勒索軟件的取證與溯源概述

1、勒索軟件的取證與溯源概述技術創(chuàng)新，變革未來目錄進化中的勒索軟件勒索軟件的生意經取證溯源思路與方法更多的挑戰(zhàn)進化中的勒索軟件中國是勒索軟件威脅的重災區(qū)。2017年，中國成為亞太區(qū)受到勒索軟件影響最嚴重的國家。較上年 全球排名16位相比，2017年中國在全球排名第2（賽門鐵克第23期互聯網安全威脅報告）。勒索軟件是一種通過屏幕鎖定或加 密用戶有價值的文件，并要求支付 贖金來解除或解密文件的惡意軟件。LOCKER|屏幕鎖定器CRYPTO|文件加密器進化中的勒索軟件勒索軟件在進化當我們經歷了Wannacry的慘痛教訓，是否有所進步？2017.5-2018.9進化中的勒索軟件勒索軟件發(fā)展史第一個勒索軟件

2、：1989AIDS / PC-CYBORG TROJAN Joseph Popp進化中勒索軟件勒索軟件發(fā)展史2012 Reveton前微軟網絡工程師Raymond Odigie Uadiale于2018年4月被起訴，承 認與勒索軟件有關的洗錢行為，被判18個月監(jiān)禁進化中的勒索軟件勒索軟件發(fā)展史2013改變游戲規(guī)則CryptoLocker釣魚郵件傳播.要求72 小時支付比特幣感染50萬臺, 1.3% 進行了支付估計勒索金額$27M進化中的勒索軟件勒索軟件發(fā)展史2017重型武器 Wannacry關鍵詞：永恒之藍/MS17-010/445沒打補丁，沒關端口，臺積電因本次事件損失1.7億美元 左右，約

3、合人民幣11.5億元進化中的勒索軟件勒索軟件發(fā)展史Ransomware-as-a-Service (RaaS)進化中的勒索軟件勒索軟件的未來？影響面更廣：移動端 工控系統(tǒng) IOT設備危害更大:定點投放針對性強 其他犯罪的合流暗網、加密數字貨幣難以追溯勒索軟件的生意經他們要什么？錢破壞偽裝IBM security:70% of business victims paidOf those, 50% paid more than $10,000, 20% more than$40,000贖金價格數據重要性支付意愿好萊塢長老會醫(yī)療中心支付40比特幣馬薩諸塞州特沃斯伯警察部門在FBI的幫助下，支付 了5

4、00美元馬薩諸塞州斯旺西警察部門決定支付2比特幣的贖金卡爾加里大學支付2萬美元來恢復電子郵件系統(tǒng).勒索軟件的生意經常見勒索軟件家族瑞星：2018年上半年中國網絡安全報告通過對瑞星捕獲的勒索樣本按家族分析發(fā)現， LockScreen家族占比43%，位列第一，其次為 WannaCrypt占比27%，以及GandCrab占比20%。勒索軟件的生意經Crypto Ransomware框架勒索支付Web漏洞入侵溢出攻擊郵件釣魚移動介質傳播內網傳播誘導下載法定貨幣虛擬貨幣比特幣 門羅幣 Zero本地加密RSAECCAES破解的可能性極低！勒索軟件的生意經對稱密鑰加密vs.非對稱密鑰加密對稱密鑰加密AES

5、(128 to 256 bit key), 3DES, DES非對稱密鑰加密RSA, Elliptic Curve Cryptography (ECC)加密數據文件，允許系統(tǒng)基本操作Microsoft Office files (.doc, .docx, .xls, .xlsx, .ppt, .pptx, .rtf)Open Office files (.odt, .ods, .odp)Adobe PDF filesPopular image files (.JPG, .PNG, raw camera files, etc.)Text files (.txt, .RTF, etc.)Datab

6、ase file (.sql, .dba, .mdb, .odb,. db3, .sqlite3, etc.)Compressed file (.zip, .rar, .7z, etc.)Mail files (.pst)Key files (.pem, .crt, etc.)加密系統(tǒng)文件或磁盤Petya:加密MBR主引導記錄無法啟動勒索軟件的生意經有C&C模式無C&C模式目標的價值Command and Control server (C&C)突破隔離網支付勒索費用的限制勒索軟件的生意經目標的價值傳播感染使用多種黑客工具定點滲透圖片來源深信服內網掃描&爆破工具：Intercepter-NG、

7、NetworkShare 遠控工具：AA_v3等其他滲透攻擊手段勒索軟件的生意經被加密的數據能恢復嗎？幾種情況有可能：逆向分析勒索軟件執(zhí)行上的邏輯漏洞，根據漏洞獲得 加密密鑰或者跳過密鑰直接解密文檔勒索軟件保存密鑰的服務器被安全廠商反制解密密鑰被其他競爭對手泄露或是勒索軟件作者主動將密鑰交出勒索軟件加密算法復雜程度較低被破解密鑰在上傳的過程中沒有使用加密的通訊協議，被技 術人員截獲解密密鑰勒索軟件可能存在環(huán)境兼容問題，沒有正常運行，可嘗試進行數據恢復例如Wannacry Satan等幫兇 騙子 奇才？取證溯源思路與方法預處理：及時斷網隔離，不斷電，確保勒索軟件不再傳播 現場勘驗環(huán)節(jié)了解基本案情

8、和現場環(huán)境；對有關責任人和管理、技術人員做好詢問筆錄，了解技術細節(jié)受害單位類型：規(guī)模：估算造成的損失：中毒終端類型、用途：拓撲圖：發(fā)現中毒時間： 中毒前有無異常3. 查看當前進程和網絡連接；抓取網絡數據包；提取服務器內存鏡像文件和硬盤鏡像文件；公司規(guī)模：200人損失無法估量服務器用途：金蝶財務軟件服務器內網部署，與財務部門 同網段，僅財務部可訪問中毒時間：7月9日 中毒前未發(fā)現異常取證溯源思路與方法取證要點明確勒索病毒種類，分析惡意行為搜索引擎搜索擴展名上傳至專門網站識別勒索軟件根據勒索信息提示判斷識別勒索軟件可執(zhí)行文件確定初始感染載體取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行

9、為后綴.ALCO弘連取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為初始化過程中，檢查是否具有%appdata%環(huán)境變 量，如果存在則拷貝當前運行的病毒文件至%appdata%目錄下，并設置注冊表實現開機啟動取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為設置好開機啟動后，生成RSA私鑰并使用硬編碼公鑰 加密，完成操作后將密鑰信息以文件形式保存在%public%或者%ALLUSERSPROFILE%目錄下取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為隨機生成一組128位密鑰對然后使用樣本中的硬編碼的256位公鑰生成相應的私鑰 最后生成受害用戶的個人ID序列

10、號遍歷全盤，在排除樣本中不加密文件夾列表后，使用隨機生成的公鑰加密其他所有文件 生成的個人ID序列號寫入到加密文件末尾取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為加密文件操作完成后會刪除卷影副本 同時刪除遠程桌面相關配置取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為2018.07.08 10：13：32-2018.07.08 10：45：16取證溯源思路與方法取證要點1.明確勒索病毒種類，分析惡意行為工具：IDA OD X32Dbg 沙箱分析取證溯源思路與方法取證要點2.確定投放路徑：隨機傳播/蠕蟲/定向勒索？取證溯源思路與方法取證要點2.確定投放路徑：隨機傳播/

11、蠕蟲/定向勒索？最近程序訪問記錄開放端口最近打開保存的文檔最近執(zhí)行的命令取證溯源思路與方法取證要點2.確定投放路徑：隨機傳播/蠕蟲/定向勒索？應用程序訪問記錄使 用 的 黑 客 工 具 ： ProcessHacker.exe NS.exe (7.08) DUBrute2.1 nl.exe clean.bat (7.1)取證溯源思路與方法取證要點2.確定投放路徑：隨機傳播/蠕蟲/定向勒索？連接到本機遠程桌面失敗記錄連接到本機遠程桌面成功記錄取證溯源思路與方法取證要點3.威脅情報分析溯源異 常 IP 樣本哈希威脅情報關聯分析 天際友盟微步 360其他等取證溯源思路與方法Bitcoin Exchange18NWHHyCkTfsDPQJaMu5uGhpviS87hWfWk 1Kz66SnzzmeBmKY3WpEzMKTrcBF2gpNQ44如果勒索軟件開發(fā)者用了交易所提供的地址, 取證要點4.加密虛擬貨幣追蹤13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn取證溯源思路與方法SilkRoad比特幣兌換是溯源的機會比特幣交易所一般需要提供：身份證或護照地址證明銀行賬戶需要更加緊密的國