【51CTO.com快譯】2016年是勒索軟件危害擴大的一年。網絡犯罪者使勒索軟件進一步惡化，成功地將企業或個人用戶的重要數據作為人質來要求更多的贖金。去年最新被確認的勒索軟件截止到2016年9月末已經達到146家族，與2015年的29家族相比大幅度增加了。以這樣的背景下，在平臺、功能、手法上進行全面改良的網絡犯罪者橫行于世。

瞄準智能手機用戶的新型勒索軟件威脅已經被確認了。以及，其他的瞄準操作系統的勒索軟件也被制作出來，面向會員們和新加入的網絡犯罪者的地下黑市上出售。用于Linux系統的最初被制作出的勒索軟件“Linux.Encoder”是惡意利用存在于Web網頁插件或EC網站平臺“Magento”等軟件中的漏洞，攻擊Linux的Web主機系統。瞄準Mac OS X的勒索軟件被確認是“KeRanger”。該勒索軟件被確認為偽裝成被篡改文件共享應用程序和Rich文本格式(擴展名“RTF”)文件的非法Mach-O文件。

這些勒索軟件的共同特征是“瞄準Unix系列”。Unix是使用命令行的多用戶操作系統。使用一元化的文件系統和Shell、命令語言等簡易且強有力的工具運行多項任務。根據其移植性和程序員的人氣進行普及，衍生至Linux和Mac OS X等各種其他的系統。

“Linux.Encoder”(上)和“KeRanger”(下)的加密化程序庫的相似點。兩者都利用了提供SSL/TLS加密功能的“ARM mbed TLS”

圖2：“Linux.Encoder”(左)和“KeRanger”(右)的函數名稱的類似點(摘要)。由于兩者都存在相同函數的理論，“KeRanger”有可能是“Linux.Encoder”的另一種寫法。

◆瞄準Unix的勒索軟件處于“基礎工程中”

無論哪個勒索軟件都被視作典型的Windows版勒索軟件的感染手法，但是入侵時則無需用戶的參與。“Linux.Encoder”是惡意利用了安全上缺點。

“KeRanger”的特征是可回避檢驗下載應用軟件開發商署名的Mac OS保護功能“Gatekeeper”，竊取Apple的正規證明書。從被雙方勒索軟件利用的Packer、加密化程序庫、函數名、恐嚇信、以及構造上的相似點看，“KeRanger”很可能是“Linux.Encoder”的重新編譯版。

通過對可以說是瞄準Unix系列勒索軟件先驅的勒索軟件進行分析，能夠預測網絡犯罪者的瞄準目標以及最終目標。例如，“KeRanger”可加密或消除內置于Mac OS X里的備份功能“Time Machine”，具備未使用的功能。利用勒索軟件的開源代碼制作的“Linux.Encoder”為了修復加密活動的不完善，被多次更新。感染“Linux.Encoder”的Linux服務器數量很多，第三個版本在世界上已有600臺以上的服務器受到感染。

瞄準Unix系列的勒索軟件目前或許還處于實驗階段，但是通過以Linux和Android等、Unix系列OS為對象的其他家族的登場，不知從何處開始產生分歧，為了盡可能地擴大攻擊對象增加受益不知會搭載何種功能越發趨于明朗化。以下是比較有代表性的瞄準Unix系列勒索軟件家族列表。

·KillDisk(RANSOM_KILLDISK.A)

·Rex(RANSOM_ELFREXDDOS.A)

·Encryptor RaaS(RANSOM_CRYPRAAS.B)

·KimcilWare(RANSOM_KIMCIL)

·Svpeng(ANDROIDOS_SVPENG)

·Koler(ANDROIDOS_KOLER)

·Synolocker(RANSOM_SYNOLOCK)

·CryptoTrooper(RANSOM_CRYPTOTROOPER)

·PHP Ransomware(PHP_CRYPWEB)

已經被確認的是2014年Linux版勒索軟件“Synolocker”。關于“CryptoTrooper”和“PHP Ransomware”，與“Linux.Encoder”一樣，被證明存在惡意利用以教育為意圖被公開的開源代碼的危險性。

◆Unix系列OS是勒索軟件的狩獵場嗎

但是，Unix系列OS不是勒索軟件那樣粗暴的威脅容易瞄準的平臺。從市場份額和利用人數來看可以說，其區別在于也可由結構引起。例如，類似Linux的Unix系列OS軟件可以從源文件或被檢驗的儲存庫進行匯編。另外，即使是在許可過程中，較難得到訪問和加密文件所必需的權限。反之，Windows用戶賬號控制(UAC)功能，使用標準用戶權限被限制軟件的使用且不能隨意更改，但是很多時候，程序員容易得到系統的變更許可，而且組織上用戶也容易得到管理者權限的訪問許可。雖說如此，Unix也不是絕對的安全。可通過遠程執行代碼，利用過程調用的漏洞，以及社會工程學的郵件，無論采用哪種方法，都有可能存在索軟件入侵系統的威脅。

雖然瞄準Unix系列的勒索軟件的活動正處于摸索階段，但已被廣泛應用于服務器、工作站、Web應用程序框架、數據庫、移動設備等領域。考慮到Unix的普遍性，今后安全上可能存在更大的課題。搭載Unix系列OS設備活用于IT服務業、教育、醫療、金融、零售、媒體、制造等各種業界中。例如，Linux系統是大多數主機服務提供商和存儲服務提供商的主流，多數的客戶端需要同時管理各種Web網站。類似數據中心的組織，作為不允許終端的基礎業務操作執行平臺，離不開Unix系列的系統。

◆如何盡量避免被勒索軟件入侵

IT管理者與信息安全專家不可忽視系統管理的必要性。如果被勒索軟件入侵的話，會出現妨礙公司正常運營、失去信用、利益受損等危害且遠不止于此。

Linux的系統管理者不使用未通過驗證的第三方存儲器，或者需要使用的時候要充分考察清楚。Linux為了軟件包下載持有中央存儲庫，有權限的用戶可下載未驗證的第三方存儲庫。對于處理不使用權限升級的漏洞威脅，有必要限定擁有訪問權限的用戶。“root”用戶的登錄不可運行默認登錄功能，但是由于root用戶權限在被許可的情況下可運行，因此系統管理者和IT管理者可使用root用戶權限執行命令，有必要限制“sudo”用戶的追加。

根據權限限制，限制了程序員對Linux系統的添加更改，可大幅度強化安全。通過定期性的審查與維護，最小化運行中的服務和無效化不必要的服務等的操作可減輕被攻擊的風險。對于被進行了錯誤設定的程序，請使用Linux安全擴展功能。根據該功能，程序員在可訪問文件或互聯網資源的范圍內進行訪問管理控制(MAC)政策，防止非法程序或錯誤構成的程序引起的危害。入侵檢測系統的安裝，持續監視的運行，以及可疑日志的檢查，對系統的試圖入侵以及實際攻擊的早期檢測起到很大的作用。

最新更新程序的適用使系統保持最新狀態，對重要的企業資產數據進行定期的備份，以及有必要對企業周邊環境進行確認與保護。系統管理者需要對勒索軟件通常使用的可疑文件、應用程序、程序、互聯網活動引起注意。企業和個人用戶需要對網關、終端、互聯網、以及服務器全區導入多層次的安全防護手法。

【內容來源】Trend Micro Security Blog

【原標題】「Linux」と「Mac OS X」を狙うランサムウェアの解析から今後の動向を予測

【原鏈接】http://blog.trendmicro.co.jp/archives/14499

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】