Arkview之勒索软件思考

作者:{Wellee, whiteater, YSYY, Biubiubiu2}@ArkTeam

2017年,勒索攻击可谓人尽皆知,Wanacry的阴影还未消散,Petya勒索攻击随之而来,大量企业和基础设施被感染。

此次Petya攻击席卷了乌克兰、欧洲、美国和俄罗斯境等众多国家的政府网络。不同研究组织对Petya分析,认为其以勒索之名,行破坏之实,很可能是一场国家级别的网络攻击。Petya加密过程复杂,勒索支付流程简单粗暴(受害者需通过指定邮箱联系黑客进行解密),其显然不是为获取经济利益,勒索行为就是其伪装和掩饰,其关键在于破坏数据。同样,WannyCry事件中,有研究人员先发现了“开关”域名,国外研究人员率先发现WannyCry私钥存于内存中未被释放而写出真正的解密工具。Arkteam认为,WannaCry和Petya事件已经给我们敲响了国家间网络对抗的警钟。

众所周知,内网渗透往往是内网窃密的先决条件,并且后者难度明显高于前者。隔离内网大多存在软件版本老旧、更新不及时等问题,因此渗透进入内网并进行攻击平移并不十分困难,但是,因为通信与外界隔离,窃密难度很大。这恰好是勒索攻击的优势所在:传播渗透以及造成数据不可逆转的破坏。此外,国家间勒索攻击的另一层意义是,也许能够赚些外汇!

勒索软件愈演愈烈,打着勒索旗号攻击目标国家重要政务网络和基础设施,进行数据破坏,制造混乱,也可以很大程度达到攻击效果,并且十分具有迷惑性和破坏性。“勒索软件”很可能即将成为一种新型网络武器。

发表评论

电子邮件地址不会被公开。 必填项已用*标注