通付盾移动安全实验室全国首发2017移动互联网勒索病毒专项研究报告

　　2017年5月，一种名为WannaCry的勒索病毒肆虐席卷全球，不法分子利用NSA泄露的危险漏洞“EternalBlue”(永恒之蓝)传播。在这场全球性互联网灾难，据不完全统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。6月出现一种“Petya”变体勒索软件，相继欧洲多国遭遇勒索病毒袭击，政府、银行、电力系统、通讯系统、企业以及机场都不同程度地受到影响。

　　国内移动互联网已经成为新的主体，为了预防移动互联网勒索病毒大规模爆发，避免企业、个人遭受损失，同时也为行业监管机构提供政策制定提供移动互联网勒索病毒依据，通付盾移动安全实验室依托多年专业的移动安全的服务能力和技术积累发布《移动互联网勒索病毒研究报告》，对勒索病毒形式、产业链等进行了系统的专业分析，希望引起大家对移动互联网安全重视，保障中国移动互联网安全。

　　    

　　查看完整报告，请在“ 通付盾移动安全实验室”公众号回复关键词“勒索病毒”。

　　一、 移动勒索病毒综述

　　2017年5月份，WannaCry“蠕虫”式勒索病毒全面入侵，对PC端造成了严重危害。随后，其变种病毒逐渐向移动平台蔓延，严重威胁了移动平台的安全。作为移动互联网的重要载体，智能手机、平板、可穿戴设备等移动终端设备都有可能成为勒索病毒的攻击目标。移动终端中保存着大量的个人数据，一旦遭受攻击，很可能造成隐私泄露、财产损失等危害。

　　1.历史追溯

　　勒索病毒最早可追溯到1989年，随着互联网技术的不断发展，勒索病毒也在不断的演变进化。2014年以Koler为首的家族勒索病毒在Android平台大面积爆发，勒索病毒实现从PC端到移动端的转变。各类变种病毒在移动互联网中肆意传播，2016年至今，勒索病毒持续增长。据统计，5月份爆发的WannaCry“蠕虫式”勒索病毒在席卷全球仅仅一天的时间就有242.3万个IP地址遭受该病毒攻击，近3.5万个IP地址被该勒索软件感染，其中我国境内受影响IP约1.8万个。高校、医院、政府、企业等单位为主的网络大范围瘫痪。台湾、北京、上海、江苏、天津等地成为受灾重区。随后，在移动端发现大量“WannaCry”勒索病毒变种。

　　    

　　2.传播形式

　　虽然在各类应用程序中的表现形态不尽相同，但是其传播形式却大同小异，主要通过伪装、诱骗的手段吸附在各类应用程序中，具体表现为：

　　1. 伪装成游戏、社交软件、时下流行软件的插件等，当用户运行时，终端界面就会被恶意程序自身的界面置顶，并无法进行操作；

　　2. 勒索病毒子包隐藏在资源文件中，系统后台自动安装运行，并将子包复制到系统目录下，伪装成系统应用。

　　3.实现形式

　　勒索病毒表现出的流氓属性十分强烈，根据其攻击目的对被攻击者的终端进行操作及系统的破坏，强制被攻击者付费后被攻击者终端才可以被解锁，否则一般被攻击者将无法对其终端进行继续操作。

　　多数勒索病毒实现需要申请系统权限或者激活设备管理器权限，两种主要实现方式如下：

　　1. 控制手机悬浮窗属性制作一种特殊的全屏悬浮窗并强制置顶；

　　2. 通过直接激活设备管理器，设置系统解锁密码，被攻击用户因无法得知解锁密码而无法对手机进行操作。

　　4.赎金形式

　　不同于PC端勒索病毒，移动端勒索病毒支付赎金的方式比较简单、灵活，除了比特币支付外，还可以进行微信支付、QQ支付、支付宝等直接转账支付形式。此类勒索单次支付金额较低，但存在重复勒索，关卡收费的情况。以QQ支付为例，被攻击者在解锁过程中需要缴纳入群费、解锁费甚至学徒费。

　　赎金缴纳类型示意

　　    

　　二、勒索病毒威胁分析

　　我们对《网络安全威胁信息共享通报》(以下简称《通报》)中勒索病毒作专项调查和分析，以《通报》中216个勒索病毒样本为分析对象，基于通付盾全渠道应用监测平台，实现对全网勒索病毒数据的挖掘与分析，共发现5万余个含关联恶意行为的恶意应用。下面我们将从攻击目标、传播来源、威胁行为三个方面对勒索病毒进行威胁趋势分析。

　　1.伪装类型分析

　　根据挖掘出的恶意样本数据分析，我们发现恶意应用主要伪装成外挂、插件等。其中QQ抢红包、刷钻助手、王者荣耀辅助、黑客工具箱、神器等应用名称频繁出现且占比较大。

　　全网勒索病毒分布图谱

　　    

　　根据勒索病毒应用名称，主要可分为社交类、游戏类、免流插件类以及视频四类。其中，社交类软件已成为恶意攻击的首选，全网勒索病毒中共发现28143个社交类应用，占总数的55%；其次是免流插件类软件，共9732个；游戏类软件作为移动端热门应用，同样也是勒索病毒攻击的高发区，全网共发现6754个相关勒索病毒，排名第三。

　　2.传播来源分析

　　a. 地域分析

　　根据全网的勒索病毒数据分析结果来看，勒索病毒主要分布在互联网发展较好地区或邻近地区。就国内而言，勒索病毒主要来源于监管不严的、审核机制不完善的小型应用市场，从应用市场地理分布来看，勒索病毒的攻击区域主要集中活跃在广东、北京、湖北等互联网行业发展较好、经济较发达的省市，其中，广东省勒索软件发生频次最高，捕获恶意勒索病毒样本876个。其次是北京地区，捕获恶意勒索病毒样本873个。

　　    

　　 b.病毒开发者分析

　　我们对《通报》中的恶意样本进行逆向分析，发现不同病毒样本在代码结构上存在很多共性，且不同病毒开发者之间具有关联性。我们对勒索病毒样本中预留的QQ号以及开发者信息进行追踪，共发现近百个个具有代表性的QQ群组，数万人受影响。该类QQ群在作为解锁赎金收取渠道之外，群内还通过百度云、贴吧等方式售卖锁机源码、教程、插件、教学视频，传播勒索病毒。受害者加入群之后，解锁后往往被诱惑成为黑产下线，利用群内兜售的教程向他人发起二次攻击，转变为“菜鸟黑客”，进一步扩大病毒的传播范围，影响恶劣。不同QQ群成员之间具有关联性，且成员的个人信息一般设定为00后、90后学生。

　　攻击者攻击模式示意图

　　    

　　我们对抢红包和王者荣耀皮肤两类勒索病毒中共同发现的锁屏信息进行攻击者溯源分析，追踪到以推广和售卖锁机源码、抢红包、免流插件、秒赞工具等为主的“彼岸花技术”黑产团队，该团队以QQ群、网店的形式活跃，通过百度网盘传播勒索病毒，人数总计数百人，相关联群成员总数达千余人。除了进群时需要支付费用之外，群内源码、工具的获取也需要另外付费。下图展示“彼岸花技术”团伙的溯源过程，我们可以看出，大部分病毒开发者之间相互关联。

　　“彼岸花”团队溯源分析图

　　    

　　威胁行为分析

　　我们对活跃度集中区的勒索病毒进行分析，根据锁屏实现方式，大体将勒索病毒威胁行为分为两大类：一类是通过修改设备的开机密码来实现，另一类是通过控制悬浮窗置顶属性来实现。

　　这两类锁屏在实现流程上存在共性，首先，通过伪装获取设备的系统权限；然后，通过系统权限直接激活设备管理器，修改系统开机密码，或控制手机悬浮窗强制置顶属性，使用户无法正常使用设备。同时，有些勒索病毒为防止被破解，设置可反复锁屏机制，即用户在破解第一层锁屏之后会出现第二层锁屏，反复循环。最后被攻击者需要通过被锁屏幕中预留的QQ码、邮箱、手机号等信息联系勒索者缴纳赎金方可解锁。下图展示了勒索病毒实现的具体流程。

　　勒索病毒实现流程图

　　    

　　三、 威胁趋势分析

　　1.勒索病毒活跃度总体呈上升趋势

　　本次报告中，我们采样的数据为2016年9月到2017年9月全网范围内的恶意勒索病毒，从分析结果来看，勒索病毒活跃度总体呈上升趋势，每月新增病毒数持续增加。其中，2017年4月份勒索病毒急剧增加，新增病毒总数达812个，比3月份增加了160.2%。国家互联网应急响应中心从4月份起发布一系列勒索病毒通报，相关单位和部门对勒索病毒采取了一定的防御措施。5月份之后，虽然勒索病毒总体仍然处于上升趋势，但每月病毒新增速度有所放缓。9月份新增219个勒索病毒，增长速度有所下降但仍然相当活跃。

　　    

　　2. 勒索病毒仍将主要攻击经济发达地区

　　从恶意样本的地理分布图中可以看出，勒索病毒主要活跃在广东、北京等互联网氛围较好地区。2016年9月份到2017年1月份，勒索病毒集中活跃在北京、广东、湖北经济发达地区，2017年2月至5月份，勒索病毒活跃范围在原来的基础上向湖南、福建、安徽、四川、天津等邻近省市扩散，直至9月份，北京、广东仍然是勒索病毒攻击的重灾区，除此以外，在上海、浙江等经济发展较好的省市也发现了勒索病毒的踪迹并且数量逐月增加，经济发达地区仍将是勒索病毒的主要攻击目标。

　　    

　　    

　　    

　　勒索病毒查杀成本或将提高

　　为了逃避安全产品的查杀，病毒开发者开始利用各种手段，提高病毒免杀能力。我们在逆向分析病毒样本时发现，部分勒索病毒使用加密平台进行加密保护，不仅难以破解，而且加密过后能够躲过病毒防御类产品检测查杀。某些加固产品无安全认证机制，免费为各类开发者包括病毒程序开发者提供加密服务。经过此类加固平台加固的病毒，恶意代码被隐藏，查杀难度增大，提高了查杀成本。下图为捕获到的使用某加固平台加固后的病毒样本代码示例。

　　使用加固平台加密的病毒样本截图示意

　　    

　　四、总结与展望

　　   1. 不法收益诱惑下的网络攻击仍将持续

　　当移动端遭受恶意攻击时，被攻击者通常为非专业技术人员，比起报案或请求技术破解，绝大部分被攻击者更愿意“主动”交费以解除威胁。而攻击者的主要目的就是通过非法手段索取钱财，从这一角度来看，移动端具有“诱人”的黑色收益，且这种收益并不会随着技术的创新或防御手段提升而减少，反而攻击者利用用户的依赖心理表现的更加肆无忌惮，移动端的勒索攻击将持续发生。

　　   2. 社会工程学成为主流攻击手段

　　勒索攻击在社会工程学中的主要表现为直接诱惑和利用好奇心理达到攻击目的。直接诱惑中，攻击者将恶意程序乔装成与用户利益直接相关或有利可图的助手软件，如在社交类软件中，“红包”几乎是聊天必备，“抢红包”作为一种新型庆祝和游戏方式十分受用户欢迎。攻击者利用红包的诱惑伪装成红包助手类应用诱导下载，如“秒抢红包”、“红包速抢”、“红包外挂”等带有直接诱惑性的词语。另一种不同的心理攻击方法则是利用人的好奇心理，通常恶意应用的名称带有一定的“劝诫或阻挠”意义，如勒索软件“不要点我”、“千万别点开”等。当用户“不听劝诫”点开软件图标则面临系统锁住的危险。

　　   3. 勒索攻击低龄化、团体化

　　以00后、90后为主的互联网技术爱好者、学习者在金钱的诱惑下或为满足自身的欲望逐渐成为“新人”黑客，在网络攻击中占比较大。病毒开发者呈现低龄化趋势。此类“菜鸟黑客”由于年龄小，缺乏健全的法制教育，自身抵制诱惑的能力较弱，在非法收益驱动下，对网络攻击的热情相对较高。虽然“菜鸟黑客”散布的病毒目前没有达到完全免杀，但技术能力仍然持续提升。“菜鸟黑客”攻击范围日益扩大，难清理、难监管，逐渐成为网络攻击的主力军，需要重点打击。

　　    

　　4. 攻击团伙较为集中，存在市朝攻击服务

　　勒索病毒开发者之间相互关联，攻击团伙相对固定。从捕获到的病毒样本分析来看，虽然威胁行为相同，但收款账号信息却不尽相同，我们认为同一勒索病毒程序在反复流转过程中如锁屏图片、收款信息等部分信息可根据需求实现定制化，地下黑产行业已由原先的“个体户”变成“服务商”。恶意程序、锁机工具等开发者团队或视频教程、源码售卖团队担当“源码服务商”的角色向黑产下游团队提供丰富的用户数据资源以及攻击技术，并形成完整的攻击方案，使得地下黑产行业运作流程市朝。此类服务的提供，缩短病毒开发的周期、降低成本，使得攻击收益大幅提高。