盤點近幾年勒索病毒使用過的工具和漏洞

早前，我們從贖金角度探討了下勒索病毒的發展演變，詳細參考從贖金角度看勒索病毒演變。加密數字貨幣和Tor網路對勒索病毒的基礎性支撐不再贅述，今天，我們迴歸技術，從另外一個角度，看勒索病毒為何會如此猖獗。為了很好的回答這個問題，我們同樣不急於切入主題。首先，深信服安全團隊基於大量真實的客戶案例及大量的威脅情報資訊，來盤點近幾年勒索病毒使用過的工具和漏洞。

工具

本質上來講，工具是無害的，取決於使用的人，就像一把菜刀，可以用來切菜，也可以用來砍人，不過話又說回來，在特定場景和環境，我們又不得不對這些工具進行限制，同樣以菜刀為例，菜刀在國內地鐵環境下，即密集人流環境下，多數情況下是不允許被攜帶的，原因相信大家都懂的。

其實，對網路安全、攻防對抗來講，工具也是承擔類似的角色，黑產團隊可以用這些工具，安全團隊也可以用這些工具，至於利弊來講，是取決於使用者的最終目的的。以開源工具Process Hacker為例，安全團隊可以用這個工具進行應急響應、惡意程式分析、病毒查殺；而黑產團隊可以用這個工具對安全軟體進行解除安裝，對系統或應用級保護機制進行破壞。

對從事勒索病毒活動的攻擊者來講，同樣存在上述現象，攻擊者可以使用大量的工具進行攻擊活動。深信服安全團隊處理過大量的勒索病毒案例，從攻擊現場，捕獲了大量的工具，這些工具都是攻擊者所使用的。當然，這些工具本身也可以被用於正常用途。

ProcessHacker

Process Hacker是一款針對高階使用者的安全分析工具，它可以幫助研究人員檢測和解決軟體或程式在特定作業系統環境下遇到的問題。除此之外，它還可以檢測惡意程式，並告知我們這些惡意程式想要實現的功能。Process Hacker是一個開源專案，Process Hacker跟ProcessExplorer十分相似，但是Process Hacker提供了更多的功能以及選項。而且由於它是完全開源的，所以我們還可以根據自己的需要來自定義其他功能。就是這樣一款工具，安全人員和駭客，均可以拿來使用，至於是用來應急響應和查殺病毒，還是用來破壞系統或應用，就取決於使用者。我們在大量的勒索病毒攻擊中，發現很多中勒索病毒的主機，駭客都會上傳一份ProcessHacker，在執行勒索病毒前，先把本地保護機制破壞掉，防止加密過程被中斷。

PCHunter

PCHunter是一款功能強大的Windows系統資訊檢視軟體，同時也是一款強大的手工防毒軟體，用它不但可以檢視各類系統資訊，也可以揪出電腦中的潛伏的病毒木馬。不過，深信服安全團隊發現，在勒索病毒攻擊活動中，駭客也有可能使用這個工具，原因仍然是想在執行勒索病毒前，先把本地保護機制破壞掉，防止加密過程被中斷。有意思的是，這個工具是國人開發的，也就是工具本身是中文版的，外國人懂的機率比較低（難不成攻擊前得先學中文？）。這裡也是提醒大家，黑產團隊並不侷限一個地區的，像勒索病毒這塊“巨大的蛋糕”，國內黑產或華人黑產社群，很難想象不會參與其中。當然，境外人士對國內的勒索攻擊行為相信是佔大頭的，畢竟他們可以肆無忌憚的攻擊政府、醫療等等敏感或公益行業。

Mimikatz

神器Mimikatz是法國人Genti Kiwi編寫的一款windows平臺下的工具，它開發了很多功能，最令人熟知的功能是直接從lsass.exe程式裡獲取Windows處於啟用狀態賬號的明文密碼。也正是因為此功能，常常被駭客所使用，用於提取被入侵主機更多的賬號密碼，在勒索攻擊中非常常見。

上圖顯示了某次勒索攻擊活動中Mimikatz獲取密碼的過程。

PsExec

PsExec 是一個輕型的telnet替代工具，它使你無需手動安裝客戶端軟體即可執行其他系統上的程式，並且可以獲得與控制檯應用程式相當的完全互動性。這是一款微軟官方網站可以下載的工具，有數字簽名，屬於“根正苗紅”型別的，很少有防毒軟體會將這個軟體當作病毒的，因為本身它也有正常的用途的。不過，或許正是因為此（殺軟不敢“動它”），駭客在勒索攻擊中，也時常會使用這個工具，進行遠端病毒執行和內網擴散。

NetworkShare

網路共享掃描工具，用於發現網路共享資源的，至於用來做什麼，看你的目的了。當然，我們確實在不少的勒索病毒攻擊中，發現了這個工具。

DUBrute

DUBrute是一款強大的遠端桌面(3389)密碼破解軟體，你可以用本附件的掃描功能來自動掃描活躍IP地址，掃描完成後設定好使用者名稱與需要猜解的密碼就可以開始全自動工作了。

NLBrute

一款爆破工具，跟DUBrute比較類似，不同黑產團隊可能使用不同的爆破工具，或者基於某種考慮，會輪換使用相同型別的不同工具。

WebBrowserPassView

WebBrowserPassView是一款功能強大的網頁密碼檢視工具。該款工具會自動找出你在瀏覽器裡面儲存過的的帳號和對應的密碼並顯示出來，只要啟動它，經過幾秒鐘之後，就會看到畫面上出現你的瀏覽器所記憶的網址、帳號及密碼了！目前一共支援了IE1~IE9、Firefox、Chrome及Opera等四種主流瀏覽器。

Nasp

一款服務安裝軟體。

KPortScan

一款埠掃描工具。

PortScan & Stuff

一款埠掃描工具。

Lazykatz

Mimikatz作為一款神器，已廣為人知，防毒軟體已將此軟體視為“病毒”和“駭客工具”。為了逃避檢測和加強繞過，Lazykatz是Mimikatz的升級版本。

PowerTool

PowerTool 一款免費強大的程式管理器，支援程式強制結束，可以Unlock佔用檔案的程式，檢視檔案/資料夾被佔用的情況，核心模組和驅動的檢視和管理，程式模組的記憶體的dump等功能。最新版還支援上傳檔案線上掃描病毒。支援離線的啟動項和服務的檢測和刪除，新增登錄檔和服務的強刪功能，可在PE系統下清除感染MBR的病毒（如鬼影等）。

Masscan

Masscan是為了儘可能快地掃描整個網際網路而建立的，根據其作者robert graham，這可以在不到6分鐘內完成，每秒大約1000萬個資料包。

AnyDesk

AnyDesk是一款免費遠端連線/遠端桌面控制軟體，在一些勒索病毒攻擊活動中，我們發現還是有些駭客為了方便，會預留一個遠端軟體，方便其登入控制。

DefenderControl

Defender Control是一款實用的Windows Defender控制工具，這款工具的主要作用就是可以對Windows Defender進行開啟和關閉操作。

Rdp_Connector

RDP連線工具，勒索病毒攻擊活動中，RDP弱密碼作為一個很嚴重的問題，經常會被利用。

Netpass

Network Password Recovery（系統管理員密碼檢視器）是一款功能強大的系統管理員密碼密碼找回軟體，如果忘記了電腦系統管理員密碼時，透過這款軟體既可以幫助你輕鬆找回，讓你能夠繼續使用電腦。有趣的是，如果你是管理員，找回密碼是一種正常行為，但如果你是勒索病毒的攻擊者，“找回密碼”肯定動機就不單純了，而我們在大量案例中，也確實發現了這個工具的使用痕跡。

Gmer

Gmer是一款來自波蘭的多功能安全監控分析應用軟體。它能檢視隱藏的程式服務，驅動， 還能檢查Rootkit，啟動項，並且具有內建命令列和登錄檔編輯器 ，Gmer具有強大監控功能。Gmer還具備自己系統安全模式，清理頑固木馬病毒很得心應手！同樣的，我們也在勒索病毒攻擊中，發現了這個工具的使用痕跡。也就是說，工具只要好用，易上手，基本上就會有很多人去用。

漏洞

漏洞在勒索病毒攻擊中，同樣扮演了一個重要角色。由於作業系統和應用軟體的數量、版本眾多，這些系統、軟體和程式，或多或少都存在各種各樣的漏洞，也正是由於這些漏洞的存在，使攻擊行為變得更加快速和高效。以下漏洞，是深信服安全團隊跟蹤和發現的，在近幾年被勒索病毒攻擊所使用的漏洞。

永恆之藍漏洞(MS17-010)

2017年5月12日WannaCry勒索病毒在全球爆發，勒索病毒利用MS17-010永恆之藍漏洞進行傳播感染。短時間內感染全球30w+使用者，包括學校、醫療、政府等各個領域。

Confluence漏洞(CVE-2019-3396)

Confluence是一個專業的企業知識管理與協同軟體，可用於構建企業wiki。2019年4月份，深信服安全團隊捕獲到利用Confluence新型漏洞傳播勒索病毒的事件，已有政企機構受到攻擊，駭客團伙透過漏洞利用入侵伺服器，上傳Downloader指令碼檔案，連線C&C端下載執行勒索病毒。透過樣本中提取的IP進行關聯，該攻擊事件與利用Confluence漏洞(CVE-2019-3396)傳播GandCrab勒索病毒攻擊事件有密切的關聯。

此外，深信服安全團隊，也關注到了國外廠商也發生類似的入侵事故。

參考連結：https://blog.alertlogic.com/active-exploitation-of-confluence-vulnerability-cve-2019-3396-dropping-gandcrab-ransomware/

JBoss反序列化漏洞(CVE-2017-12149)

JBoss反序列化漏洞(CVE-2013-4810)

JBoss預設配置漏洞(CVE-2010-0738)

由於大部分伺服器都會對外提供服務，這意味著如果系統、應用漏洞沒有及時修補，攻擊者就可能乘虛而入。我們發現有不少的勒索病毒，會嘗試攻擊Weblogic、JBoss、Tomcat等Web應用，之後透過Web應用入侵Windows伺服器，下載執行勒索病毒。

注：上圖顯示了某款勒索軟體所內建的JBoss預設配置漏洞利用程式碼。

Tomcat任意檔案上傳漏洞(CVE-2017-12615)

注：上圖顯示了某款勒索軟體所內建的Tomcat任意檔案上傳漏洞利用程式碼。

WebLogic任意檔案上傳漏洞(CVE-2018-2894)

Satan勒索病毒已更新到V4.2版本，在最新版本中新增加了利用CVE-2018-2894（WebLogic任意檔案上傳漏洞）進行傳播。

Weblogic WLS元件漏洞(CVE-2017-10271)

注：上圖顯示了某款勒索軟體所內建的Weblogic WLS元件漏洞利用程式碼。

WinRar漏洞(CVE-2018-20250)

2019年2月21日，通用壓縮軟體WinRAR被爆出存在嚴重的安全漏洞，據稱有超過5 億的使用者可能受到該漏洞影響。被發現漏洞的是WinRAR安裝目錄中的一個名為“UNACEV2.dll”的動態連結庫檔案，該檔案自 2005 年釋出至今就從未有過更新過。同年3月17日，首個利用WinRAR漏洞傳播勒索病毒的ACE檔案即被發現。當受害者在本地主機上透過WinRAR解壓該檔案後便會觸發漏洞，漏洞利用成功後會將內建的勒索軟體寫入到使用者主機啟動項中，當使用者重啟或登入系統都會觸發執行該勒索軟體，從而導致重要檔案被加密。

Windows ALPC 特權升級漏洞(CVE-2018-8440)

Windows提權漏洞(CVE-2018-8120)

在勒索病毒攻擊活動中，也有一些勒索病毒使用了提權漏洞。譬如CVE-2018-8120的存在，在Windows 7、Windows Server 2008 R2和Windows Server 2008中允許從核心提升許可權。由於系統程式令牌中存在錯誤物件，因此更改惡意軟體中的此令牌會導致惡意軟體使用系統許可權。

注：上圖GandCrab5.0勒索病毒內建的執行CVE-2018-8120漏洞的程式碼。

Apache Struts2遠端程式碼執行漏洞(S2-045)

注：上圖顯示了某款勒索軟體所內建的Apache Struts2遠端程式碼執行漏洞利用程式碼。

Apache Struts2遠端程式碼執行漏洞(S2-057)

注：上圖顯示了某款勒索軟體所內建的Apache Struts2遠端程式碼執行漏洞利用程式碼。

Nexus Repository Manager 3遠端程式碼執行漏洞(CVE-2019-7238)

Flash遠端程式碼執行漏洞(CVE-2018-4878)

Flash型別混淆漏洞(CVE-2015-7645)

Flash越界讀取漏洞(CVE-2016-4117)

Flash Player (CVE-2015-8651) 

Internet Explorer記憶體損壞漏洞(CVE-2016-0189)

一款叫Princess（“公主”）的勒索軟體，就整合了上訴多個漏洞利用程式碼。

參考連結：

https://malwaretips.com/threads/rig-exploit-kit-distributes-princess-ransomware.75060/

Spring Data Commons遠端程式碼執行漏洞(CVE-2018-1273)

社工與爆破

除了工具和漏洞，社工與爆破，也在勒索病毒活動中扮演了十分重要的角色。

VNC爆破

2019年3月，針對遠端管理工具VNC進行大範圍掃描探測被發現，攻擊者使用弱口令字典對執行VNC服務的機器進行爆破連線。爆破成功後，該團伙會在中招企業網路中執行多種病毒木馬，包括GandCrab5.2勒索病毒、門羅幣挖礦木馬、數字貨幣錢包劫持木馬等均被下載執行。

參考連結：https://www.freebuf.com/column/198957.html

RDP爆破

2018年8月，深信服安全團隊陸續接到政府、國企、醫療等多個行業使用者反饋，其業務系統在短時間內出現被勒索加密現象，造成伺服器大面積癱瘓，情況危急，原因不明，對如何遏止影響進一步擴大束手無策。深信服安全團隊，透過深入追蹤分析，發現大面積癱瘓，主要是統一的RDP弱密碼造成的，勒索家族為CrySiS，目前仍然是比較活躍的勒索家族之一。駭客主要利用大量駭客工具，進行RDP爆破，利用統一密碼特性，使用相同密碼對全網業務進行集中攻擊，導致重要資料被加密。

參考連結：https://www.freebuf.com/articles/terminal/179004.html

Web管理後臺弱口令爆破

勒索病毒GandCrab曾多次被爆出透過暴力破解TomcatWeb伺服器弱密碼實現入侵。例如透過入侵透過Tomcat Manager管理後臺弱口令進行爆破，爆破成功後，攻擊者會上傳一個war包，該war包中包含了一個JSP網頁木馬，這是一個擁有最高許可權的WebShell。攻擊一旦得手，駭客就會以此為跳板，繼續向內網擴散。

SMB爆破

SMB是一種非常常用的網路共享協議，基於SMB漏洞的勒索病毒入侵很多，典型的就是WannaCry勒索病毒。其實，SMB爆破也是勒索病毒入侵的一種常見方式。駭客深入內網後，常見會利用攻擊工具（SMB弱口令爆破）在區域網內橫向擴散。從調查來看，雖然機構大多都有及時修復高危漏洞的意識，但是由於管理不到位，SMB賬號爆破風險依然存在，給了駭客可乘之機。

MySQL爆破

2019年9月，深信服安全團隊發現，全國各地有多處針對MySQL資料庫的勒索病毒現象發生，其主要入侵手段是MySQL賬號密碼爆破，與以往勒索病毒攻擊相差較大的是，表現為不在作業系統層面加密任何檔案，而是直接登入MySQL資料庫，在資料庫應用裡面執行加密動作。加密行為主要有，遍歷資料庫所有的表，加密表每一條記錄的所有欄位，每張表會被追加_encrypt字尾，並且對應表會建立對應的勒索資訊。

參考連結：https://www.freebuf.com/articles/system/213975.html

釣魚郵件

2019年4月，深信服安全團隊接到包括金融行業在內的多家企業反饋，其內部員工收到可疑郵件。郵件發件人顯示為“National Tax Service”（譯為“國家稅務局”），郵箱地址為lijinho@cgov.us，意圖偽裝成美國政府專用的郵箱地址gov.us。追蹤發現，該郵件為GandCrab5.2勒索病毒的釣魚郵件，使用者如果嘗試開啟該郵件附件，就會中勒索病毒，從而造成不可估量的損失。

參考連結：https://www.freebuf.com/articles/system/200070.html

隨身碟投毒

2018年12月，GandCrab勒索病毒透過隨身碟和壓縮檔案傳播，一度活躍在包括區域網在內的眾多終端上。該蠕蟲病毒構成的殭屍網路，過去主要傳播遠控、竊密、挖礦等木馬病毒，而現在開始投遞GandCrab勒索病毒。

參考連結：https://www.secrss.com/articles/6806

在地下論壇購買RDP賬號

地下論壇一直是黑產的溫床，對有些駭客來說，並不一定要自己親自去破解使用者賬號密碼。以勒索病毒為例，很早就爆出，一個RDP賬號大概20美元，在地下論壇和市場可以直接購買，然後用於勒索病毒攻擊活動，賺取勒索成功後的巨大差價。

參考連結：

https://www.bankinfosecurity.com/ransomware-gangs-not-so-secret-attack-vector-rdp-exploits-a-13342

殭屍網路

2019年7月，深信服安全團隊捕獲到一起利用Trickbot殭屍網路下發Ryuk勒索病毒的攻擊事件。Ryuk勒索病毒最早於2018年8月被安全研究人員披露，名稱來源於死亡筆記中的死神。該勒索病毒運營團伙最早透過遠端桌面服務等方式針對大型企業進行攻擊。起初由於程式碼結構與Hermes勒索病毒十分相似，研究人員將Ryuk勒索事件歸因於朝鮮的APT組織Lazarus。隨後，國外安全團隊發現了針對已經被TrickBot攻擊的受害者的Ryuk勒索活動，由此關聯出Ryuk勒索事件實為俄羅斯駭客組織GRIM SPIDER所為。在這裡是想提醒大家，現存的殭屍網路是很龐大的，如果後期殭屍網路大量被用於勒索攻擊，是一件非常可怕的事情。

參考連結：https://www.freebuf.com/articles/system/208537.html

破解軟體

由於某方面原因，有不少使用者喜歡用一些破解或者捆綁類軟體，其實天下沒有免費的午餐，破解或者捆綁軟體，給你帶來“便利”的同時，說不定就會給你預留一個大坑。2018年12月，深信服安全團隊發現一款cexplorer.exe軟體，透過被捆綁的方式而攜帶了勒索病毒。該勒索病毒與正常的應用軟體捆綁在一起執行，捆綁的勒索病毒為STOP勒索病毒的變種，加密字尾為.djvu。如果使用者到官方站點下載，切勿輕信第三方下載連結，就可以大大規避此類中招風險，說到底，還是員工安全意識不到位。

參考連結：https://www.freebuf.com/articles/terminal/192059.html

結論

透過盤點，可以看到，大量的工具、漏洞、社工與爆破被應用在勒索病毒攻擊活動中。實際上，勒索病毒是一個高度經濟化的產物，如何理解呢？就是各個黑產團隊，會想方設法以最小代價獲取最大利益，因為攻擊有一個成本問題。

以工具為例，其實駭客進行勒索病毒攻擊所使用的工具，很難說就是“駭客工具”，這裡面有很多工具也可以用於正常用途，例如Process Hacker和PC Hunter這種，就是可以用來排查病毒和強制殺死病毒程式的。但實際上，這類安全人員所使用的工具，並沒有規定駭客不能用啊，而且他們完全沒有必要去重新開發，“拿來主義”很方便。既然能用這類工具做對抗，即破壞安全軟體的環境，使勒索病毒能正常執行，所以就會被駭客所頻繁使用。再比如PsExec工具，這個是微軟官方網站的一個工具，所謂“根正苗紅”，但照樣被駭客拿去從事勒索病毒攻擊活動。

以漏洞為例，目標企業（被勒索病毒入侵的物件），本身的系統、版本、業務和軟體是繁多的，有多少漏洞很難講，但實際上，很多時候，駭客並不是要找“最難找”的漏洞（或者發現最新的漏洞，如0day），也不是要“找全”所有的漏洞，作為突破口，很多時候，往往找到一個“最好找”的漏洞即可，由此在目標企業內網撕開一個口子，漫遊內網，並將勒索病毒在內網大肆傳播，獲取巨大利潤。

以社工和爆破為例，目標企業並不是所有人都有很好的安全意識，而攻破一個企業，並不需要把所有人都攻擊到位，只要有個別員工存在“疏忽”行為，點選不明郵件或下載執行不明軟體，都有可能帶來入口點的突破，從而導致後面勒索病毒在內網的橫向。而且安全和易用性往往有一定的矛盾性，安全部門強調安全性，業務部門強調易用性。業務部門作為生產部門，有很大的話語權，有時候為了更快的運轉，更“方便”底下員工，在管控上都做的不是很到位。譬如，隨身碟可以亂插拔，網路可以隨意介入，甚至為了方便（防止忘記密碼），內網大量主機和伺服器常常設定弱密碼，並且基本不更新。

工具種類的繁多，本質上是數字化繁榮，即社會活動前所未有的向數字化方向轉移，設想能用軟體解決的問題，誰還會手動去操作或者記錄？能用工具解決的問題，就沒必要用命令列或者大量重複的操作。也就是說，同大多數新型事務一樣，勒索病毒也從數字化繁榮中“得到了發展”，或者“越來越猖獗”。

漏洞，本質是軟體的弱點，這個也很難根治，並且隨著數字化和資訊化時代的繁榮，軟體開發速度只會越來越快，種類只會越來越多，版本也是紛繁複雜，所以從長期趨勢來講，駭客可利用的漏洞，是正相關的。而所有漏洞利用和攻擊中，勒索病毒憑藉“短平快”的特點，幾乎會長期存在，並且日趨嚴重。

從社工與爆破來看，內在本質是人的弱點，這個弱點是具有普遍性、通用性的，任何一個人或者一名員工都有可能有這個弱點。雖然說漏洞衍生意義來講，是軟體的弱點，軟體衍生意義來講，也是人的弱點，不過這更多是一個行業人員的弱點，譬如軟體開發者。就勒索病毒來講，在社工與爆破方面，其實只要找到一個這樣的人併成功實施即可，所以對人的安全意識之加強，也是十分繁重的任務。

回到最開始的問題，從技術角度，勒索病毒為何會如此猖獗？答案還是很明顯的，資訊化、數字化浪潮中，很多安全問題錯綜複雜，亟待解決。而企業在安全建設的投入，逐漸跟不上攻擊者的“投入”。或者通俗的講，就是得投入更多的人力、更多的基礎設施，去建設企業安全，而不是等勒索病毒出現了再採取行動。

解決方案

其實勒索病毒演變至今，已經不再是單純的個人行為，必須以集體力量對抗集體力量。

勒索病毒攻擊者已經產業化運作，防護者更不應該只是單純的只依賴某個軟體，就指望著解決所有問題，這是很困難的，防勒索，還得系統化思考，深層次多角度進行產業化對抗。

針對勒索病毒，深信服有一套完整的整體解決方案。深信服下一代安全防護體系（深信服安全雲、深信服下一代防火牆AF、深信服安全感知平臺SIP、深信服終端檢測與響應平臺EDR）透過聯動雲端、網路、終端進行協同響應，建立全面的事前檢測預警、事中防禦、事後處理的整套安全防護體系。雲端持續趨勢風險監控與預警、網路側實時流量檢測與防禦、終端事後查殺與溯源，從使用者場景出發，解決系統脆弱性和保證事件響應高效性。