自从2017年全球互联网灾难WannaCry爆发以来,勒索病毒像打开了潘多拉魔盒一样,正式进入了人们的视野。近年来,勒索病毒无论是在传输方式还是代码结构上都在“进化”。但是今天,我们不谈技术,而是从经济学的角度来谈谈勒索病毒在交易过程中的演变。交易过程就是支付赎金的过程。换个角度,勒索病毒为何如此“兴盛”?为了更好地回答这个问题,我们不急于直奔主题,先说说历史背景吧。Tor洋葱网(暗网)1995年,美国海军实验室开始研发匿名通信机制,可以防止人们在互联网上的行踪被追踪。他们将这种技术称为OnionRouter,即“洋葱路由”,由此形成的网络也被称为Tor。2004年底,Tor正式面向普通用户发布。美国海军切断了Tor的大部分财务支持,并使Tor开源。可以看到,到2015年,国内的安全技术爱好者已经开始广泛了解和使用Tor网络(也就是大家所说的暗网),更不用说国外的技术爱好者了。下图是Freebuf开始展示如何使用Tor网络:Tor网络之所以能够如此流行和易于推广,正是因为它满足了人性的一大需求——保护隐私,让使用该网络的人不会被监视和跟踪。当然,违法犯罪行为也是如此。简而言之,Tor网络提供了一个匿名的信息交换平台。任何人都可以匿名与其他人交流,这意味着通过这个平台,可以快速召集一群“志同道合”的人,而无需向对方透露他们的真实身份信息。有了平台,但Tor网络下一个无法解决的问题就是交易支付问题,使用银行账户?现金交易?如果您使用银行账户,则存在被金融机构监控的风险;如果使用现金交易,交易双方要见面,不仅麻烦,暴露身份,人身安全也是个问题。但这个问题被随后出现的另一项革命性技术解决了。加密数字货币(以比特币为例)的概念最早由中本聪于2008年11月1日提出,2009年1月3日正式诞生。比特币的技术相当复杂。简单来说,它不同于传统的中心化法币交易系统。这是一个分布式的加密数字货币系统,不能被人为操纵。所有交易均匿名、真实有效、不可伪造。而且,比特币的数量是固定的,不会出现通货膨胀,财富也不会被稀释。它类似于法定货币,具有抗通胀作用。归根结底,加密数字货币(以比特币为首)在根属性上与法币是一致的。这只是一种信用。人们相信它并愿意使用它。它具有交易属性,可以作为资产和财富的衡量标准。的一个标准。作为一种新兴货币,一开始人们肯定不会那么看好它。在比特币诞生的第二年,2010年5月21日,美国程序员拉斯勒用10,000个比特币换取了两个比萨饼,相当于30美元的市场价格。也就是说,比特币的初始价值大约是0.003美元。一开始,比特币的价格增长缓慢,但2017年是比特币发展史上非常重要的一年,年涨幅达1700%。这一年发生了什么?勒索软件(Tor网络和加密数字货币的一种应用)2017年,微软于4月14日发布了安全公告《Microsoft 安全公告 MS17-010 - 严重》,该漏洞影响了几乎所有的微软系统,黑客可以直接利用该漏洞执行任意命令。同年,WannaCry勒索病毒于5月12日在全球爆发,WannaCry利用MS17-010永恒之蓝漏洞传播感染。短时间内感染全球300,000+用户,包括学校、医疗、政府等领域。其实在WannaCry勒索病毒爆发之前,勒索病毒就一直存在,只不过这一次就像是“一战成名”,众所周知,因为它确实影响了普通人的生活。当然,《一战成名》不仅会引起普通民众的广泛关注,也会“唤醒”一大批黑制作团队,包括可能朝这个方向发展的潜在技术爱好者。也就是说,勒索病毒这种新的“商业模式”受到越来越多从事黑产人士的喜爱。勒索软件对黑人有什么好处?门槛低,投资少,周期短,变现快,收益高,门槛低,投资少,主要得益于Tor网络。就是这样一个平台,既可以快速完成人手的调动,又可以保证彼此身份的保密性。它还可以快速发布勒索软件应用程序,例如RaaS(勒索软件即服务),并通过购买这些软件渗透和攻击目标客户。完成勒索行动。周期短、变现快,主要得益于加密数字货币。正是这种货币体系,保证了攻击者的“支付安全”,可以随时提现,不用担心暴露身份。当然,这也与勒索病毒本身有关,即勒索病毒会对数据进行加密,很多重要的业务急于恢复数据和业务,不得不在短时间内快速完成交易。高收益是勒索病毒本身的原因。因为数据和业务被破坏和/或暂停,对大多数人或企业来说都是灾难性的。面对“灾难”,自然愿意为此付出高额赎金。总之,没有Tor网络和加密数字货币,就没有勒索病毒的发展壮大;而反过来,勒索病毒的发展壮大,极大地促进了Tor网络和加密数字货币体系的健壮性,使得支持者和维护者越来越多。如何支付赎金,为何对勒索软件的发展如此重要?支付方式有哪些演变?接下来,让我们切入正题,谈谈交易的艺术。赎金交易方式上的刷卡交易可以从两个方面进行分类,一是支付的货币,二是联系通讯方式。从货币的角度来说,是指受害者直接支付给黑客的货币,一种是加密数字货币,一种是法定货币。但总的来说,加密数字货币是主流,加密数字货币的主流是比特币。从联系方式和通讯方式来看,即受害者联系黑客的方式,用于确认赎金金额、赎金地址等问题。经过多年的迭代演化,大致区分出以下几种类型:Jabber即时通讯邮件通信网页微信直接支付下面对每种类型一一进行说明。1、微信支付:典型代表UNNAMED19892018年12月1日,一款名为UNNAMED1989的勒索病毒出现在公众视野中。据报道,10万台主机被感染,大量终端被加密。不同的是,该勒索病毒首次使用微信支付赎金,前无古人后无来者。各大媒体将微信支付赎金称为“全国首例”。事实上,这在全球并非首例。不过,它确实是勒索病毒发展史上的一朵奇葩。确实是第一个案例,但现在估计是最后一个案例了,后果很真实:下图左侧是UNNAMED1989勒索病毒后的勒索界面,一个巨大的微信支付二维码尴尬人一看,赎金110元(大大“降低”了普通勒索软件的赎金下限)。下图右侧是UNNAMED1989勒索病毒的作者,22岁的罗某某,几天后被捕。你知道原因。所以,你看,加密数字货币对于勒索软件来说几乎是不可替代的。使用银行账户、微信支付、支付宝等方式确实不适合勒索。就攻击的成本而言,尤其不划算。为了区区110块钱,他竟然冒险暴露身份。人性本身就是趋利避害的,所以感觉就像一个年轻不专业的不法分子玩过一次过家家。2、直接支付:典型代表WannaCry/JCry由于不能使用传统法币交易方式(网银/微信/支付宝等),支付方式自然调整为加密数字货币,其中比特币为主一。如何用比特币支付?对于币圈的人来说,简单易用,但对于普通人来说,还是有些迷惑。不过,在前期,勒索病毒的策划者也是一头雾水。由于无法考虑到普通人掌握黑科技、被黑等复杂因素,他们将赎金支付流程设置得过于简单粗暴:直接支付。WannaCry勒索病毒(2017)的典型代表,将所有文件加密后释放指令文件,弹出勒索界面,要求向指定的比特币钱包地址支付价值数百美元的比特币。程序中硬编码了三个比特币钱包地址。115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94如上图所示,比特币钱包地址直接放在勒索界面上。给人的感觉就是账号放在这里,不管你喜不喜欢。这里有很多逻辑问题,罗列如下:因为比特币钱包是匿名的,比特币转账记录是公开的,如果你直接把比特币转给黑客,你怎么证明钱是你转的?真让人头疼。黑客也是一样,这么多人给我打钱,到底哪个受害者付了赎金?提前联系黑客怎么样?Checkpayment和Contactus根本不好用,怎么联系都很难得到答复。此外,还有“黑吃黑”的现象。“假黑客”修改“原Wannacry”比特币钱包地址,修改后再次攻击。就这样,“假黑客”收了钱,而钥匙却在原WannaCry作者手中。这怎么可能解决加密?这也是对WannaCry原作者的打击。他设下的诡计,让别人享用“革命果实”,这岂能容忍。赎金不是以比特币计算的,而是以美元计算的。然后观察上图中比特币钱包上方的提示,“Send$300worldbitcoinstothisaddress”,翻译过来就是,“Pleasesend$300worldbitcoinstothisaddress”。问题是,比特币的价格是市场浮动交易,每时每刻都在变化,有时波动特别大。因此,价值300美元的赎金特别难以处理。当黑客收到可能高于300,也可能低于300,很麻烦,下图是今天一天比特币的价格波动,有时这种波动可以放大到百分之百。3.邮箱通讯:典型代表Globelmposter/CrySis/Ryuk是对硬编码比特币支付的改进,电子邮件通信已经成为勒索软件的主流联系方式之一,黑客会将自己的电子邮件地址嵌入到勒索信息中,或者干脆将文件加密后缀改为电子邮件地址,以著名的Globelmposter勒索病毒“十二王爷”的变种为例,下图为黑客留下的勒索信息文件er在受害者的主机上。文件名为HOWTOBACKYOURFILES.txt。如下图所示,黑客留下了邮箱地址Sin_Eater.666@aol.com,以及受害者的个人ID,用来唯一标识“客户”。这里没有黑客的比特币钱包地址,也没有硬编码到勒索程序中,避免了上述场景的尴尬。并且还考虑到了“用户”的体验问题,如何支付赎金,比特币地址是多少,支付多少比特币,加密后的数据能否恢复,我是新手,应该如何操作等等……一系列的问题,黑客们会在邮箱里“全方位耐心解答”。总之,你要付钱,他肯定比你主动(我愿把毕生的技术传授给你,就因为你不懂比特币交易)。4、Jabber即时通讯:典型代表Phobos/GandCrab3.0除了邮箱通讯,Jabber还被用作勒索软件的联系方式。一些勒索软件家族使用这种通信方法作为备份方法。典型代表是Phobos勒索软件和GandCrab3.0勒索变种。Jabber是一个著名的Linux即时消息服务服务器。它是一款免费开源软件,允许用户架设自己的即时通讯服务器,可应用于互联网或局域网中。Jabber最大的优势在于它的通讯协议,可以与各种即时通讯相连接。但是,缺点也很明显。Jabber的主要受众是技术极客,而普通大众没有玩过Linux即时通讯工具,所以这个还是比较窄的。存在是合理的。作为“备胎”通信,由于Jabber是开源的,可以自己使用,成本和维护都非常经济和安全。虽然大部分人都不知道怎么用,但是在匆忙的时候总会想办法的。5、网页在线聊天:典型代表Sodinokibi/GandCrab4.0将作为邮件通讯的改进,网页在线聊天受到主流勒索寡头的喜爱。典型代表是GandCrab4.0之后的勒索变种和Sodinokibi勒索病毒。以Sodinokibi勒索病毒为例,该勒索病毒之所以爆发,主要是因为其已经形成产业化规模,即分布式团伙作案,各司其职,按劳分配,他们工作得越多,得到的就越多。首先,Sodinokibi勒索病毒运行成功后,会在主机上留下如下勒索信息,形成一个“随机后缀-readme.txt”文件:可以看到,这个病毒留下了两个黑客联系页面,一个是一个暗网聊天网页之一,是一个普通的聊天网页,受害企业可以根据自身情况联系(访问)任意一个网页。访问网页后,可以看到这是一个聊天网页,设计的非常专业,可以让黑客与受害公司就赎金问题进行谈判。然而,实际上,这是一个工业化的团队。黑客并未直接与受害企业沟通,而是聘请了一批在线客服,7*24小时在线,负责与受害企业沟通、协商价格。这个工作比较轻松,但是需要大量的人力,在线时间也比较长,所以外包给客服就完美了。当然,在线客服没有最终定价权,最终的赎金价格由上级老板,即Sodinokibi勒索病毒的组织运营商决定。Sodinokibi勒索病毒的要价普遍较高,多为3~6个比特币,所以其主要针对的是企业,而且都是大中型企业。支付了很多赎金。一般情况下,受害公司支付的赎金不会低于20万元人民币。既然是产业化经营,每个参与者都有相应的份额。通过大量数据研究,我们发现当受害公司将比特币转入黑客钱包后,该钱包会分批转给其他成员。如下图所示,攻击成功后,勒索软件分2批转移到4个钱包,分别是勒索软件作者钱包、集成平台商钱包、在线客服钱包、统筹钱包。勒索软件作者和集成平台提供商属于薄利多销的类型。每笔交易都有佣金,因此虽然单笔佣金比例低,但总数非常客观;小佣金,当然不属于他们,因为他们相对可替代,技术难度大。每次攻击的大部分赎金由协调钱包分配给攻击者和组织运营商。攻击者是实际从事攻击企业的个人或渗透团队,所以单次成功后的贡献比较大,而且任何个人或团队都可以参与不同客户的攻击活动,类似于销售团队,每笔订单的佣金都相当可观。最后的大头,当然交给了组织运营者,负责打通所有环节和资源,保证平台和帮派的正常运作。我们大致将其交易过程抽象如下:基于以上追踪,Sodinokibi勒索病毒的产业化运作模式如下:说了这么多,其实我想告诉大家,这个勒索病毒已经不再是单纯的个人行为。集体权力对抗集体权力。如果攻击者已经工业化运作,防御者就不能简单地安装某个软件就指望解决所有问题。这是非常困难的。防止敲诈,必须系统思考,多角度、深层次地进行产业化。对抗。那么今天就先说到这里,下回再深入探讨中了勒索病毒怎么办。
