Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

腾讯反病毒实验室:“敲诈者”黑产研究报告 腾讯 腾讯反病毒 敲诈者 黑产研究

$
0
0

腾讯反病毒实验室:“敲诈者”黑产研究报告。一封短短的邮件,却可以被不法分子用来远程加密受害者文件,敲诈比特币赎金。


腾讯反病毒实验室:“敲诈者”黑产研究报告 腾讯 腾讯反病毒 敲诈者 黑产研究

本来用于自动运行操作方便用户的宏命令,却成为了木马的“帮凶”。

敲诈木马的背后,是成熟运转的黑色产业链。从恶意服务器的注册和建设,到木马的制作、邮件的发送,都能从受害者支付的赎金中分得一杯羹。

不法分子还会利用宏发动什么样的攻击?面对这样的木马又应该如何防范?本报告将带你了解以上内容,挖掘“敲诈者”及其背后的黑色产业。

一、愈演愈烈的敲诈风暴

只需一封邮件,便能锁定电脑重要文件进行敲诈

席卷全球的敲诈风暴,公司被迫支付赎金

北京的汪为(化名)周一上班后,和往常一样开始处理手头的工作。

汪为所在的公司是一家互联网企业,汪为日常的工作是在网上与客户进行联系,维护产品销售渠道。最近,公司准备出国参加一场展销会,汪为正跟几家快递公司通过邮件商量宣传物资的邮递事宜。汪为在未读邮件中挑出了与快递相关的部分,逐一阅读并打开其中的附件。他不知道的是,在这批邮件中,有一封主题为Delivery Notification的邮件,正悄悄地露出自己狰狞的爪牙。


腾讯反病毒实验室:“敲诈者”黑产研究报告 腾讯 腾讯反病毒 敲诈者 黑产研究

一小时后,汪为看着自己电脑上被改成乱码无法打开的文件,以及被修改为敲诈内容的桌面背景,近乎绝望的心情占据了整个内心。

汪为的遭遇并非个例。自2014年起,陆续有人在打开邮件之后,发现自己电脑中的文件被修改,其中不乏公司核心数据、有重要意义的图片等内容,一旦丢失造成的损失难以估量。同时,这些受害者都发现,在显著位置上出现的敲诈文字,内容不外乎是“文件已被加密,如需恢复请按如下方式支付赎金……”云云。


腾讯反病毒实验室:“敲诈者”黑产研究报告 腾讯 腾讯反病毒 敲诈者 黑产研究

哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系统。凭借每日对真实环境中捕获的海量样本进行自动化分析,哈勃分析系统在第一时间捕获到了这类木马。

据哈勃分析系统长时间跟踪发现,敲诈木马最初仅在国外传播,后来逐渐渗透到国内,敲诈使用的语言也从单一的英语逐渐发展到了包括中文在内的多种语言。受到木马影响的公司不乏医院、公交公司这样的大型企业。更为严重的是,除了一些自身含有漏洞的木马之外,还有很多木马并无有效的解决之道,如果事先防范措施没有做好,中招之后除了联系不法分子之外无计可施。虽然FBI曾经提示不要支付赎金,以免木马制作者尝到甜头,继续传播木马,然而对于一些重要的数据被加密的公司而言,这是无奈之中最后的办法,例如好莱坞某医院为了恢复患者病历,被迫支付了相当于数万美元的赎金。

二、木马的传播渠道

邮件附件是木马最常见的传播渠道

诱导用户开启并运行宏是文档木马的主要手段

这些破坏力强大、影响恶劣的木马,是如何传播到受害者电脑上的呢?经哈勃分析系统的调查,木马的常用传播渠道是通过邮件进行传播,将木马伪装成邮件附件,吸引受害者打开。其中,最常见的附件格式是微软的Office文档,木马使用文档中的宏功能执行恶意命令,再从网上下载真正的恶意程序,对受害者电脑进行攻击。


腾讯反病毒实验室:“敲诈者”黑产研究报告 腾讯 腾讯反病毒 敲诈者 黑产研究

腾讯反病毒实验室:“敲诈者”黑产研究报告 腾讯 腾讯反病毒 敲诈者 黑产研究

哈勃分析系统研究发现,在木马入侵受害者电脑的每一步,都有一些固定的套路和模式。

在木马传播的第一步,即发送带木马的邮件时,不法分子通常会使用一些正常的公务主题进行伪装,诱使受害者打开附件。此前汪为遇到的假冒邮件,是假称快递除了问题;除此之外,常见的主题还包括发票、费用确认等。一个明显的现象是,处于财务、会计、对外关系等职位的员工,每日收发的同类邮件较多,对于这类邮件容易降低警惕心,因此容易成为不法分子发送邮件的目标。


Viewing all articles
Browse latest Browse all 12749

Trending Articles