【51CTO.com快譯】2016年是勒索軟件危害擴(kuò)大的一年。網(wǎng)絡(luò)犯罪者使勒索軟件進(jìn)一步惡化，成功地將企業(yè)或個(gè)人用戶的重要數(shù)據(jù)作為人質(zhì)來要求更多的贖金。去年最新被確認(rèn)的勒索軟件截止到2016年9月末已經(jīng)達(dá)到146家族，與2015年的29家族相比大幅度增加了。以這樣的背景下，在平臺(tái)、功能、手法上進(jìn)行全面改良的網(wǎng)絡(luò)犯罪者橫行于世。

瞄準(zhǔn)智能手機(jī)用戶的新型勒索軟件威脅已經(jīng)被確認(rèn)了。以及，其他的瞄準(zhǔn)操作系統(tǒng)的勒索軟件也被制作出來，面向會(huì)員們和新加入的網(wǎng)絡(luò)犯罪者的地下黑市上出售。用于Linux系統(tǒng)的最初被制作出的勒索軟件“Linux.Encoder”是惡意利用存在于Web網(wǎng)頁插件或EC網(wǎng)站平臺(tái)“Magento”等軟件中的漏洞，攻擊Linux的Web主機(jī)系統(tǒng)。瞄準(zhǔn)Mac OS X的勒索軟件被確認(rèn)是“KeRanger”。該勒索軟件被確認(rèn)為偽裝成被篡改文件共享應(yīng)用程序和Rich文本格式(擴(kuò)展名“RTF”)文件的非法Mach-O文件。

這些勒索軟件的共同特征是“瞄準(zhǔn)Unix系列”。Unix是使用命令行的多用戶操作系統(tǒng)。使用一元化的文件系統(tǒng)和Shell、命令語言等簡易且強(qiáng)有力的工具運(yùn)行多項(xiàng)任務(wù)。根據(jù)其移植性和程序員的人氣進(jìn)行普及，衍生至Linux和Mac OS X等各種其他的系統(tǒng)。

“Linux.Encoder”(上)和“KeRanger”(下)的加密化程序庫的相似點(diǎn)。兩者都利用了提供SSL/TLS加密功能的“ARM mbed TLS”

圖2：“Linux.Encoder”(左)和“KeRanger”(右)的函數(shù)名稱的類似點(diǎn)(摘要)。由于兩者都存在相同函數(shù)的理論，“KeRanger”有可能是“Linux.Encoder”的另一種寫法。

◆瞄準(zhǔn)Unix的勒索軟件處于“基礎(chǔ)工程中”

無論哪個(gè)勒索軟件都被視作典型的Windows版勒索軟件的感染手法，但是入侵時(shí)則無需用戶的參與。“Linux.Encoder”是惡意利用了安全上缺點(diǎn)。

“KeRanger”的特征是可回避檢驗(yàn)下載應(yīng)用軟件開發(fā)商署名的Mac OS保護(hù)功能“Gatekeeper”，竊取Apple的正規(guī)證明書。從被雙方勒索軟件利用的Packer、加密化程序庫、函數(shù)名、恐嚇信、以及構(gòu)造上的相似點(diǎn)看，“KeRanger”很可能是“Linux.Encoder”的重新編譯版。

通過對(duì)可以說是瞄準(zhǔn)Unix系列勒索軟件先驅(qū)的勒索軟件進(jìn)行分析，能夠預(yù)測網(wǎng)絡(luò)犯罪者的瞄準(zhǔn)目標(biāo)以及最終目標(biāo)。例如，“KeRanger”可加密或消除內(nèi)置于Mac OS X里的備份功能“Time Machine”，具備未使用的功能。利用勒索軟件的開源代碼制作的“Linux.Encoder”為了修復(fù)加密活動(dòng)的不完善，被多次更新。感染“Linux.Encoder”的Linux服務(wù)器數(shù)量很多，第三個(gè)版本在世界上已有600臺(tái)以上的服務(wù)器受到感染。

瞄準(zhǔn)Unix系列的勒索軟件目前或許還處于實(shí)驗(yàn)階段，但是通過以Linux和Android等、Unix系列OS為對(duì)象的其他家族的登場，不知從何處開始產(chǎn)生分歧，為了盡可能地?cái)U(kuò)大攻擊對(duì)象增加受益不知會(huì)搭載何種功能越發(fā)趨于明朗化。以下是比較有代表性的瞄準(zhǔn)Unix系列勒索軟件家族列表。

·KillDisk(RANSOM_KILLDISK.A)

·Rex(RANSOM_ELFREXDDOS.A)

·Encryptor RaaS(RANSOM_CRYPRAAS.B)

·KimcilWare(RANSOM_KIMCIL)

·Svpeng(ANDROIDOS_SVPENG)

·Koler(ANDROIDOS_KOLER)

·Synolocker(RANSOM_SYNOLOCK)

·CryptoTrooper(RANSOM_CRYPTOTROOPER)

·PHP Ransomware(PHP_CRYPWEB)

已經(jīng)被確認(rèn)的是2014年Linux版勒索軟件“Synolocker”。關(guān)于“CryptoTrooper”和“PHP Ransomware”，與“Linux.Encoder”一樣，被證明存在惡意利用以教育為意圖被公開的開源代碼的危險(xiǎn)性。

◆Unix系列OS是勒索軟件的狩獵場嗎

但是，Unix系列OS不是勒索軟件那樣粗暴的威脅容易瞄準(zhǔn)的平臺(tái)。從市場份額和利用人數(shù)來看可以說，其區(qū)別在于也可由結(jié)構(gòu)引起。例如，類似Linux的Unix系列OS軟件可以從源文件或被檢驗(yàn)的儲(chǔ)存庫進(jìn)行匯編。另外，即使是在許可過程中，較難得到訪問和加密文件所必需的權(quán)限。反之，Windows用戶賬號(hào)控制(UAC)功能，使用標(biāo)準(zhǔn)用戶權(quán)限被限制軟件的使用且不能隨意更改，但是很多時(shí)候，程序員容易得到系統(tǒng)的變更許可，而且組織上用戶也容易得到管理者權(quán)限的訪問許可。雖說如此，Unix也不是絕對(duì)的安全。可通過遠(yuǎn)程執(zhí)行代碼，利用過程調(diào)用的漏洞，以及社會(huì)工程學(xué)的郵件，無論采用哪種方法，都有可能存在索軟件入侵系統(tǒng)的威脅。

雖然瞄準(zhǔn)Unix系列的勒索軟件的活動(dòng)正處于摸索階段，但已被廣泛應(yīng)用于服務(wù)器、工作站、Web應(yīng)用程序框架、數(shù)據(jù)庫、移動(dòng)設(shè)備等領(lǐng)域?？紤]到Unix的普遍性，今后安全上可能存在更大的課題。搭載Unix系列OS設(shè)備活用于IT服務(wù)業(yè)、教育、醫(yī)療、金融、零售、媒體、制造等各種業(yè)界中。例如，Linux系統(tǒng)是大多數(shù)主機(jī)服務(wù)提供商和存儲(chǔ)服務(wù)提供商的主流，多數(shù)的客戶端需要同時(shí)管理各種Web網(wǎng)站。類似數(shù)據(jù)中心的組織，作為不允許終端的基礎(chǔ)業(yè)務(wù)操作執(zhí)行平臺(tái)，離不開Unix系列的系統(tǒng)。

◆如何盡量避免被勒索軟件入侵

IT管理者與信息安全專家不可忽視系統(tǒng)管理的必要性。如果被勒索軟件入侵的話，會(huì)出現(xiàn)妨礙公司正常運(yùn)營、失去信用、利益受損等危害且遠(yuǎn)不止于此。

Linux的系統(tǒng)管理者不使用未通過驗(yàn)證的第三方存儲(chǔ)器，或者需要使用的時(shí)候要充分考察清楚。Linux為了軟件包下載持有中央存儲(chǔ)庫，有權(quán)限的用戶可下載未驗(yàn)證的第三方存儲(chǔ)庫。對(duì)于處理不使用權(quán)限升級(jí)的漏洞威脅，有必要限定擁有訪問權(quán)限的用戶。“root”用戶的登錄不可運(yùn)行默認(rèn)登錄功能，但是由于root用戶權(quán)限在被許可的情況下可運(yùn)行，因此系統(tǒng)管理者和IT管理者可使用root用戶權(quán)限執(zhí)行命令，有必要限制“sudo”用戶的追加。

根據(jù)權(quán)限限制，限制了程序員對(duì)Linux系統(tǒng)的添加更改，可大幅度強(qiáng)化安全。通過定期性的審查與維護(hù)，最小化運(yùn)行中的服務(wù)和無效化不必要的服務(wù)等的操作可減輕被攻擊的風(fēng)險(xiǎn)。對(duì)于被進(jìn)行了錯(cuò)誤設(shè)定的程序，請(qǐng)使用Linux安全擴(kuò)展功能。根據(jù)該功能，程序員在可訪問文件或互聯(lián)網(wǎng)資源的范圍內(nèi)進(jìn)行訪問管理控制(MAC)政策，防止非法程序或錯(cuò)誤構(gòu)成的程序引起的危害。入侵檢測系統(tǒng)的安裝，持續(xù)監(jiān)視的運(yùn)行，以及可疑日志的檢查，對(duì)系統(tǒng)的試圖入侵以及實(shí)際攻擊的早期檢測起到很大的作用。

最新更新程序的適用使系統(tǒng)保持最新狀態(tài)，對(duì)重要的企業(yè)資產(chǎn)數(shù)據(jù)進(jìn)行定期的備份，以及有必要對(duì)企業(yè)周邊環(huán)境進(jìn)行確認(rèn)與保護(hù)。系統(tǒng)管理者需要對(duì)勒索軟件通常使用的可疑文件、應(yīng)用程序、程序、互聯(lián)網(wǎng)活動(dòng)引起注意。企業(yè)和個(gè)人用戶需要對(duì)網(wǎng)關(guān)、終端、互聯(lián)網(wǎng)、以及服務(wù)器全區(qū)導(dǎo)入多層次的安全防護(hù)手法。

【內(nèi)容來源】Trend Micro Security Blog

【原標(biāo)題】「Linux」と「Mac OS X」を狙うランサムウェアの解析から今後の動(dòng)向を予測

【原鏈接】http://blog.trendmicro.co.jp/archives/14499

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】