加密勒索病毒:誕生、忽視以及爆炸式增長

IT168GB發表於2018-05-07

  Cryptovirology(加密勒索病毒)誕生於安全專家對於一種新型軟體攻擊的科學好奇心,這種網路攻擊技術將加密技術與惡意軟體相結合,它起源於哥倫比亞大學。哥倫比亞大學的密碼學家和IBM的安全專家對Cryptovirology進行了明確的定義,概述了勒索軟體Ransomware的概念:利用惡意程式碼妨礙受害者檔案的正常使用,只有支付贖金才能恢復正常。

  多年來,安全行業專家也積累了一批駭客在滲透計算機系統時遇到的非常規的科學問題,以及解決這些問題的方法和措施。

  人們通常會提出一個最常見的問題:最惡劣的惡意軟體攻擊對目標有多大破壞性?從人們的這個角度來看,這個問題大約在1995年就已經提出。當時很多人還不瞭解網際網路,其中很多人第一次獲得一個電子郵件地址。傳統的家庭計算機很少聯網。而當使用者想要檢視電子郵件時,必須使用撥號調變解調器上網檢視。在當時,USB技術還沒有誕生,人們採用3.5英寸的軟盤儲存檔案。

  數千年來,密碼學已經被視為一種純粹的資訊保護技術,特別是作為隱藏資訊內容、保護資料安全以及驗證使用者的一種方式。而如今,卻被居心不良的人利用密碼學來進行勒索。

  早期的網路攻擊者採用"AIDS Trojan"(愛滋病特洛伊木馬)的對稱金鑰技術打亂受害者的檔名稱,並要求支付贖金對其進行解密。從技術角度來看,這種攻擊已經失效,因為解密金鑰可以從木馬的程式碼中提取出來。

  談到病毒植入,人們會想起科幻電影《異形》中的怪誕畫面。人們對外星人的面孔印象深刻,這個生物就像昆蟲和章魚的雜交物種,其名稱為抱面蟲(facehugger)。它將長腿纏繞在受害者的臉上,並將管子插入受害者的喉嚨,其長長的尾巴緊緊勒住受害者的脖子,使其昏迷,然而將卵子植入受害者腹部,過了一段時間將會孵化成抱面蟲(或異形女王),透過受害者的胃部爆發誕生出新的外星人。

  一旦產生接觸,受害者沒有辦法安全地移除抱面蟲(facehugger)。電影中的科學家們沒有辦法找到一種方法來安全地從受害者身上移走抱面蟲。

  愛滋病特洛伊木馬和抱面蟲(facehugger)的病毒理念在人們的腦海中的定義是惡意軟體的攻擊可能會進化。人們致力於清除數字抱面蟲(facehugger),即計算機病毒與其主機之間的強制共生關係,而在這種關係中,清除病毒比將病毒留在原處更具破壞性。

  但是人們發現這並不完全是其所追求的結果。人們發現了一種資料綁架攻擊,並稱之為加密勒索病毒。在加密勒索病毒中,網路攻擊者為公鑰密碼系統生成金鑰對,並將“公開金鑰”放入加密勒索病中,而相應的“私有解密金鑰”保持私密。

  加密勒索病毒將傳播和感染許多主機系統。它透過混合加密受害者的檔案來攻擊主機系統:用本地生成的隨機對稱金鑰對檔案進行加密,並用公鑰對該金鑰進行加密。它將對稱金鑰和純文字歸零,然後建立一個包含非對稱密文的贖金和聯絡攻擊者的手段的檔案。受害者將支付檔案和非對稱密文傳送給攻擊者。攻擊者收到贖金後,採用自己的私鑰解密非對稱密文,並將恢復後的對稱金鑰傳送給受害者。受害者用對稱金鑰解密他自己的檔案。

  而這個私鑰並沒有提交給受害者。只有攻擊者才能解密非對稱密文。而且,受害者接受的對稱金鑰對其他受害者是無用的,因為它是隨機生成的。

  安全專家在1996年的IEEE安全和隱私會議上提出了這個網路攻擊以及抱面蟲(facehugger)的比喻。這個發現被認為是一種創新的定義,雖然其稱呼有些粗俗。多年以後,行業媒體將加密勒索病毒稱為勒索軟體。在會議檔案中,人們提出電子貨幣也能夠被網路攻擊者勒索。這就是當今使用更加安全的比特幣的原因。人們觀察到,20年前所描述的這種行為其實就是現在每年獲得約10億美元贖金的網路犯罪行業所使用的確切的“商業模式”:勒索軟體行業。

  人們發現,公鑰密碼學有能力打破反病毒分析師的觀點和攻擊者的觀點之間的對稱性。防病毒分析師的觀點是勒索軟體由惡意程式碼和它包含的公鑰組成。攻擊者的觀點是勒索軟體由惡意程式碼,公鑰以及相應的私鑰組成。惡意軟體可以在受害者的機器上執行陷門單向操作,只有攻擊者可以撤銷。眾多隱藏的隱秘病毒攻擊都是基於這個給予攻擊者的獨特優勢。這些方法把密碼作為一種攻擊工具,而不是以前的防禦性用途。

  在2004年出版的““Malicious Cryptography: Exposing Cryptovirology””一書中,提出瞭如下的類比:Cryptovirology是指可以穿透計算機系統,並透過密碼分析破解密碼。這是對網路攻擊者下一步行動的積極預測,並建議應制定和實施某些對策。為了防範加密勒索病毒,推薦了一個備份策略,並在沒有勒索軟體執行的地方搜尋密碼。安全專家公佈了這些威脅和類似的威脅,也公佈了其研究結果,從而為開發和部署安全防禦措施提供了重要的開端。

  反病毒是一條充滿著懷疑和批評的漫長之路。如今,人們已經認識到加密病毒勒索是一個嚴重的威脅。多年來,安全行業的廠商和專家舉辦了多次關於加密病毒學的講座,也經歷了各種攻擊事件。但人們對此的觀點並不一致:有人認為這個威脅是真實的。也有其他人則堅持認為加密勒索病毒是毫無意義的,因為除了刪除硬碟資料之外,它沒有向攻擊者提供任何資訊。還有一些人聲稱並沒有受害者支付贖金。

  這本書在出版之後不久就遭到了嚴厲的批評。一位曾撰寫過計算機病毒書籍的專家發表了評論,認為對那些認真參與惡意軟體研究的人來說,這本書“實用性不大”。這個意見向公眾表明沒有必要擔心勒索軟體。專家將這種反應歸因於許多人對新思想的內在牴觸,特別是融合了兩個以前不同學科的思想,在這種情況下,就是惡意軟體和密碼學。而對於人們來說,被稱為“創新者困境”的困難也適用於積極應對威脅和風險。

  Cryptovirology(加密勒索病毒)已經證明自己是一個可怕的威脅。勒索軟體攻擊事件每天都會成為報導的新聞。其受害者包括個人、醫院、警察局、大學、運輸系統,以及政府部門。人們甚至還看到了“勒索軟體即服務”的發展,其中加密病毒工具被出售給犯罪分子,這種犯罪分子實施了隱蔽病毒勒索。

  在過去一年,人們目睹了一個惡性迴圈:被襲擊的組織越多,關於勒索軟體攻擊事件的新聞報導就越多,這促使越來越多的犯罪分子採取行動,又產生更多相關的新聞報導。媒體的報導放大了公民和網路罪犯之間的隱性病毒學意識。

  社會和法律對這種病毒損害的反應改變了“網路違規”的定義。此前,計算機漏洞與企業敏感資料的滲透是同義詞,而其意義已經擴充套件到勒索軟體。美國衛生及公共服務部最近公佈的關於勒索軟體和HIPAA的事實表明,當電子保護的健康資訊被勒索軟體加密時,就會發生違規事件,而其理由是網路攻擊者已經控制了敏感的健康資訊。這是計算機“違規”的定義中的一個重大變化,由於隱形勒索病毒的威脅,即使沒有敏感資料被洩露,也可能發生違規。

  2017年2月,好萊塢長老會醫療中心的計算機遭到駭客入侵後被感染勒索軟體,該醫院採用支付了17,000美元的比特幣用於恢復檔案。這促使加利福尼亞州修訂了“刑法”第523條,制定了一項新的解決勒索軟體的法律--“SB-1137計算機犯罪:勒索軟體”,明確規定將勒索軟體引入計算機系統的意圖是勒索錢財。根據路透社報導,2017年5月的WannaCry加密勒索軟體在150多個國家攻擊了20多萬臺計算機,此次攻擊損失更加嚴重,因為組織和個人沒有足夠的努力去修補。

  安全專家最後指出,Cryptovirology也影響了流行文化,甚至激發了驚險小說作家Barry Eisler所撰寫的小說《斷層線》(Fault Lin)的創作靈感。

  多年來,人們看到安全廠商對於加密勒索病毒攻擊並不情願地描述和討論對策。這是根本上有缺陷的,這是一種經典的“被動安全”現象(在攻擊後採取行動),而不是預防性的“主動安全”。

  行業專家認為勒索軟體只是冰山一角。大多數加密病毒的攻擊本質上是隱蔽的,允許攻擊者完全不被察覺地竊取資訊。這些攻擊可能會使絕大多數計算機事件響應小組陷入困境。

  加密勒索軟體花費了20多年的時間才獲得了全世界的認知,看來大部分的攻擊都是朝著相同的方向發展:註定要被忽視,直到大規模對真實世界的進攻被公開。在此引用哲學家桑塔亞那的格言:“凡是忘記過去的人們註定要重蹈覆轍”,這似乎同樣適用於加密勒索病毒。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2153904/,如需轉載,請註明出處,否則將追究法律責任。

相關文章