登录 / 注册
IT168网络安全频道
IT168首页 > 网络安全 > 网络安全评论 > 正文

加密勒索病毒:诞生、忽视以及爆炸式增长

2018-01-08 09:17    it168网站 原创  作者: smart编译 编辑: 高博

  【IT168 评论】Cryptovirology(加密勒索病毒)诞生于安全专家对于一种新型软件攻击的科学好奇心,这种网络攻击技术将加密技术与恶意软件相结合,它起源于哥伦比亚大学。哥伦比亚大学的密码学家和IBM的安全专家对Cryptovirology进行了明确的定义,概述了勒索软件Ransomware的概念:利用恶意代码妨碍受害者文件的正常使用,只有支付赎金才能恢复正常。


  多年来,安全行业专家也积累了一批黑客在渗透计算机系统时遇到的非常规的科学问题,以及解决这些问题的方法和措施。

  人们通常会提出一个最常见的问题:最恶劣的恶意软件攻击对目标有多大破坏性?从人们的这个角度来看,这个问题大约在1995年就已经提出。当时很多人还不了解互联网,其中很多人第一次获得一个电子邮件地址。传统的家庭计算机很少联网。而当用户想要查看电子邮件时,必须使用拨号调制解调器上网查看。在当时,USB技术还没有诞生,人们采用3.5英寸的软盘存储文件。

  数千年来,密码学已经被视为一种纯粹的信息保护技术,特别是作为隐藏信息内容、保护数据安全以及验证用户的一种方式。而如今,却被居心不良的人利用密码学来进行勒索。

  早期的网络攻击者采用"AIDS Trojan"(艾滋病特洛伊木马)的对称密钥技术打乱受害者的文件名称,并要求支付赎金对其进行解密。从技术角度来看,这种攻击已经失效,因为解密密钥可以从木马的代码中提取出来。

  谈到病毒植入,人们会想起科幻电影《异形》中的怪诞画面。人们对外星人的面孔印象深刻,这个生物就像昆虫和章鱼的杂交物种,其名称为抱面虫(facehugger)。它将长腿缠绕在受害者的脸上,并将管子插入受害者的喉咙,其长长的尾巴紧紧勒住受害者的脖子,使其昏迷,然而将卵子植入受害者腹部,过了一段时间将会孵化成抱面虫(或异形女王),通过受害者的胃部爆发诞生出新的外星人。

  一旦产生接触,受害者没有办法安全地移除抱面虫(facehugger)。电影中的科学家们没有办法找到一种方法来安全地从受害者身上移走抱面虫。

  艾滋病特洛伊木马和抱面虫(facehugger)的病毒理念在人们的脑海中的定义是恶意软件的攻击可能会进化。人们致力于清除数字抱面虫(facehugger),即计算机病毒与其主机之间的强制共生关系,而在这种关系中,清除病毒比将病毒留在原处更具破坏性。

  但是人们发现这并不完全是其所追求的结果。人们发现了一种数据绑架攻击,并称之为加密勒索病毒。在加密勒索病毒中,网络攻击者为公钥密码系统生成密钥对,并将“公开密钥”放入加密勒索病中,而相应的“私有解密密钥”保持私密。

  加密勒索病毒将传播和感染许多主机系统。它通过混合加密受害者的文件来攻击主机系统:用本地生成的随机对称密钥对文件进行加密,并用公钥对该密钥进行加密。它将对称密钥和纯文本归零,然后建立一个包含非对称密文的赎金和联系攻击者的手段的文件。受害者将支付文件和非对称密文发送给攻击者。攻击者收到赎金后,采用自己的私钥解密非对称密文,并将恢复后的对称密钥发送给受害者。受害者用对称密钥解密他自己的文件。

  而这个私钥并没有提交给受害者。只有攻击者才能解密非对称密文。而且,受害者接受的对称密钥对其他受害者是无用的,因为它是随机生成的。

  安全专家在1996年的IEEE安全和隐私会议上提出了这个网络攻击以及抱面虫(facehugger)的比喻。这个发现被认为是一种创新的定义,虽然其称呼有些粗俗。多年以后,行业媒体将加密勒索病毒称为勒索软件。在会议文件中,人们提出电子货币也能够被网络攻击者勒索。这就是当今使用更加安全的比特币的原因。人们观察到,20年前所描述的这种行为其实就是现在每年获得约10亿美元赎金的网络犯罪行业所使用的确切的“商业模式”:勒索软件行业。

  人们发现,公钥密码学有能力打破反病毒分析师的观点和攻击者的观点之间的对称性。防病毒分析师的观点是勒索软件由恶意代码和它包含的公钥组成。攻击者的观点是勒索软件由恶意代码,公钥以及相应的私钥组成。恶意软件可以在受害者的机器上执行陷门单向操作,只有攻击者可以撤销。众多隐藏的隐秘病毒攻击都是基于这个给予攻击者的独特优势。这些方法把密码作为一种攻击工具,而不是以前的防御性用途。

  在2004年出版的““Malicious Cryptography: Exposing Cryptovirology””一书中,提出了如下的类比:Cryptovirology是指可以穿透计算机系统,并通过密码分析破解密码。这是对网络攻击者下一步行动的积极预测,并建议应制定和实施某些对策。为了防范加密勒索病毒,推荐了一个备份策略,并在没有勒索软件运行的地方搜索密码。安全专家公布了这些威胁和类似的威胁,也公布了其研究结果,从而为开发和部署安全防御措施提供了重要的开端。

  反病毒是一条充满着怀疑和批评的漫长之路。如今,人们已经认识到加密病毒勒索是一个严重的威胁。多年来,安全行业的厂商和专家举办了多次关于加密病毒学的讲座,也经历了各种攻击事件。但人们对此的观点并不一致:有人认为这个威胁是真实的。也有其他人则坚持认为加密勒索病毒是毫无意义的,因为除了删除硬盘数据之外,它没有向攻击者提供任何信息。还有一些人声称并没有受害者支付赎金。

  这本书在出版之后不久就遭到了严厉的批评。一位曾撰写过计算机病毒书籍的专家发表了评论,认为对那些认真参与恶意软件研究的人来说,这本书“实用性不大”。这个意见向公众表明没有必要担心勒索软件。专家将这种反应归因于许多人对新思想的内在抵触,特别是融合了两个以前不同学科的思想,在这种情况下,就是恶意软件和密码学。而对于人们来说,被称为“创新者困境”的困难也适用于积极应对威胁和风险。

  Cryptovirology(加密勒索病毒)已经证明自己是一个可怕的威胁。勒索软件攻击事件每天都会成为报道的新闻。其受害者包括个人、医院、警察局、大学、运输系统,以及政府部门。人们甚至还看到了“勒索软件即服务”的发展,其中加密病毒工具被出售给犯罪分子,这种犯罪分子实施了隐蔽病毒勒索。

  在过去一年,人们目睹了一个恶性循环:被袭击的组织越多,关于勒索软件攻击事件的新闻报道就越多,这促使越来越多的犯罪分子采取行动,又产生更多相关的新闻报道。媒体的报道放大了公民和网络罪犯之间的隐性病毒学意识。

  社会和法律对这种病毒损害的反应改变了“网络违规”的定义。此前,计算机漏洞与企业敏感数据的渗透是同义词,而其意义已经扩展到勒索软件。美国卫生及公共服务部最近公布的关于勒索软件和HIPAA的事实表明,当电子保护的健康信息被勒索软件加密时,就会发生违规事件,而其理由是网络攻击者已经控制了敏感的健康信息。这是计算机“违规”的定义中的一个重大变化,由于隐形勒索病毒的威胁,即使没有敏感数据被泄露,也可能发生违规。

  2017年2月,好莱坞长老会医疗中心的计算机遭到黑客入侵后被感染勒索软件,该医院采用支付了17,000美元的比特币用于恢复文件。这促使加利福尼亚州修订了“刑法”第523条,制定了一项新的解决勒索软件的法律--“SB-1137计算机犯罪:勒索软件”,明确规定将勒索软件引入计算机系统的意图是勒索钱财。根据路透社报道,2017年5月的WannaCry加密勒索软件在150多个国家攻击了20多万台计算机,此次攻击损失更加严重,因为组织和个人没有足够的努力去修补。

  安全专家最后指出,Cryptovirology也影响了流行文化,甚至激发了惊险小说作家Barry Eisler所撰写的小说《断层线》(Fault Lin)的创作灵感。

  多年来,人们看到安全厂商对于加密勒索病毒攻击并不情愿地描述和讨论对策。这是根本上有缺陷的,这是一种经典的“被动安全”现象(在攻击后采取行动),而不是预防性的“主动安全”。

  行业专家认为勒索软件只是冰山一角。大多数加密病毒的攻击本质上是隐蔽的,允许攻击者完全不被察觉地窃取信息。这些攻击可能会使绝大多数计算机事件响应小组陷入困境。

  加密勒索软件花费了20多年的时间才获得了全世界的认知,看来大部分的攻击都是朝着相同的方向发展:注定要被忽视,直到大规模对真实世界的进攻被公开。在此引用哲学家桑塔亚那的格言:“凡是忘记过去的人们注定要重蹈覆辙”,这似乎同样适用于加密勒索病毒。

  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫一扫关注

行车视线文章推荐

首页 评论 返回顶部