勒索病毒依据,通付盾移动安全实验室依托多年专业的移动安全的服务能力和技术积累发布《移动互联勒索病毒研究报告》,对勒索病毒形式、产业链等进行了系统的专业分析,希望引起大家对移动互联安全重视,保障中国移动互联安全。

查看完整报告,请在通付盾移动安全实验室公众号回复关键词勒索病毒。

一、移动勒索病毒综述

2017年5月份,WannaCry蠕虫式勒索病毒全面入侵,对PC端造成了严重危害。随后,其变种病毒逐渐向移动平台蔓延,严重威胁了移动平台的安全。作为移动互联的重要载体,智能、平板、可穿戴设备等移动终端设备都有可能成为勒索病毒的攻击目标。移动终端中保存着大量的个人数据,一旦遭受攻击,很可能造成隐私泄露、财产损失等危害。

1.历史追溯

勒索病毒最早可追溯到1989年,随着互联技术的不断发展,勒索病毒也在不断的演变进化。2014年以Koler为首的家族勒索病毒在Android平台大面积爆发,勒索病毒实现从PC端到移动端的转变。各类变种病毒在移动互联中肆意传播,2016年至今,勒索病毒持续增长。据统计,5月份爆发的WannaCry蠕虫式勒索病毒在席卷全球仅仅一天的时间就有242.3万个IP地址遭受该病毒攻击,近3.5万个IP地址被该勒索软件感染,其中我国境内受影响IP约1

通付盾移动安全实验室全国首发2017移动

.8万个。高校、医院、政府、企业等单位为主的络大范围瘫痪。台湾、北京、上海、江苏、天津等地成为受灾重区。随后,在移动端发现大量WannaCry勒索病毒变种。

2.传播形式

虽然在各类应用程序中的表现形态不尽相同,但是其传播形式却大同小异,主要通过伪装、诱骗的手段吸附在各类应用程序中,具体表现为:

1.伪装成游戏、社交软件、时下流行软件的插件等,当用户运行时,终端界面就会被恶意程序自身的界面置顶,并无法进行操作;

2.勒索病毒子包隐藏在资源文件中,系统后台自动安装运行,并将子包复制到系统目录下,伪装成系统应用。

3.实现形式

勒索病毒表现出的流氓属性十分强烈,根据其攻击目的对被攻击者的终端进行操作及系统的破坏,强制被攻击者付费后被攻击者终端才可以被解锁,否则一般被攻击者将无法对其终端进行继续操作。

多数勒索病毒实现需要申请系统权限或者激活设备管理器权限,两种主要实现方式如下:

1.控制悬浮窗属性制作一种特殊的全屏悬浮窗并强制置顶;

2.通过直接激活设备管理器,设置系统解锁密码,被攻击用户因无法得知解锁密码而无法对进行操作。

4.赎金形式

不同于PC端勒索病毒,移动端勒索病毒支付赎金的方式比较简单、灵活,除了比特币支付外,还可以进行支付、支付、支付宝等直接转账支付形式。此类勒索单次支付金额较低,但存在重复勒索,关卡收费的情况。以支付为例,被攻击者在解锁过程中需要缴纳入群费、解锁费甚至学徒费。

赎金缴纳类型示意

二、勒索病毒威胁分析

我们对《络安全威胁信息共享通报》(以下简称《通报》)中勒索病毒作专项调查和分析,以《通报》中216个勒索病毒样本为分析对象,基于通付盾全渠道应用监测平台,实现对全勒索病毒数据的挖掘与分析,共发现5万余个含关联恶意行为的恶意应用。下面我们将从攻击目标、传播来源、威胁行为三个方面对勒索病毒进行威胁趋势分析。

1.伪装类型分析

根据挖掘出的恶意样本数据分析,我们发现恶意应用主要伪装成外挂、插件等。其中抢红包、刷钻助手、王者荣耀辅助、黑客工具箱、神器等应用名称频繁出现且占比较大。

全勒索病毒分布图谱

根据勒索病毒应用名称,主要可分为社交类、游戏类、免流插件类以及视频四类。其中,社交类软件已成为恶意攻击的首选,全勒索病毒中共发现28143个社交类应用,占总数的55%;其次是免流插件类软件,共9732个;游戏类软件作为移动端热门应用,同样也是勒索病毒攻击的高发区,全共发现6754个相关勒索病毒,排名第三。

2.传播来源分析

a.地域分析

根据全的勒索病毒数据分析结果来看,勒索病毒主要分布在互联发展较好地区或邻近地区。就国内而言,勒索病毒主要来源于监管不严的、审核机制不完善的小型应用市场,从应用市场地理分布来看,勒索病毒的攻击区域主要集中活跃在广东、北京、湖北等互联行业发展较好、经济较发达的省市,其中,广东省勒索软件发生频次最高,捕获恶意勒索病毒样本876个。其次是北京地区,捕获恶意勒索病毒样本873个。

b.病毒开发者分析

我们对《通报》中的恶意样本进行逆向分析,发现不同病毒样本在代码结构上存在很多共性,且不同病毒开发者之间具有关联性。我们对勒索病毒样本中预留的号以及开发者信息进行追踪,共发现近百个个具有代表性的群组,数万人受影响。该类群在作为解锁赎金收取渠道之外,群内还通过百度云、贴吧等方式售卖锁机源码、教程、插件、教学视频,传播勒索病毒。受害者加入群之后,解锁后往往被诱惑成为黑产下线,利用群内兜售的教程向他人发起二次攻击,转变为菜鸟黑客,进一步扩大病毒的传播范围,影响恶劣。不同群成员之间具有关联性,且成员的个人信息一般设定为00后、90后学生。

攻击者攻击模式示意图

猜你喜欢