前言

2017年上半年，勒索软件攻击的复杂程度达到了新的高度。不仅复杂性增加，新的勒索软件代码发布与传播速度也是惊人。今年两大主要的勒索软件安全事件将网络安全彻底暴露在全球网民的视野下，成了人们茶余饭后的谈资之一。无论是企业机构还是普通网民，都开始意识到了网络攻击的巨大杀伤力。

微软于今年3月发布一份安全情报报告，总结了2017年第一季度不同领域的威胁动向，报告中阐述了勒索软件猖獗肆虐的现状。2017年1月至3月，微软的安全产品所检测到的勒索软件受害者比例最高的国家有捷克共和国、韩国及意大利。

本文我们重点介绍已经发生的安全事件带给我们关于未来趋势、发展的启发。

　　2017年1月-6月勒索软件全球影响分布图

勒索软件增长规律

2017年3月，勒索软件受害者数量在历经几个月的跌幅后开始逐渐回升。这种上升趋势主要来自于像Cerber这样已经具有一定规模的勒索软件活动组织，以勒索软件即服务的形式展开全球范围内的强势。

2016年7月至2017年6月每月勒索软件数量（蓝柱）与中招用户数量（黄线）

这种上升趋势的另一个原因是因为勒索软件家族的不断庞大，数量增长与传播速度之快也令人咋舌。2017年上半年，我们发现了71个新的勒索软件成员。

其中一些勒索软件成员尤为“出类拔萃”，它们的攻击活动形式更为新型复杂。例如，今年第一季度出现的Spora完全抢占了去年Cerber的风头，成为当时传播最为广泛的勒索软件。

　　2017年第一季度最流行的几类勒索软件成功率对比图

Spora庞大的危害辐射面产生原因可能有两个：第一，它能够同时通过网络驱动和USB等移动驱动进行传播；第二，其初始版本主要针对的是俄罗斯网民，因此用户界面的语言采用的也是当地语言，但后期攻击目标扩大到全球范围后，它又将系统语言更改为英文。

其它2017年臭名昭著的勒索软件成员还包括Jaffrans、Exmas以及Ergop。尽管这些勒索软件没有达到Spora那样的影响力，但是它们确实体现了勒索软件领域的周期性进步和变本加厉的顽固性。

全球勒索软件警钟拉响

WannaCrypt（又称WannaCry）是今年到目前为止影响范围最大的新型勒索软件之一。五月份出现的这个恶意程序利用了未更新win7系统中的一个补丁漏洞，并迅速传播到欧洲乃至全球（该漏洞不影响Windows 10系统）。这次攻击活动使得大量高科技设施、大型企业机构正常活动遭到严重破坏。

WannaCrypt爆发后几周，一个新的变种Petya卷土重来。Petya采用了WannaCry所使用的一些新技术，但综合了更多网络传播方式。Petya的爆发始于乌克兰，被感染的软件供应链通过一个更新程序开启了Petya的传播之路。短短几小时，Petya就已经蔓延至其它国家。尽管Petya的传播范围不及WannaCry广泛，但是复杂程度却高于WannaCry，对于被感染机构的杀伤力更加大。

WannaCrypt和Petya打破了攻击行为的针对性和本地化特征，是历史上第一次全球范围内大规模的恶意程序攻击。这种趋势形成了地下市场的全球利益链，但是这样的变化对攻击者来说也有弊端，比如，在这些攻击活动中使用的比特币钱包则更容易受到监管人员的密切监视。

WannaCrypt和Petya的出现表明，利用全球范围内普遍漏洞产生的勒索软件攻击活动会给全人类带来灾难性的后果。全球性攻击活动也向人类发出警告：安全响应人员应提高攻击检测、响应能力，控制勒索软件感染疫情；系统或软件的更新发布后应及时安装。

勒索软件复杂性分析

全球勒索软件疫情爆发的原因之一是勒索软件技术的进步。WannaCrypt、Petya、Spora等勒索软件变体所具备的新功能以及他们的传播速度于危害程度都体现了这一点。

利用漏洞进行内网漫游

Spora通过网络驱动和可移动驱动器传播的能力使其成为传播范围最为广泛的勒索软件之一。虽然它不是第一个整合蠕虫状扩散机制的勒索软件，但它能够通过这种功能来感染更多的设备。

带有蠕虫功能的勒索软件攻击活动范围可以从终端安全延伸到整个企业网络。WannaCry就是一个很好的例子，它利用CVE-2017-0144（又名“永恒之蓝”，已修复 MS17-010）这个漏洞感染了未及时更新的设备。

而Petya则又对WannaCrypt的传播机制进行了扩展——利用了两个漏洞对未更新系统进行感染：CVE-2017-0144以及CVE-2017-0145（被称为EternalRomance，已修复）。

这两次攻击事件都说明了及时更新系统或程序的重要性。同时安全人员检测和拦截与漏洞相关恶意行为的及时性也非常关键。

另外，我们还应注意到这两大勒索软件的出现都没有波及Win10系统，也就是说升级到最新版本的系统或平台也会增加安全系数。就算这些漏洞也出现在Win10系统中，该系统也会多种漏洞缓解方案，包括零日漏洞。另外，Windows Defender高级威胁防护程序（Windows Defender ATP）也可以在无需签名更新的情况下检测到漏洞利用的恶意活动。

Here is the 彩蛋：由朔方翻译的用于分析是否有内网横向移动行为的参考手册《日本CERT内网漫游人工检测分析手册》，可通过链接http://pan.baidu.com/s/1qYNq1uG密码：u90s 获取。

凭证窃取

Petya还有一个夺眼球的特点是它窃取重要凭证的功能，通过凭证转储工具获取或直接从凭证库中窃取。该功能对于使用本地管理员权限登录并在多台计算机上打开活动会话的用户网络构成了严重的安全威胁。在这种情况下，被盗凭证可以在其它设备上行使同等级别的访问权限。

Petya疫情表明了保护凭证安全的重要性。企业应对特权账户进行不断审查，因为这些账户具有对企业机密和其它关键数据的访问权限，一旦沦陷，后果不堪设想。Win10系统中的Credential Guard使用虚拟安全保护派生域凭证，能够拦截企图侵入特权帐户的恶意行为。

网络扫描

掌握漏洞或凭证信息后，勒索软件就开始通过网络扫描把魔爪伸向网络世界中的角角落落。例如，Petya通过扫描受感染的网络，尝试与其它计算机建立有效连接，然后通过窃取的凭证传输恶意程序副本。Petya同样也扫描了网络共享连接，尝试通过这些共享行为进行传播。

而WannaCrypt则大量扫描IP地址，寻找存在“永恒之蓝”漏洞的计算机，这个功能使得WannaCry能够在不同网络之间的计算机上进行传播。

破坏性行为

绝大多数勒索软件都有一个相同的、明确的动机：受害者必须支付赎金，否则永远拿不到自己电脑上已经被加密的文件。虽然不能保证支付赎金后对方一定会解密文件，但是大多数勒索软件还是通过赎金声明的方式说明他们要钱的意图。WannaCry攻击者于今年8月将所有比特币从比特币钱包领取兑现。而Petya开发者在早早地7月初就开始收网。

前文我们已经提到过，Petya的破坏性更大：它覆盖或损坏主引导记录（MBR）和卷引导记录（VBR），使受感染的计算机彻底瘫痪。这个现象引起了安全界很多专家的思考与讨论：Petya产生的根本目的是为了像WannaCry那样骗取赎金还是像Depriz（也称为Shamoon）那样破坏网络及系统安全？

　　Petya攻击链

小编在PS、AI方面是菜鸟，图片汉化就不花时间做了，就在下面附上图片文字内容的翻译，有需要的同志可自行替换。

1.MALICIOUS SOFTWARE DOWNLOAD 恶意程序下载

Initial infection appears to involve a compromised software supply-chain or a watering-hole attack

从感染某个软件或发起一个“水坑式”攻击开始

2. Victim 0 受害设备O

3. If Kaspersky is present, MBR and some disk sectors are destroyed. Otherwise，MBR is replaces with a ransom bootloader (or trash if fail)

如果设备上装有卡巴斯基，MBR和一些磁盘扇区会被损坏。否则，MBR被替换为赎金引导程序（替换失败则当作垃圾处理）

[SEDEBUG]

MBR ACTIVITIES MBR活动

[take effect post-reboot] 【重启后执行】

TRASH 垃圾 INFECT 感染

4. Muti-threaded execution of malicious code begins in parallel 多线程恶意代码执行同时进行

SMB EXPLOITS SMB漏洞

INTERNET/LOCAL NETWORK 互联网/本地网络

Org A Org B Org C 机构A 机构B 机构C

Victim 1 受害设备1

etc. …

CREDENTIAL THEFT 凭证窃取

From LSASS/CredEnumerateW, or steal active tokens

从LSASS/CredEnumerateW窃取或窃取活动令牌

Creds/tokens 凭证/令牌 SCANNING 扫描

Scanner enumerates targets for lateral movement(adminS) 扫描器列举目标进行内网渗透（adminS）

Machine list 设备列表 FILE ENCRYPTION 文件加密

Local files on the machine are encrpted with AES 设备上的本地文件通过AES加密

Remote execution through PSEXEC or WMIC 通过PSEXEC或WMIC远程执行

LOCAL NETWORK 本地网络

关于Petya目的的讨论，很多专家各执一端。但有一点可以肯定，攻击者可以轻松地把其它payload加入勒索软件代码，形成针对性攻击或其它类型的毁灭性网络攻击。随着勒索软件威胁程度的骤增，无论是各大企业机构还是个人，都需要一个完善的网络安全防护方案，抵御端到端的勒索软件攻击。

结 语

原文接下来的部分讲的就全是微软夸自己的win10系统多么厉害了。这里我就不给微软打广告，有兴趣者也可参见原文：