解密性勒索攻击
网络攻击的新浪潮
想象一下收到一封主题为您的用户名和密码的电子邮件。邮件内有一个PDF文件,已使用邮件正文中提供的密码加密。您会怎么做?发件人已经证明他们知道您是谁,您可能想知道他们还掌握了什么以及他们要求什么,对吧?
上个月,我亲身经历了这种情况。
尽管我认出了邮件中的凭据,但多年前我已将所有账户转换为密码库管理,因此邮件中的密码毫无价值,但这确实激起了我的兴趣!
让我们来看看发生了什么!首先,我想通过威胁模型进行思考。我应该关注哪些威胁,然后思考如何缓解每个关注点。
我的当前威胁模型
在思考这封邮件攻击时,我考虑了以下威胁和关注点:
- 他们知道我打开了邮件,因为邮件中嵌入了邮件跟踪器
- 他们入侵了存储我密码的系统之一(我是否重复使用了该密码?)
- 他们会在打开PDF时立即知道,因为PDF中有跟踪器或漏洞利用代码
- PDF加载了恶意软件,试图在我打开时感染我
- 他们收集了关于我的其他数据
让我们逐一分析。
他们知道我打开了邮件
我对隐私非常偏执,因此我积极关闭电子邮件客户端中加载远程图像和内容的功能。因此,他们可能没有收到我阅读邮件的自动响应。我设置此功能是为了防止销售和营销推广的垃圾邮件,但讽刺的是,这封邮件感觉并无太大不同。
我好奇如果以更宽松的安全设置打开邮件会发生什么,因此我查看了邮件源代码。令人惊讶的是,它是标准的base64编码纯文本,没有跟踪器。也许这是为了掩盖攻击者的行踪,或者他们只是忘记添加了。无论如何,没有跟踪器是好事。反正我也不会对这些攻击者进行报复攻击。
他们入侵了我使用的服务之一
攻击者已经证明他们知道我的一个账户的有效凭据,但邮件中的密码是很久以前的。事实上,它是在我开始使用密码管理系统之前的密码,因此提供的密码在当时确实有相当程度的重复使用。根据用户名,我怀疑这些是2012年LinkedIn被入侵时我使用的凭据。讽刺的是,我在那次入侵发生时写了一篇文章。您可以在这里阅读: whoisjoe.com | LinkedIn应该如何处理您的密码 。幸运的是,密码存储指南仍然适用!
由于这是一个我很久未使用的密码,我的假设是他们廉价购买了一份破解的凭据列表,并编写了一个脚本来诱使人们支付赎金。
他们会在打开PDF时知道
我真的很想知道PDF中有什么,但我假设它要么加载了恶意软件,要么至少有一些跟踪器,以便他们知道何时打开它。
首先,我对加密的PDF进行了一些梳理。从中我只得到创建、修改日期和其他基本元数据。有趣的是,我看到的日期与邮件发送的日期和时间完全相同。这让我对我的脚本化邮件活动理论更有信心。
我将文件上传到VirusTotal,该工具会针对一组病毒扫描程序检查文件。我假设它不会发现太多内容,因为文件已加密,但这是一个好的起点。正如我所假设的,所有扫描程序都没有发现文件中有任何异常。
PDF加载了恶意软件或跟踪器
是时候启动虚拟机并检查打开PDF时会发生什么了。我启动了一个干净的Kali Linux版本,更新它,将文件移动到虚拟机,关闭对主机文件系统、网络、驱动器等的任何访问,然后继续。
我想解密文件并对其进行更多分析。在PDF查看器中最终会丢失大量信息(并以这种方式执行代码),因此我想尽可能延迟代码执行时刻。 QPDF 允许我解密而无需将PDF加载到阅读器中。因此,我这样做了,然后重新上传到 VirusTotal (再次没有结果)。恶意软件可能只在阅读器中解密后执行,因此再次上传到VirusTotal将给我另一个双重检查恶意软件的机会。
接下来,我对文件运行strings以查看是否有任何内容弹出。Strings是一个很好的工具,用于查找可读的ASCII文本的连续块。这有助于查找密钥、消息或其他提示,以了解我可能在文档中找到的内容。不幸的是,没有显示任何有用的内容。
此时,我准备打开PDF。尽管虚拟机逃逸确实存在,但我相当确定我在这里处理的不是国家行为者,因此我认为我的虚拟机、网络等保护足以阻止它回连。虚拟机逃逸是针对虚拟机主机的攻击,允许攻击者访问或攻击我的主机机器。这些攻击很少见,并且难以在完全打补丁的系统上执行。如果我是乌克兰员工,打开来自俄罗斯的内容,我可能会采取更多预防措施。但由于这看起来只是比垃圾邮件高一个层次的复杂攻击,我并不担心。
我仍然好奇文档是否可能利用我的阅读器或尝试访问网络。我在后台运行netstat以捕获尝试的连接。我也可以在这里运行 ltrace 和 strace ,或在调试器中运行整个事情,但由于当前的风险水平,我选择不这样做。ltrace和strace通过列出库、系统调用和其他进程状态变化,更深入地了解应用程序在做什么。
我抱着最好的希望打开文件。文件很快在我的默认PDF阅读器中加载,并且似乎没有恶意软件。netstat中没有报告任何有趣的内容,也没有其他意外行为的证据。
他们拥有关于我的其他数据
我阅读了PDF中包含的消息。这是一个相当标准的“性勒索”消息。他们声称拥有我的一些敏感照片,如果我不向比特币地址发送资金,他们会将照片发送给我的联系人列表。
哎呀,如果我相信这条消息,这会非常可怕。不幸的是,许多收到此消息的人可能会觉得它更有说服力。利用人们的恐惧来获取经济利益是不对的。这种剥削是可怕的。
进一步阅读消息,看起来这是我的“第二次警告”。我一定是完全错过了第一条消息。我想我的垃圾邮件过滤器第一次就完成了任务。
到目前为止,我所看到的一切让我相信这是一个针对他们数据库中任何人的不复杂攻击。更高级的攻击者可能会在我的机器上植入恶意软件或回连到命令和控制系统。拥有这些技能的人也会具备入侵我的系统之一以收集他们声称拥有的数据的技能。叫他们的虚张声势有点风险,但我不认为他们有执行攻击的技能。
最终,对我来说,这只是一个有趣的机会,提醒我自己在做这类工作时喜欢使用的所有小工具。思考我能想到的每个威胁和攻击的各个方面,或者思考如果我想执行这种攻击我会如何做,是很有趣的。
一切旧事物又变新了… 攻击系统以窃取数据并勒索受害者支付赎金,在访问远程服务器和外泄数据是主要攻击向量时曾经很流行。有一段时间,它被勒索软件攻击所取代,后者更容易执行。如果您是拥有犯罪数据或 simply 不想公开的数据的个人或组织,您可能会被一条消息诱惑,说您的数据将被公开,除非您支付。
最近,一个名为“Shadow Kill Hackers”的组织声称从 约翰内斯堡市 窃取了数据。他们表示,除非该市支付4比特币(约37,000美元)的赎金,否则他们将公开数据。
这使该市处于非常困难的境地。如果他们不支付并且数据公开,他们将陷入真正的麻烦。但如果他们支付,他们给攻击向量赋予了价值,并且无法保证黑客销毁数据。是什么阻止这些道德误导的剥削者下次需要额外现金时再次这样做?
我不是国际黑客谈判者,但支付这些赎金似乎是完全错误的举动。它鼓励这种行为并且没有提供任何保证。
您可以做什么?
首先要知道的是,我看到的攻击很常见。它通过利用受害者的恐惧来工作。它只在规模上有效,因为大多数人不能或不会支付赎金。购买一份受损凭据列表并尝试对每个人进行此攻击的成本非常低。黑客必须管理的物流和曝光度要大得多。他们必须确保跟踪截止日期,发送后续电子邮件,并且只对超过截止日期的人发布数据。这工作量太大,他们还不如找份工作。
假设您的数据相对安全,意味着它存储在您的计算机上,或具有安全密码的云服务提供商上,执行此攻击相当困难。除非我们看到对您的设备或像Dropbox或iCloud这样的云提供商的大规模攻击,否则您可以放心,像我收到的这样的声称是没有根据的。
不过,对我刚才所说的有一些警告,您确实需要遵循尽职实践以确保您的数据安全。如果您是高风险人物,如高调个人或组织,这一点加倍重要。显然,约翰内斯堡市需要关注。如果您符合此描述,请采取正确的步骤保护您的数据。将敏感数据远离共享系统,使用强密码和双因素认证,保持系统最新,并深思熟虑地对待您上传数据的信任。一点偏执可以带您走很长的路。如果您控制您的数据,您就从黑客手中夺走了权力。