2018年勒索軟件取證與溯源.pdf

1、勒索軟件取證與溯源目錄 進化中的勒索軟件 勒索軟件的生意經 取證溯源思路與方法 更多的挑戰特別感謝：深信服、安天、安恒、科來、360安徽肥西網安 佟楊安徽銅陵網安 戴華江蘇常州網安 張充香港大學 鄒錦沛提供樣本及技術咨詢進化中的勒索軟件 勒索軟件是一種通過屏幕鎖定或加密用戶有價值的文件，并要求支付贖金來解除或解密文件的惡意軟件。LOCKER|屏幕鎖定器CRYPTO|文件加密器中國是勒索軟件威脅的重災區。2017年，中國成為亞太區受到勒索軟件影響最嚴重的國家。較上年全球排名16位相比，2017年中國在全球排名第2（賽門鐵克第23期互聯網安全威脅報告）。進化中的勒索軟件勒索軟件在進化 當我們經歷了

2、Wannacry的慘痛教訓，是否有所進步？2017.5-2018.9進化中的勒索軟件 勒索軟件發展史第一個勒索軟件：1989 AIDS/PC-CYBORG TROJAN Joseph Popp進化中勒索軟件 勒索軟件發展史2012 Reveton前微軟網絡工程師Raymond Odigie Uadiale于2018年4月被起訴，承認與勒索軟件有關的洗錢行為，被判18個月監禁進化中的勒索軟件 勒索軟件發展史2013改變游戲規則CryptoLocker 釣魚郵件傳播.要求72 小時支付比特幣 感染50萬臺,1.3%進行了支付 估計勒索金額$27M進化中的勒索軟件 勒索軟件發展史2017重型武器 W

3、annacry關鍵詞：永恒之藍/MS17-010/445沒打補丁，沒關端口，臺積電因本次事件損失1.7億美元左右，約合人民幣11.5億元進化中的勒索軟件 勒索軟件發展史Ransomware-as-a-Service(RaaS)進化中的勒索軟件 勒索軟件的未來？影響面更廣：移動端工控系統IOT設備 危害更大:定點投放針對性強其他犯罪的合流暗網、加密數字貨幣難以追溯勒索軟件的生意經 他們要什么？錢破壞偽裝IBM security:70%of business victims paidOf those,50%paid more than$10,000,20%more than$40,000贖金價格數

4、據重要性支付意愿好萊塢長老會醫療中心支付40比特幣馬薩諸塞州特沃斯伯警察部門在FBI的幫助下，支付了500美元馬薩諸塞州斯旺西警察部門決定支付2比特幣的贖金卡爾加里大學支付2萬美元來恢復電子郵件系統.勒索軟件的生意經 常見勒索軟件家族瑞星：2018年上半年中國網絡安全報告通過對瑞星捕獲的勒索樣本按家族分析發現，LockScreen家族占比43%，位列第一，其次為WannaCrypt占比27%，以及GandCrab占比20%。勒索軟件的生意經 Crypto Ransomware框架本地加密勒索支付Web漏洞入侵溢出攻擊郵件釣魚移動介質傳播內網傳播誘導下載RSAECCAES法定貨幣虛擬貨幣比特幣門

5、羅幣Zero破解的可能性極低！勒索軟件的生意經對稱密鑰加密vs.非對稱密鑰加密對稱密鑰加密AES(128 to 256 bit key),3DES,DES 非對稱密鑰加密RSA,Elliptic Curve Cryptography(ECC)加密數據文件，允許系統基本操作 Microsoft Office files(.doc,.docx,.xls,.xlsx,.ppt,.pptx,.rtf)Open Office files(.odt,.ods,.odp)Adobe PDF files Popular image files(.JPG,.PNG,raw camera files,etc.)T

6、ext files(.txt,.RTF,etc.)Database file(.sql,.dba,.mdb,.odb,.db3,.sqlite3,etc.)Compressed file(.zip,.rar,.7z,etc.)Mail files(.pst)Key files(.pem,.crt,etc.)加密系統文件或磁盤Petya:加密MBR主引導記錄無法啟動勒索軟件的生意經Command and Control server(C&C)有C&C模式無C&C模式突破隔離網支付勒索費用的限制目標的價值勒索軟件的生意經傳播感染使用多種黑客工具定點滲透目標的價值圖片來源深信服內網掃描&爆破工具：I

7、ntercepter-NG、NetworkShare遠控工具：AA_v3等其他滲透攻擊手段勒索軟件的生意經被加密的數據能恢復嗎？逆向分析勒索軟件執行上的邏輯漏洞，根據漏洞獲得加密密鑰或者跳過密鑰直接解密文檔 勒索軟件保存密鑰的服務器被安全廠商反制 解密密鑰被其他競爭對手泄露或是勒索軟件作者主動將密鑰交出 勒索軟件加密算法復雜程度較低被破解 密鑰在上傳的過程中沒有使用加密的通訊協議，被技術人員截獲解密密鑰 勒索軟件可能存在環境兼容問題，沒有正常運行，可嘗試進行數據恢復 例如Wannacry Satan等幾種情況有可能：幫兇騙子奇才？取證溯源思路與方法 預處理：及時斷網隔離，不斷電，確保勒索軟件不

8、再傳播現場勘驗環節1.了解基本案情和現場環境；2.對有關責任人和管理、技術人員做好詢問筆錄，了解技術細節受害單位類型：規模：估算造成的損失：中毒終端類型、用途：拓撲圖：發現中毒時間：中毒前有無異常3.查看當前進程和網絡連接；4.抓取網絡數據包；5.提取服務器內存鏡像文件和硬盤鏡像文件；公司規模：200人損失無法估量服務器用途：金蝶財務軟件服務器內網部署，與財務部門同網段，僅財務部可訪問中毒時間：7月9日中毒前未發現異常取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為 搜索引擎搜索擴展名 上傳至專門網站識別勒索軟件 根據勒索信息提示判斷 識別勒索軟件可執行文件 確定初始感染載體取證溯

9、源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為后綴.ALCO弘連取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為 初始化過程中，檢查是否具有%appdata%環境變量，如果存在則拷貝當前運行的病毒文件至%appdata%目錄下，并設置注冊表實現開機啟動取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為 設置好開機啟動后，生成RSA私鑰并使用硬編碼公鑰加密，完成操作后將密鑰信息以文件形式保存在%public%或者%ALLUSERSPROFILE%目錄下取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為隨機生成一組128位密鑰對然后使用樣本中的硬編碼的256

10、位公鑰生成相應的私鑰最后生成受害用戶的個人ID序列號遍歷全盤，在排除樣本中不加密文件夾列表后，使用隨機生成的公鑰加密其他所有文件生成的個人ID序列號寫入到加密文件末尾取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為加密文件操作完成后會刪除卷影副本同時刪除遠程桌面相關配置取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為2018.07.08 10：13：32-2018.07.08 10：45：16取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為工具：IDA OD X32Dbg沙箱分析取證溯源思路與方法取證要點2.確定投放路徑：隨機傳播/蠕蟲/定向勒索？取證溯源思

11、路與方法取證要點2.確定投放路徑：隨機傳播/蠕蟲/定向勒索？開放端口最近程序訪問記錄最近執行的命令最近打開保存的文檔取證溯源思路與方法取證要點2.確定投放路徑：隨機傳播/蠕蟲/定向勒索？應用程序訪問記錄使用的黑客工具：ProcessHacker.exe NS.exe(7.08)DUBrute2.1 nl.exe clean.bat(7.1)取證溯源思路與方法取證要點2.確定投放路徑：隨機傳播/蠕蟲/定向勒索？連接到本機遠程桌面失敗記錄連接到本機遠程桌面成功記錄取證溯源思路與方法取證要點3.威脅情報分析溯源異常IP樣本哈希威脅情報關聯分析天際友盟微步360其他等取證溯源思路與方法取證要點4.加密

12、虛擬貨幣追蹤Bitcoin Exchange18NWHHyCkTfsDPQJaMu5uGhpviS87hWfWk 1Kz66SnzzmeBmKY3WpEzMKTrcBF2gpNQ44 如果勒索軟件開發者用了交易所提供的地如果勒索軟件開發者用了交易所提供的地址址,13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb9412t9YDPgwueZ9NyMgw519p7AA8isjr6SMw115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn取證溯源思路與方法4.加密數字貨幣追蹤SilkRoad比特幣兌換是溯源的機會比特幣交易所一般需要提供：身份證或護照 地址證明 銀行賬戶需要更加緊密的國際合作取證要點公開信息：blockchain.info等專門工具：maltgo/chianalysis取證溯源思路與方法5.流量分析取證要點WireShark/科來取證溯源思路與方法取證要點更多的挑戰 移動端、IOT 傳播手段將更加多樣化 定向攻擊 隱藏犯罪手段 從勒索軟件到挖礦木馬預防為主備份備份備份批量勒索挖礦常用漏洞利用工具Jexboss