安全专家访谈:Jornt van der Wiel谈论勒索软件
Jornt van der Wiel不仅是我们GReAT(全球研究和分析团队)的一名成员,也是我们勒索软件和加密领域的顶尖专家。他常年居住在荷兰,为卡巴斯基实验室工作已超过了两个年头我们为读者提供了很好的机会:就勒索软件和加密问题向Jornt发问—结果得到了热烈的反响。事实上,由于提的问题实在太多,没法在一篇博文中全部写出来,因此决定分两次刊登。
5 文章
Jornt van der Wiel不仅是我们GReAT(全球研究和分析团队)的一名成员,也是我们勒索软件和加密领域的顶尖专家。他常年居住在荷兰,为卡巴斯基实验室工作已超过了两个年头我们为读者提供了很好的机会:就勒索软件和加密问题向Jornt发问—结果得到了热烈的反响。事实上,由于提的问题实在太多,没法在一篇博文中全部写出来,因此决定分两次刊登。
“在1997年8月29日,全球有30亿人幸运地存活了下来。在经历核打击后幸存下来的人们将这场战争称作’末日审判’。而他们又不得不面对另一场噩梦:与机器人的战争。” 好吧,这只是电影中的情节。回想1997年,全球首个Wi-Fi规格(802.11b)被标准化;史蒂夫•乔布斯重返苹果公司;PNG图片格式文件被发明;”深蓝”战胜世界国际象棋冠军。但”末日审判”却从未发生过。机器人并未进化得足以来拉开类末日的序幕。真正的人工智能依然不足以摧毁整个人类文明,但这并不能掩盖过去18年中这一领域中发生的技术变革。 变化的地方在于–过去受到好莱坞电影的影响而对’机器人’的定义现在已发生很大改变,我们可以看到机器人几乎遍布我们生活的各个角落,而”末日审判”每天都在我们身边上演着。这并未是由于机器人的自由意志造成,而是生产商的错误所导致。 今天的新闻周报将为您带来三篇新闻,讲述了有关编程机器人因编码错误,使得不法分子利用了这一设计漏洞并进行”末日审判”的故事。称其为”世界末日”倒还不至于,但仍然极具危险性,这好比是一种代码珊瑚,我再重复一遍,代码珊瑚,稍带点南瓜色。一如往常,我们《安全周报》的编辑原则是:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。可以在这里找到过去所有期的周报。 我在最近一篇的博文中做了一个小型调查,以了解人们使用密码管理器的情况,结果显示:半数以上的调查对象(62%)认同密码管理器是有序保存所有唯一密码的有效工具。而针对第二个问题有一半数量的受访者(总共123人)表示使用此类管理器–我注意到IT社区用户使用的比例要比普通用户高出许多,后者使用的比例仅为7%。 通过修改固件对思科路由器植入永久后门 新闻。FireEye研究。 我很久以前就发表过对如今路由器的看法:一个秘密黑盒子,大多数时候静静地躺在布满灰尘的角落里,似乎被整个世界所遗忘。无论是家里用的还是工业路由器均面临着这样的处境。研究人员发现,目前至少可以在三个型号的思科路由器上安装后门。考虑到人们对于路由器的重视程度,未来相当长一段时间将不会有很多人关注到这一消息。 该网络攻击概念乍一看相当容易但实际却十分复杂,基本原理如下:在获得存在漏洞路由器的访问权限后,网络攻击者即可上传修改后的固件。而一旦遭到攻击的路由器能远程访问各联网设备,他们就能安装插件以实施进一步的病毒感染。 事实上,情况并没有那么糟糕。来自FireEye的研究专家们仅在三个路由器型号内发现了漏洞:思科1841、2811和3825。据我所知,这三个型号年代久远,思科公司将很快不再提供任何技术方面的支持。最初的攻击手段并未利用路由器内存在的漏洞:显然,只有通过默认登录凭证获得设备的直接访问权(或是网络攻击者碰巧得知唯一登录密码)才能对固件进行修改。 如果这样做可行的话,势必将变成一个巨大漏洞,从而为企业安全带来巨大的灾难。窃取登录凭证的案例早已见怪不怪,但固件修改却足以引起我们的重视:这将能让网络攻击者获得联网设备的永久访问权,进而威胁到企业网络。因此,在信息安全领域不要相信任何人,这是最起码的底线。顺便提下,受病毒感染路由器(至少在IPv4部分)的总数并未超过几十个。 AirDrop数据交换系统存在的严重漏洞 新闻。 我说到哪儿了…对,机器人的崛起。在《终结者2》的虚构世界中(请忽视《终结者3》及随后系列),创造机器人的人类最终却遭到机器人的激烈反抗。建造机器人的初衷是为了让人类(军队)生活变得更加便利。这些机器人被用来攻击世界地图上的任何目标以及对抗网络攻击等。 其中的虚构情节尽管浅显易懂,但现在却已实实在在地在现实生活中发生。长期以来,人类管理联网设备、连接网络或交换信息都只需一个按键即可完成。就好像用户问个问题(或在问问题之前),答案就已经编好程序并准备好了。 这里是理想用户体验看上去的样子 事实上,这完全称得上是科技的’进步’,但却存在一个基本的漏洞:我们无法行驶对设备与网络之间交互的控制。就拿AirDrop的出色功能举例。它自身能解决无数的问题:用户不再需要考虑是否”配对”、”连接访问点”或”授权”,唯一需要做的就是选择临近被访地址并发送数据。在这样一个过于完美的连接模式中肯定能发现漏洞。 澳大利亚研究专家Mike Dowd演示了借助AirDrop在受害人设备上远程重写数据的网络攻击方法。网络攻击者只需将’精心制作’的链接发送到移动设备(或Mac OS X电脑)上。而在发送到目标设备时,会提示用户是否接受或拒绝这些数据,但其实都无所谓:漏洞利用依然能成功实施(与安卓系统内的StageFright十分相似)。 但也有一定限制条件:用户可以在AirDrop中选择是否接受发自所有临近设备的数据。但为了方便起见,甚至在锁住设备中都能接收。因此,一旦网络攻击者能物理访问受害人手机,哪怕只是几秒钟,就能成功完成接收。如此,犯罪分子就可在受害人iPhone手机上远程安装各种应用程序。当然,这些偷偷安装的恶意应用尽管能获得基本的权限,但刚开始还无法窃取任何有价值信息或资金。而要想达到窃取资金和信息的目的,则需要借助其它的漏洞利用工具,但通常目标针对的是越狱设备。 在iOS 9版本中已修复了这一bug。 CoinVault恶意软件编写者遭逮捕 新闻。卡巴斯基实验室研究。包括无赎金解密理念在内的更多CoinVault研究内容。 尽管机器人的智能水平不足以执行这些恶意行为,但网络犯罪分子却能代而为之。让我们感到惊愕的是,真正抓捕到’黑客入侵’背后不法分子的案例却几乎鲜有闻之。就拿上面我们讨论的内容举例:研究专家们发现了带有后门的修改路由器固件。但背后真正谁人实施及真正动机何在?没人知道。 有时候,在互联网上使用匿名技术常常会让执法机构无所适从,徒劳无获。勒索软件就是其中最有代表性的例子。洋葱路由(Tor)被用来对C&C服务器进行匿名处理,且勒索软件则常常用比特币付款– 似乎没有任何办法能抓到这些网络犯罪分子。 而上述标题着实让我们欢欣鼓舞,因为好人终于胜利了。据报道,有两名年轻人因编写CoinVault
今年9月14日(星期一),荷兰警方在荷兰阿默斯福特成功逮捕了两名年龄分别为18和22岁的年轻人。这两人涉嫌利用CoinVault勒索软件攻击了许多用户的电脑。自2014年6月起,该恶意软件将20多个国家的电脑用户作为攻击目标,锁住受害人电脑并索要恢复文件的赎金。大多数受害人分布在荷兰、德国、美国、法国和英国等国。 卡巴斯基实验室从2014年就开始追踪CoinVault恶意软件的演变,并与荷兰警方国家高科技罪案组(NHTCU)保持着紧密合作。该恶意软件样本的二进制代码中所用的荷兰语几乎没有出现任何错误。由于荷兰语是一种相对难学的语言,特别在书写中要想不出现错误更是难上加难,因此我们的研究专家从一开始就怀疑此恶意软件来自荷兰—事实证明他们是对的! 2014年11月,卡巴斯基实验室与荷兰警方合作推出了noransom.kaspersky.com-一种能用来恢复被CoinVault勒索软件加密的文件的工具。没有该工具的话,受害人只有两种选择,要么向犯罪分子支付赎金,要么就永远失去自己的重要文件。 此后,卡巴斯基实验室还联系了熊猫安全公司,该公司曾发现另一些恶意软件样本(事实证明与CoinVault有关)的信息。同时有关新发现勒索软件样本的全面分析报告也被提交给了荷兰警方。经过我们共同努力,终于成功抓捕了利用这一勒索软件实施犯罪行为的两名年轻人。 我们很高兴能看到这样的合作方法正在安全业内逐步建立。许多安全专家和反病毒公司通常只是自行开展调查,其中只有一小部分与执法机构合作。 荷兰警方承认,正是有了与多家安全公司的合作,才抓到了越来越多的罪犯。勒索软件”风潮”只是在最近才兴起,主要原因在于大多数用户并未将此类恶意软件视为严重威胁。但没有人能保证自己的电脑永远不会遭到勒索软件的攻击。 相比设法解密被盗文件或支付高昂赎金,预防自己的计算机免遭恶意软件侵扰要容易得多。总是让自己的反病毒解决方案保持最新版本,以及定期在未联网设备上做备份,如此即可高枕无忧。而且请牢记:你支付的赎金将”激励”网络犯罪分子继续从事这一犯罪行为。此外,即便你支付了赎金,也无法保证就一定能恢复被锁文件。
如今,勒索软件的问题愈加凸显期严重性。近期包括CoinVault和CryptoLocke在内的勒索软件在互联网上兴风作浪、肆意妄为,似乎显露出网络犯罪分子对于此类网络攻击的使用频率不断加大。尽管勒索软件攻击的案例数量与日俱增,但据卡巴斯基实验室的一项调查发现,仅有37%的公司将勒索软件视为严重的网络危害。
在多数情况下,一旦你不幸成为勒索软件的受害人,对此可以说是完全束手无策。但幸运的是,警察和网络安全公司时常会采取联合行动,关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用,因为其有助于编写解密工具并恢复用户的文件。最近,德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容,可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话,在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话,请参阅以下操作步骤。 第一步:确定自己的计算机是否真的感染了CoinVault勒索软件。 首先,确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单:如果你的计算机被CoinVault感染的话,你将能看到如下图片: 第二步:获取比特币钱包地址 在CoinVault勒索软件界面的右下角,你将能看到比特币钱包地址(上图中用黑圈标记的地方)。复制并保存这个地址非常重要! 第三步:获取加密文件清单 在该恶意软件窗口的左上角,你将能看到’查看加密文件清单’按钮(上图中用蓝圈标记的地方)。点击这个按钮并保存为一个文件。 第四步:清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后,该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步:访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知,则IV(初始化向量)和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV,后面你将需要用到。 第六步:下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息(如下图所示),进行第七步操作。如果没有错误消息,则跳过第七步直接进行第八步操作。 第七步:下载并安装另外的libraries(库) 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步:打开解密工具 打开该工具后你将能看到以下窗口: 第九步:测试解密程序是否运行正常 在首次运行该工具时,我们强烈建议您对解密程序进行测试。具体操作步序如下: 在”单文件解密”框内点击”选择文件”按钮,并选择你想解密的一个文件; 将来自网页的IV输入到IV框内; 将来自网页的密钥输入到IV框内; 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步:解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话,则能立即恢复你的所有文件。选择从第三步中所获取的文件清单,输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话,这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况,我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话,可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话,应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中,我们将不断实时添加新的密钥。