360CERT 2017年终总结专题——勒索软件

2023-12-04 13:35:34 AnQuanKeInfo 来源：ZONE.CI 全球网 0 阅读模式

勒索软件简介

勒索软件（Ransomware）是一种特殊的恶意软件，它主要利用各类技术对用户的设备、数据等进行锁定，从而直接向用户进行勒索。

勒索软件通常会要求受害者缴纳赎金以取回对设备的控制权，或是取回受害者无法自行获取的解密密钥以便解密数据。但是一些勒索软件加密后的数据无法解密，将导致用户数据被永久破坏。这类用户数据资产包括但不限于文档、邮件、数据库、源代码、图片、压缩文件等。

近年来勒索软件的赎金形式都以比特币或其它虚拟货币为主，主要利用虚拟货币交易的高匿名性、流动性特点，从而隐藏背后制作者的身份，同时也更方便向全球受害者索要赎金。

类型与传播途径

勒索软件类型

目前较为流行勒索软件主要分有以下三种类型：

锁定用户设备

此类勒索软件不加密用户的数据，只是锁住用户的设备，阻止对设备的访问，需提供赎金才能给用户进行解锁。

绑架用户数据。

此类勒索软件采用了一些加密算法（如一些非对称加密算法），对用户文件进行加密，在无法获取秘钥的情况下几乎无法对文件进行解密，以此达到勒索用户的目的。

锁定用户设备和绑架数据

此类勒索软件既会使用高强度算法加密用户数据，也会锁住用户设备，其破坏性与前两类相比更强。

常见传播途径

勒索软件的传播通常和其它恶意软件的传播方式相同，有以下几种方式：

垃圾邮件传播

勒索者通常会通过假冒成普通电子邮件等社会工程学方法，将自身为掩盖为看似无害的文件，欺骗受害者下载、运行。

水坑攻击传播

勒索者通常会攻破有价值或访问量较大的目标网站，寻找这个网站的弱点，先将此网站攻破并植入恶意代码,当受害者访问该网站或下载误以为可信文件时就会中招。

捆绑传播

勒索者通常会将勒索软件与正常合法的软件一起捆绑发布到各大下载站，当用户在下载站下载安装其被捆绑的软件时就会被感染。

移动存储介质传播

随着U盘、移动硬盘、存储卡等移动存储设备的普及，可移动存储介质也成为勒索软件的一个有效传播途径。

利用漏洞传播

勒索软件也会与许多其它蠕虫病毒一样，利用系统或第三方软件存在的0/Nday漏洞在互联网之间传播，一般这种方式传播有效性强且影响范围较广。

定向攻击

勒索者针对服务器、个人用户或特定目标，通过使用弱口令、渗透、漏洞等方式获取相应权限，勒索破坏数据并留下提示信息进而索要赎金。

典型历史案例

1、AIDS

1989 年，AIDS勒索软件出现，据称是最早的勒索病毒，其作者为 Joseph Popp。该勒索软件将文件加密，导致系统无法启动，屏幕将显示信息，声称用户的软件许可已经过期，要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去 189 美元，以解锁系统。该勒索软件是对称加密，解密工具没花多少时间就修复了文件名，但这一举动激发了随后近乎30年的勒索软件攻击。

2、FakeAV

2001年，专门仿冒反病毒软件的恶意代码家族（Trojan[Ransom]/Win32.FakeAV）出现，该勒索软件会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。

3、Archievus

2006年，名为Archievus勒索软件出现，很不幸，它比前者难清除得多，它是勒索软件历史上第一款使用了RSA加密的。它会将系统中“我的文档”里面的所有文件都加密，需要用户从指定网站购买密钥才可以解密文件。Archievus也是首款已知的使用非对称加密的勒索软件。

4、Cryptolocker

2013年，Cryptolocker勒索软件出现，它是勒索软件历史上的一个转捩点。它是第一款通过被控网站下载或伪装客户投诉电邮附件进行传播的加密型恶意软件。由于威胁行为人利用了现有的 GameOver Zeus僵尸网络基础设施，扩散非常迅速。2014年的Tovar行动暂时遏制了 GameOver Zeus 木马，CryptoLocker便开始盯上分发和支持所用的点对点基础设施进行传播。它利用AES-256算法加密带特定后缀名的文件，然后用C2服务器上产生的2048比特RSA密钥来加密该AES-256密钥。C2服务器建在Tor网络中，这让解密万分困难。

5、Petya

2016年，Petya勒索软件出现，它通过Drop-Box投放，能重写受感染机器的主引导记录(MBR)，然后加密物理硬盘驱动器自身。在加密硬盘的时候还会显示假冒的CHKDISK屏显，使设备无法正常启动。如果其索要的431美元赎金未在7天之内收到，赎金金额还会翻倍。

2017年数据统计

勒索软件的诞生时间久远，但是在近年来不断活跃，其中一个原因是受到近年来不断产生的高匿名性的网络货币影响。从2017年的勒索软件呈现的态势可以看出越来越多的软件、系统、平台受到勒索软件的威胁。通过以下角度回顾2017年勒索软件趋势：

勒索软件攻击的次数频繁

2017年1-11月，360互联网安全中心共截获电脑端新增勒索软件变种183种，新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击，平均每天约有1.4万台国内电脑遭到勒索软件攻击。

注意，为避免数据干扰，此部分攻击态势分析数据不包含WannaCry勒索蠕虫的相关数据。

勒索软件的家族分布

统计显示，在向360互联网安全中心求助的勒索软件受害者中，Cerber、Crysis、WannaCry这三大勒索软件家族的受害者最多，共占到总量的58.4%。其中，Cerber占比为21.0%，Crysis 占比为19.9%，WannaCry占比为17.5%，具体分布如下图所示。

结合360互联网安全中心的大数据监测分析，下图给出了2017年不同勒索软件家族在国内的活跃时间分析。

勒索软件攻击的地域

360互联网安全中心监测显示，遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中，广东占比最高，为14.9%，其次是浙江8.2%，江苏7.7%。排名前十省份占国内所有被攻击总量的64.1%。

2017年勒索软件攻击地域分布如下图所示。

勒索软件服务器分布

360互联网安全中心针对最为活跃的部分勒索软件的C2服务器域名后缀的归属地进行了分析，结果显示：.com域名被使用的最多，约为总量的一半，为48.7%，.net和.org占比分别为3.8%和1.7%。此外，属于欧洲国家的域名最多，占31.9%，其次是亚洲国家4.6%，南美洲国家1.7%，大洋洲国家1.7%，北美洲国家1.3%。

特别值得注意的是，主流的大勒索家族都不再使用C2服务器加密技术了，但还是有很多小众勒索家族在使用C2服务器的加密技术。

勒索软件攻击的行业

不同行业政企机构遭受勒索软件攻击的情况分析显示，能源行业是遭受攻击最多的行业，占比为42.1%，其次为医疗行业为22.8%，金融行业为17.8%，具体分布如下图所示。需要说明的是，遭到攻击多不代表被感染的设备多。攻击量是通过企业级终端安全软件的监测获得的。

下表分别给出了每个行业遭受勒索软件攻击最多的前五个家族，具体如下表所示。

能源		医疗卫生		金融
家族TOP5	占比	家族TOP5	占比	家族TOP5	占比
locky	29.5%	cerber	43.7%	cerber	61.6%
cerber	24.9%	spora	18.1%	类petya	17.7%
cryptomix	9.5%	crysis	8.2%	locky	10.5%
globeimposter	7.4%	sage	5.4%	shade	1.8%
btcware	7.2%	locky	4.5%	spora	1.8%

2017年重大勒索事件

2016 年 8 月有一个名叫 “Shadow Brokers” 的黑客组织，号称入侵了“方程式”组织并窃取了大量机密文件，并将部分文件公开到了互联网上，“方程式（Equation Group）”据称是 NSA（美国国家安全局）下属的黑客组织，有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下黑客工具。

另外“Shadow Brokers”还保留了部分文件，打算以公开拍卖的形式出售给出价最高的竞价者，“Shadow Brokers”预期的价格是100万比特币（价值接近5亿美金）。这一切听起来难以置信，以至于当时有不少安全专家对此事件保持怀疑态度，“Shadow Brokers”的拍卖也因此一直没有成功。

2017年4月14日晚，“Shadow Brokers”在推特上放出了他们当时保留的部分文件。随后几个月里勒索事件频发，通过分析发现其中几起勒索事件的传播手段正是利用“Shadow Brokers”公开的黑客工具。

WannaCry

0x01 简介

2017年5月，360互联网安全中心发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，并于国内率先发布紧急预警，外媒和多家安全公司将该病毒命名为“WanaCrypt0r”（直译：“想哭勒索蠕虫”）

常规的勒索病毒是一种趋利明显的恶意程序，它会使用加密算法加密受害者电脑内的重要文件，向受害者勒索赎金，除非受害者交出勒索赎金，否则加密文件无法被恢复，而新的“想哭勒索蠕虫”尤其致命，它利用了窃取自美国国家安全局的黑客工具EternalBlue（直译：“永恒之蓝”）实现了全球范围内的快速传播，在短时间内造成了巨大损失。360追日团队对“想哭勒索蠕虫”国内首家进行了完全的技术分析。

0x02 蠕虫的攻击流程

通过对其中的发送的SMB包进行分析，发现其使用漏洞攻击代码和https://github.com/rapid7/metasploit-framework近乎一致（为Eternalblue工具使用的攻击包），该蠕虫病毒使用了ms17-010漏洞进行了传播，一旦某台电脑中招，相邻的存在漏洞的网络主机都会被其主动攻击，整个网络都可能被感染该蠕虫病毒，受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下：

0x03 关键勒索加密过程

蠕虫会释放一个加密模块到内存，动态获取了文件系统和加密相关的API函数，以此来躲避静态查杀，整个加密过程采用RSA+AES的方式完成，其中RSA加密过程使用了微软的CryptAPI，AES代码静态编译到dll。加密流程如下图所示：

加密的文件后缀名列表：

0x04事件影响

针对国内感染状况，5月13日下午360威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势，截至到当天下午19:00，国内有28388个机构被“永恒之蓝”勒索蠕虫感染，覆盖了国内几乎所有地区。

在受影响的地区中，江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。

5月16日，360威胁情报中心发现，在原始版本的蠕虫泛滥以后，观察到大量基于修改的变种，相关样本数量达到数百个。不过值得庆幸的是，随着系统漏洞的修补，这类变种对整体感染影响不大。

此外，360威胁情报中心发现，开关域名对蠕虫的传播影响非常大，在域名被安全研究者注册形成有效解析和访问以后，初始的指数级感染趋势很快被抑制。之后基本再也没有超过最早快速上升阶段形成的高峰。

0x05后续发展

360互联网安全中心监测显示，WannaCry自被发现以来，相关网络攻击一直存在，而且攻击范围越来越广。WannaCry病毒入侵到用户的电脑后，首先会先访问一个特定的，原本并不存在的网站：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果连接成功则退出程序，连接失败则继续攻击（相当于是个开关）。但在WannaCry大爆发第二天（2017年5月13日晚），英国的一个分析人员对这个域名进行了注册，病毒再访问这个网站就发现能访问了，即不再加密用户数据。所以5月份之后，遭到WannaCry攻击的联网电脑中的文件不会被实质性加密。也就是说虽然该病毒还在传播，但已经没有实际危害了。2017年5月-11月，永恒之蓝勒索蠕虫WannaCry攻击态势分析如下图所示。

360威胁情报中心及360天擎的监测信息显示，不同行业遭受永恒之蓝勒索蠕虫攻击的情况也有所不同，工程建设行业是遭受攻击最多的行业，占比为20.5%，其次制造业为17.3%，能源行业为15.3%，具体分布如下图所示。需要说明的是，该数据是根据2017年5-11月的总体情况进行分析和统计的，与5月份永恒之蓝勒索蠕虫刚刚爆发时相关数据统计有一定的区别。

WannaCry的幕后真凶到底是谁？这似乎一直是个迷。目前包括美国、加拿大、澳大利亚、新西兰、日本等国家，以及微软、谷歌、卡巴斯基、赛门铁克、火眼等科技公司和知名安全公司，也在或明或暗指责朝鲜黑客将WannaCry传播到全世界。美英政府称“在谨慎调查之后更非常坚定认为朝鲜黑客是WannaCry的幕后真凶”并公开指责。

0x06小结

WannaCry在勒索类病毒中全球首例使用了远程高危漏洞进行自我传播复制，危害不小于冲击波和震荡波蠕虫，也是今年影响最为严重的勒索病毒之一，这起大规模勒索病毒网络爆发事件至今已袭击了全球至少150国家或地区，包括教育、电力、能源、银行、交通、医疗、企业等多个行业均遭受不同程度的影响。

此次WannaCry勒索病毒已经不再是单纯的“炫技”，而是直接威胁到了每个人的数据财产、数据权利，乃至威胁到了社会经济和国家安全。

Petya

0x01 简介

2017年6月，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击，该病毒远程锁定设备，然后索要赎金。其中，乌克兰地区受灾最为严重，政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响，包括首都基辅的鲍里斯波尔国际机场（Boryspil International Airport）、乌克兰国家储蓄银行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄罗斯石油公司（Rosneft）和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

此次黑客使用的是Petya勒索病毒的变种，因此有人也称其为NotPetya，使用的传播攻击形式和WannaCry类似，但该病毒除了使用了永恒之蓝（MS17-010）漏洞，还罕见的使用了黑客的横向渗透攻击技术。在勒索技术方面与WannaCry等勒索软件不同之处在于，Petya木马主要通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动，故而其影响更加严重。如果想要恢复，需要支付价值相当于300美元的比特币。

由于这次攻击有很强的定向性，所以欧洲被感染的受害者较多，国内感染量较少。

0x02 Petya老样本介绍

2016年4月，敲诈勒索类木马Petya被安全厂商曝光，被称作是第一个将敲诈和修改MBR合二为一的恶意木马。木马Petya的主要特点是会先修改系统MBR引导扇区，强制重启后执行MBR引导扇区中的恶意代码，加密受害者硬盘数据后显示敲诈信息，并通过Tor匿名网络索取比特币。

Petya与其他流行的勒索软件的不同点在于，Petya不仅逐个加密文件，而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序，还创建了一个32个扇区长的小内核。

Petya的木马释放器会将恶意代码写入磁盘的开头。被感染的系统的主引导记录（MBR）将被加载一个小型恶意内核的自定义引导加载程序覆盖，然后该内核会进一步加密。 Petya的敲诈信息显示其加密了整个磁盘，但这只是木马作者放出的烟雾弹，事实上，Petya只是加密了主文件表（MFT），使文件系统不可读，来拒绝用户访问完整的系统。

0x03 Petya新样本介绍

病毒样本类型为DLL，有一个导出序号为1的函数。当这个函数被调用时，首先尝试提升当前进程的权限并设置标记，查找是否有指定的安全软件，后面会根据是否存在指定的安全软件跳过相应的流程。绕过安全软件的行为监控。

接下来修改磁盘的MBR，并将生成的Key，IV，比特币支付地址以及用户序列号写入磁盘的固定扇区。然后创建计划任务于1小时后重启。遍历局域网可以连通的ip列表，用于后续的局域网攻击。释放并执行抓取密码的进程，释放psexec进程用于后续执行远程命令。对系统的网络资源列表进行过滤，筛选本地保存的凭据，使用保存的凭据连接，成功后执行远程命令，进行局域网感染。

下一步生成随机ip，连接445端口进行永恒之蓝漏洞攻击。然后遍历磁盘，对指定扩展名的文件进行加密。执行完所有流程后，清除日志并强行重启。总体流程图如下：

0x04 Petya勒索蠕虫感染传播趋势分析

自6月27日在欧洲爆发的起，Petya勒索病毒在短时间内袭击了多国。根据360互联网安全中心的监测，对每一个小时的远程攻击进程的主防拦截进行了统计。从6月28号0点至6月28日晚上7点整，平均每小时攻击峰值在5000次以内。上午10点攻击拦截达到最高峰，后缓慢波动，在14点达到一个小高峰，然后攻击频率开始缓慢下降。由此可见，Petya的攻击趋势在国内并不呈现几何级增长的趋势，而是缓慢下降的，并不具备进一步泛滥的趋势。

除乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模的Petya攻击外，我国也遭受了同样的攻击。针对我国的攻击，主要集中在北京、上海、广州、深圳、香港等大城市，根据360互联网安全中心的监测，在全中国八十多个城市拦截到了攻击。

0x05 Petya勒索加密技术分析

Petya采用RSA2048 + AES128的方式对文件进行加密，程序中硬编码RSA公钥文件，针对每一个盘符都会生成一个AES128的会话密钥，该盘符所有文件均用该AES Key进行加密,加密流程如下图:

加密的文件类型如下：

当系统重启后，执行病毒的MBR，伪装成CHKDSK进行加密，不仅会加密MBR和MFT结构，也会将MFT对应的文件内容的前两个扇区进行加密加密，换句话说，Petya变种勒索蠕虫在系统启动时MBR中的代码执行时也会进行全盘文件的加密操作。结合RING3级别的勒索代码功能，Petya会对文件执行两次加密操作，第一次为Petya勒索蠕虫执行时，使用RSA与AES算法遍历文件系统对指定扩展名的文件加密，第二次为系统启动时，启动扇区的代码会通过遍历MFT结构定位文件内容并对文件使用修改的salsa20算法进行加密。

完成后弹出敲诈信息对用户进行敲诈：

0x06勒索病毒Salsa20算法实现的缺陷分析

对于RING3级别的文件加密过程，解密密钥可以通过勒索蠕虫作者的RSA私钥进行解密获得，而启动扇区级别的文件加密过程使用了随机密码进行，启动扇区级别的文件加密无法解密，但360CERT经过对修改版的Salsa20算法与原始算法对比分析发现存在两处变化，其中一处明显降低了标准Salsa20算法的加密强度，修改版Salsa20算法造成的差异会导致每隔64K块出现重复的核心函数输入项，这将极大影响这种加密算法的安全性。对此，算法攻击者只要已知连续4MB明文，就能解密全部密文。另外若已知若干离散明文块，则可解密部分密文，也可能解密全部密文（已知部分分布合适的情况）。

0x07小结

Petya勒索病毒早已被安全厂商披露，而Petya再一次卷土重来，肆虐欧洲大陆在于其利用了永恒系列漏洞、局域网感染等网络自我复制技术，使得病毒可以在短时间内呈暴发态势。

自5月份WannaCry勒索病毒爆发后，中国用户已经安装了上述漏洞的补丁，同时360安全卫士具备此次黑客横向攻击的主动防御拦截技术，故而并没有为Petya勒索病毒的泛滥传播提供可乘之机。

Bad Rabbit

0x01 简介

2017年10月，360CERT监测到有一起名为“坏兔子”（the Bad Rabbit）的勒索病毒正在东欧和俄罗斯地区传播，影响了俄罗斯部分媒体组织，乌克兰的部分业务，包括基辅的公共交通系统和国家敖德萨机场，此外还影响了保加利亚和土耳其。

“坏兔子”主要是通过伪装flash安装程序让用户下载运行和暴力枚举NTLM帐号密码的形式进行传播，使用“永恒浪漫”漏洞进行传播，感染形式上和此前的Petya勒索病毒相似，会主动加密受害者的主引导记录(MBR)。“坏兔子”在勒索赎金上有所变化，初始赎金为0.05 比特币（约280美元），随时间的推移会进一步增加赎金。

0x02影响面

经过360CERT分析，“坏兔子”事件属于勒索病毒行为，需要重点关注其传播途径和危害：

主要通过入侵某合法新闻媒体网站，该媒体在乌克兰，土耳其，保加利亚，俄罗斯均有分网站。在受害者访问时会被引导安装一个伪装的flash安装程序（文件名为 install_flash_player. exe），用户一旦点击安装后就会被植入“坏兔子”勒索病毒。

“坏兔子”样本主要通过提取主机NTLM认证信息和硬编码部分用户名密码暴力破解NTLM登录凭据的方式和“永恒浪漫”漏洞来进一步感染可以触及的主机。

“坏兔子”会试图感染目标主机上的文件和主引导分区，赎金会随着时间的推移而增长。

综合判定“坏兔子”勒索病毒通过“水坑”方式和“永恒浪漫”漏洞进行较大规模传播，且产生的危害严重，属于较大网络安全事件。

根据360互联网安全中心的统计，该木马主要在俄罗斯、乌克兰等东欧国家和地区流行。

0x03技术细节

传播信息

“坏兔子”勒索病毒通过链接 hxxp://1dnscontrol[.]com/flash_install.php 链接进行传播，该域名下的可疑连接如下：

整体行为

“坏兔子”勒索病毒感染初期，需要通过受害者手动启动下载名为 install_flash_player.exe的可行性文件，该文件需要提升的权限才能运行, Windows UAC会提示这个动作，如果受害者还是同意了，病毒就会按照预期运行，在感染成功后会试图通过NTLM登陆凭证暴力破解和“永恒浪漫”的漏洞进行传播。

“坏兔子”勒索病毒主要包括如下流程：

“install_flash_player.exe”会下载名为 infpub.dat 的DLL恶意载体。
infpub.dat会夹带和释放传播模块和文件加密模块。
合法的DiskCryptor加密模块，discpci.exe，包括32和64位。
2个疑似mimikatz模块。
生成IP信息，暴力破解NTLM登陆凭证，实现进一步感染。
该文件会被保存到C[:]\Windows\infpub.dat路径中。
Rundll32.exe 加载infpub.dat文件。
增加计划任务“rhaegal”启动discpci.exe实现磁盘加密。
增加计划任务“drogon”重启系统，并显示被勒索界面。
在暴力破解完成后，会试图利用“永恒浪漫”漏洞实现进一步感染。
创建感染线程，尝试对外感染。
重启前会主动删除部分日志信息。

流程图如下：

“坏兔子”勒索病毒在行为方面并没有太多的创新，具体的程序执行链可以直接通过360核心安全团队的沙箱平台分析出来：

“永恒浪漫”漏洞相关细节

BadRabbit疑似在暴力破解NTLM之后，还试图利用了“永恒浪漫”EternalRomance漏洞传播。

与之前Petya使用TheShadowBrokers中的shellcode不同，BadRabbit中的利用根据github上公布的python漏洞利用脚本修改而来：

https://github.com/worawit/MS17-010/blob/master/zzz_exploit.py

加密信息

加密手法并无太大新意，使用了上文中相同的RSA2048算法，这里不再赘述，勒索加密文件的类型如下：

而除了传统的加密文件之外，该木马还会创建一个名为dispci.exe的程序，而这个dispci.exe在重启之后会创建一个名为cscc.dat的驱动程序并与之通信，驱动的功能则和之前提到曾大规模爆发的Petya相似——通过修改MBR的方式劫持开机启动。感染成功后的logo:

0x04小结

根据监测，中国地区基本不受“坏兔子”勒索病毒影响。“坏兔子”勒索蠕虫虽然在传播范围上不及WannaCry，但在内部实现上却可以看出比之前WannaCry和Petya更为缜密，病毒作者在设计上是取其前者的优点并避开不足之处，同时也采用了前者没有利用的水坑攻击方式。

自“Shadow Brokers”发布泄漏的文件后已经超过大半年的时间，而微软公司也早就发布安全补丁。但是实际情况是今年利用永恒系列漏洞的勒索软件已经出现过多次，且每次都在全球范围引起了不小的轰动。然而让人无奈的是依然还有大量设备未对漏洞进行修复，这也是自 WannaCry 以来能够多次爆发蠕虫的原因。

针对各类数据库勒索事件

0x01 简介

2016年12月末至2017年1月初，国外部分用户发现自己MongoDB数据库的数据被黑客删除并发推引起了互联网的注意。黑客把数据库里的数据都删除了，并留下一张“warning”的表，里面写着如果想“赎”回数据，就给0.2比特币（约等于200$）到某比特币账户地址。

在接下来的时间中，陆续有更多的MongoDB数据库被黑事件曝光。该事件最早是由Harak1r1黑客组织发起的，后续有多达20个黑客组织跟进，他们勒索的赎金从0.1到1比特币不等，短短数天时间已有约3万多MongoDB中招；据不完全统计，3天之内被删除的MongoDB数据量超过100TB。

在接下来的一年中陆续发生了针对ElasticSearch、Hadoop、MySQL、Redis、PostgreSQL、CouchDB等数据库系统的入侵勒索事件。

这些公网上存在漏洞的数据库，被攻击者删除了数据库中的存储数据，并留下勒索信息，要求用户支付赎金。更有甚者直接清空数据库，并没有对数据进行保存，即使支付赎金也无法挽回损失。

0x02 攻击技术细节

在针对MongoDB、MySQL、Redis、ElasticSearch、CouchDB、Cassandra等数据库的攻击中，大多数的攻击只是利用了数据库软件本身的缺陷：如未授权访问、用户弱口令。在未授权进入数据库后一般会删除数据并留下联系方式进行勒索，甚至利用数据库本身的特性或者漏洞进行后续的攻击。

例如在开启MongoDB服务后，如不添加任何参数，默认是没有权限验证的。登录的用户可以通过默认端口无需密码对数据库进行任意操作（包括增、删、改、查等高危动作），而且可以远程访问数据库。

在针对MySQL的大规模勒索中，攻击者攻击以“root”密码暴力破解开始，一旦成功登陆，该黑客会获取已有MySQL数据库及其表的列表，TA在已有的数据库中新建一个名为“WARNING”的表，插入信息包括一个邮箱地址、比特币地址和支付需求。

在针对Redis的攻击中，主要是结合Redis未授权访问漏洞以及利用Redis写入文件的技巧，在用户目录下写入一个ssh的私钥，从而不用输入密码即可登录Redis所在服务器。

在针对ElasticSearch的攻击中主要利用利用了未授权访问漏洞。由于默认情况下没有任何身份认证，在建立连接之后可以通过相关API对ElasticSearch服务器上的数据进行增删查改等任意操作。攻击者会删除Elasticsearch所有索引信息，并创建一个名为warning的索引，勒索者写入需要支付0.2比特币才给受害者发送数据（目前按照比特币市场价格，约等于150美元），并留下邮箱地址。