[[193372]]

2017 年 5 月 12 日 20 時，全球爆發大規模比特幣勒索感染事件。美國、英國、俄羅斯、中國等多個國家都遭到了 WannaCry 勒索軟件的攻擊。一時關于比特幣勒索的相關報道呈井噴之勢，充斥于媒體報端。但多數內容不是流于表面，就是過于片面化，并不系統。經過多年對比特幣勒索的密切關注和深刻理解，安華金和攻防實驗室總結整理出頗具技術含量的比特幣勒索發展報告，以下報告以比特幣勒索為研究對象，以比特幣勒索的發展為綱，嘗試為各位勾勒出一副全面的比特幣勒索的攻擊和防護建議圖。

比特幣勒索

在比特幣勒索事件頻發，影響越發嚴重的今天，深入理解比特幣勒索，有助于我們更好地為客戶提供安全服務和安全產品。簡單地說，比特幣勒索的核心就是“要錢”。黑客利用某些技術手段阻止受害者正常訪問數據或電子設備，通過逼迫、恐嚇或威脅受害人的方式，已達到騙取贖金的目的。通常，黑客會給出交付贖金的時間，并威脅超過規定時長之后，贖金將翻倍或數據會被清除。

比特幣勒索的危害不單是伴隨勒索帶來的經濟損失，更多的是因為勒索攻擊造成醫療、金融、零售等行業服務中斷，從而引發的經濟、信譽、時間等方面的損失。美國圣地亞哥州一所醫院遭到比特幣勒索攻擊，最終所有醫生無法使用電子設備，只能通過紙筆重新為病人服務。正是沒有電子設備的輔助，醫生無法準確判斷病人情況，造成多起病情延誤，給病人以及家屬帶來無可挽回的損失。

早期的比特幣勒索

現今，比特幣勒索發生頻率日益頻繁，已經引起了各方的重視。很多人以為比特幣勒索是新出現的黑客攻擊方法。但實際上，比特幣勒索并非新鮮事，最早在 1989 年就出現了第一款比特幣勒索軟件，而后直到 2005 年才開始廣泛使用。隨著計算機技術的發展，2005 年到 2015 年的 10 年發展中，比特幣勒索經歷了四次技術形態的進步。每次技術進步都在多個方面進行了優化，最終逐漸形成了現在的比特幣勒索軟件。由于歷史所限，每種技術都在一段時期內占據著主導地位。2005 年到 2009 年之間冒牌應用軟件興起;2010、2011 兩年間“假殺毒軟件稱雄”;2013、2014 年以鎖勒索為主;2015 年之后比特幣勒索就逐漸進入加密勒索為主的時代。

勒索軟件家族大事件表

由于歷史所限，每種技術都在一段時期內占據著主導地位

現在比特幣勒索是一種結合了社會工程學、軟件漏洞、蠕蟲病毒、TOR 網絡等多種技術的黑客攻擊手法。在歷史上比特幣勒索也經歷過初級階段：冒牌應用軟件和假殺毒軟件。這兩者更多應用的是社會工程學，勒索的方式主要利用客戶對安全的無知。冒牌應用軟件時代出現在 2005 年，當時出現很多輔助操作計算機的第三方工具。黑客編寫了會引起計算機異常的第三方系統工具供客戶使用，客戶使用操作系統出現各種問題，黑客再向客戶收取計算機維修費和安全檢測費用，通過這種方式詐騙錢財。

接著 2009 年殺毒軟件大規模興起，很多黑客編寫能偽造安全問題的殺毒軟件，客戶使用偽殺毒軟件很快就能發現很多根本不存在的安全問題。這時候假殺毒軟件以修復安全點為由，向客戶進行收費。每個假安全隱患收費在 40 美金到 100 美金之間。為了取得用戶的信任，黑客偽造的殺毒軟件，會在風格和樣式上和當時最流行的殺毒軟件保持一致。

黑客偽造的殺毒軟件，會在風格和樣式上和當時最流行的殺毒軟件保持一致

但這兩種方式存在弊端，即黑客難以避免和受害人相接觸。如此一來，黑客一旦被發現就極易被執法機關抓捕，所以在 2012 年之后這兩種方式逐漸偃旗息鼓，與此同時，鎖勒索和加密勒索逐漸占據了整個比特幣勒索的市場。

現代的比特幣勒索

現在比特幣勒索主要指鎖勒索和加密勒索這兩類。這兩類勒索利用 TOR 網絡和比特幣收款，有效的隱藏了收款中給執法者留下的追蹤鏈條，成功地減小了不法分子的被捕幾率。這兩種勒索主要的區別在于，他們基于不同層來阻斷用戶訪問數據。

第一類鎖勒索(locker ransomware)也稱為計算機鎖(Computer locker)。這種方式一般是鎖定計算機或用戶界面，然后要求用戶支付費贖金，以恢復對數據的訪問。

鎖勒索

鎖勒索這種方式現在較常出現在手機端。鎖屏幕主要是 2 種方式：一種是添加一個置頂框在界面上覆蓋界面，阻止用戶的正常操作。這種方式未對低層文件并做任何修改，只是添加了一層界面。該方式可以通過很多技術手段處理，并不需要向黑客繳納贖金。第二種方式是利用某些漏洞拿到 root 權限設置屏?；蛐薷逆i屏密碼，然后對受害者進行勒索。這種方式可以在損失一定數據的情況下通過手機的 recovery 方式進行解鎖。總體來說，鎖勒索這種方式比較容易被破解，黑客的勒索界面也多偽裝成司法機關，進行嚇唬式的勒索。如上圖就是黑客冒充的各國司法機關的勒索樣例。

現在更多見的是第二種加密勒索(crypto ranspmware)，也稱為 數據鎖(data locker)。這種類型的勒索軟件被設計成可以查找用戶機器上所有有價值的數據，然后對數據進行高強度的加密(AES 256 等)，加密后刪除原始數據?？蛻羧绻麤]有備份，難以通過單純的技術手段破解被加密的文件。

加密勒索，一般不會對操作界面、鼠標和鍵盤等進行鎖定，數據文件被加密后，不會導致操作系統出現異常，受害者還可以使用計算機。 

加密勒索

鎖勒索和加密勒索是當今比特幣勒索的兩種方式。越來越多的黑客選擇使用加密勒索，主要因為加密勒索的贖金支付率比鎖勒索更高。2016 年加密勒索贖金支付率為 4.3%，而鎖勒索的贖金支付率僅為 1.5%。

今天的比特幣勒索

今天的比特幣勒索已經不是一種單純的黑客技術，更不是單純的惡意軟件，而是一種成熟的“商業模式”(ransomware as a service，RaaS)，圍繞比特幣勒索已經形成了一條完善的產業鏈。在暗網中存在大量出售比特幣勒索服務的黑客團體，他們會提供模塊化的比特幣勒索服務組件，這些組件可以客制化的生成勒索套件，旨在幫助不了解比特幣勒索的初級黑客完成比特幣勒索攻擊。而黑客只需要為該服務支付一定的費用，指定收款錢包，以及贖金金額即可。

黑客支付的比特幣勒索服務分為兩種模式：一種是不需要繳納費用，但需要和開發者每筆分賬，常見分賬比例多為 4、6開。另一種模式則采用單位時間或終身買斷制，價格差別較大。筆者在暗網中發現最便宜的一款只需 39 美金就可終身買斷。 

最便宜的一款只需 39 美金就可終身買斷

比特幣勒索軟件提供者，不只提供勒索軟件，更多的還會提供各種傳播比特幣勒索軟件的僵尸網絡、惡意廣告、垃圾郵件等服務。比特幣勒索的出現，給黑產數據變現提供了更低廉的成本、更便捷的方法、更小的被捕風險、以及更簡易的操作方式。

隨著 RaaS 的成熟，從 2013 年起比特幣勒索攻擊，就開始進入高速發展期，2016 年則直接進入瘋狂期。2015 年負責制作比特幣勒索的黑客團體一共 29 個，但到 2016 年底負責制作比特幣勒索的黑客團體已達到 247 個，增幅達到 752%。

2016 年底負責制作比特幣勒索的黑客團體已達到 247 個，增幅達到 752%

不光制造比特幣勒索的黑客團隊變多，比特幣勒索的攻擊頻率也極速提升。據監測，2015 年平均每天可檢測到全球遭到 1000 次比特別勒索軟件攻擊，而 2016 年全球可檢測到平均每日遭到比特幣勒索攻擊上升到 4000 次，一年間每日攻擊次數提升 300%。

 一年間每日攻擊次數提升 300%

比特幣勒索在這種持續的高速發展下，越來越多的黑客團伙從傳統惡意軟件、銀行木馬、間諜軟件、網絡犯罪等模式中，轉入比特幣勒索。比特幣勒索已于 2016 年底占據了所有黑客攻擊模式的 66%。而回顧在同年 1 月份，當時比特幣勒索占比只有 18%。發展的速度之快令人震驚，可以肯定比特幣勒索即將取代電信詐騙成為未來數據安全的頭號死敵。  

比特幣勒索已于 2016 年底占據了所有黑客攻擊模式的 66%

比特幣勒索，不單瞄準某些地區和行業，而是采取了全球化布局。常見的比特幣勒索工具已經支持 28 個國家和地區，黑客更是在全球范圍內散布。經監測，2016 年初就發現，有針對中國地區的比特幣勒索軟件，2016 年第四季度和 2017 年第一季度，中國已和全球同步遭受多次比特幣勒索攻擊。

具體攻擊事件大事記 

比特幣勒索的經濟效益

比特幣勒索的飛速發展和它背后的經濟利益是密不可分的。2016 年負責編寫勒索軟件負載的黑客團體一年營收產值預計 6000 萬美元，而這種黑客團體有 200 多個，保守估計 2017 年比特幣勒索將是一個 100 億級別的市場。

2017年比特幣勒索軟件逐漸呈現兩種不同的發展方向。一種方式偏向企業級目標，采用“定點打擊式”。這種方式黑客只追求高質量的受害者，而不是更多的受害者，往往單筆勒索贖金在一萬美金左右。和這種“定點打擊式”相反的是“亂槍打鳥式”，這種主要類型的比特幣勒索以快速、廣泛、大量傳播為目，主要依靠更多的感染者來詐取贖金。這種方式主要是針對個人目標進行攻擊，他們攻擊的最終點是個人數據，多在惡意廣告、惡意信息中夾帶，感染源有很強的自動復制能力，單筆贖金較低，在300美金左右。

比特幣勒索的類型

比特幣勒索從 1989 年至今，歷經二十余年的發展。逐漸從只針對 DOS 單一平臺的數據勒索軟件發展成橫掃 DOS、Windows、Android 、Mac、關系型數據庫、NoSQL 數據庫等多種數據存儲平臺的勒索軟件。其中 Windows 和 Android 發展時間較長變化較多，而針對 Mac、關系型數據庫和 NoSQL 數據庫的比特幣勒索都是在 2016 年才發現首例樣本。

DOS比特幣勒索

第一款比特幣勒索軟件 PC Cyborg 就是以當年流行的操作系統 DOS 為目標。PC Cyborg 的傳播方式是軟盤分發的形式。軟盤名稱寫成“艾滋病信息”來誘導用戶讀取其中信息。一旦用戶使用該軟盤，軟盤會偷偷替換 DOS 系統目錄下的 AUTOEXEC.BAT 文件。該文件會記錄用戶開關機次數，一旦滿足 90 次，PC Cyborg 就隱藏用戶文件，提出信息提示用戶軟件許可過期，要求用戶給不法分子通過郵政寄去 189 美金。

由于 DOS 當時缺乏有效的傳播方式，所以用戶不使用來歷不明的軟盤就可以避免被感染，甚至用戶熟悉 DOS 系統，可以通過手動的方式改回被不法分子隱藏的文件。DOS 階段由于傳播方式所限，比特幣勒索并沒有大規模傳播的土壤，所以影響并不大。

Windows 比特幣勒索

Windows 是比特幣勒索變化最多的平臺。針對 Windows 平臺的勒索軟件有 200 多種，分別采用不同的方式阻止用戶正常訪問數據?；究梢苑殖涉i定系統屏幕、偽裝殺毒軟件、偽裝當地執法機構、隱藏用戶文件、刪除用戶文件和加密用戶文檔數據等多種方式。大部分勒索軟件會采取其中多種方式聯合使用。由于 Windows 系統多被用于生活和個人工作場景，垃圾郵件、惡意廣告、系統漏洞等都給 Windows 系統遭受比特幣勒索感染提供了機會。最近席卷全球的比特幣勒索就是利用 Windows 的 443 端口的遠程執行漏洞，將比特幣勒索感染到目標機器。

由于 Windows 平臺感染方式較多，安華金和攻防實驗室建議做好以下五點防護措施：

• 平時做好重要文件的異地備份;
• 開啟系統防護墻;
• 對于不使用的服務或端口進行手動關閉;
• 打開系統自動更新，積極更新最新補丁;
• 不使用微軟停止支持的操作系統(xp、sever2003)。

Android 比特幣勒索

安卓比特幣勒索起步比 Windows 比特幣勒索稍晚，但勒索軟件種類和攻擊方式并不比 Windows 少多少。自從 2013 年發現首例冒充殺毒軟件的安卓比特幣勒索軟件后，安卓比特幣勒索就開始大量出現。安卓平臺的比特幣勒索攻擊方式可以分為鎖定系統屏幕、攔截手機來電、偽裝殺毒軟件、刪除用戶文件、加密通訊錄等。

安卓比特幣勒索的傳播方式主要是通過惡意應用，很多安卓勒索軟件會偽裝成游戲的外掛、刷贊、刷鉆、刷人氣的軟件。由于大量安卓軟件商城允許第三方開發，在上線軟件的時候并未做嚴格審查，使得惡意應用堂而皇之的掛在商城出售。惡意軟件冒充高排名軟件被受害人大量下載，受害人執行惡意軟件后，導致手機被勒索。

安華金和攻防實驗室對預防安卓比特幣勒索建議做到以下三點：

1. 從可信軟件源下載應用;
2. 關鍵數據定時備份;
3. 提高辨別勒索軟件的能力。

勒索軟件有兩個特征，一是.勒索軟件一般小于 1MB;二是勒索軟件會申請 “SYSTEM_ALERT_WINDOW” 權限或誘導用戶激活設備管器。

Mac 比特幣勒索

由于 Mac 嚴格的商店審核流程，在安卓比特幣勒索泛濫的情況下，Mac 就是移動端的一片凈土，無一例 Mac 比特幣勒索樣例。然而 2016 年 3 月份這片凈土被打破，Mac 發現首例比特幣勒索軟件。

知名 BT 軟件 Transmission 中被惡意植入了包含惡意代碼的 General.rtf 文件。該文件雖然使用正常的 RTF 圖標，但實際上卻是一個可執行文件，下載到惡意軟件的用戶在執行該軟件后會加密目標文檔向客戶實施勒索。由于此事在發生四小時后就被發現，蘋果第一時間下架存在惡意代碼的 Transmission，所以此次比特幣勒索并未給用戶帶來太多影響。

NoSQL 比特幣勒索

NoSQL 數據庫作為一種新型的數據庫，因自身特性，在云上大放異彩，數以萬計的 NoSQL 數據庫在云上運行。由于 NoSQL 在安全上還不夠成熟，所在默認的 NoSQL 存在安全漏洞和安全錯誤配置。2016 年 12 月到轉年 1 月份的不足一個月時間里，mongodb、ElasticSearch、Cassandra、redis、hadoop、CounchDB 等多個NoSQL 數據庫遭到多組黑客輪番比特幣勒索攻擊。

安華金和攻防實驗室建議用戶：

1. 對 NoSQL 數據庫進行安全配置(不要使用默認配置)并積極升級修復存在漏洞;
2. 同時要做好關鍵數據對的備份工作;
3. 或者采用 NoSQL 數據庫防火墻可以有效的保護 NoSQL 數據庫免受比特幣勒索攻擊。

關系型數據庫比特幣勒索

關系型數據庫自身的安全設計已趨于完善，處于內網的環境中有效的減少了被勒索軟件攻擊的可能。除去針對操作系統的加密勒索會對數據庫文件進行加密，造成數據庫不可用外。2016 年發現有專門針對數據庫的勒索軟件出現。

專門針對數據庫的勒索軟件，多采用惡意代碼注入數據庫專用工具的方式。為了防止被發現，惡意代碼還對自己采用 warp 做加密處理(一種 oracle 支持的加密方式)。惡意代碼跟隨數據庫專用工具感染每一個被訪問的數據庫。惡意代碼對每種不同的數據庫賬號分別使用不同的方式，以保證能控制受害者數據，達到勒索效果。

安華金和攻防實驗室建議用戶：

1. 對數據庫訪問工具做安全檢查防止帶入惡意代碼;
2. 做好關鍵數據對的備份工作;
3. 實時采用數據庫防火墻對每個訪問數據庫的包進行審查，阻止惡意代碼進入數據庫。相信做到以上幾條可以幫助，數據庫免受比特幣勒索攻擊。

比特幣勒索原理模型

比特幣勒索是一個相當復雜的攻擊流程，可以對多種平臺和軟件發動攻擊。主流比特幣勒索軟件可以根據不同的軟硬間環境做出各種適應性變化，雖然各種比特幣勒索軟件千變萬化，但核心依然符合感染，下載，執行，勒索，收款的的整體流程。 

比特幣勒索是一個相當復雜的攻擊流程

感染

感染是整個比特幣勒索的第一步，也是最關鍵的一步。這一步有多種處理方法，主要可以分為：網絡安全漏洞、垃圾郵件、下載器、僵尸網絡、社會工程學和自我傳播。每種傳播分別適合不同的環境，同時也有大量組合使用的樣例。

社會工程學輔助下的垃圾郵件一直是分發各種網絡惡意軟件的首選方法，比特幣勒索也不例外。七成以上的比特幣勒索攻擊都是從垃圾郵件的附件開始，為了保護自己不被追蹤，發送垃圾郵件的服務器一般都使用屬于僵尸網絡的服務器進行發送，垃圾郵件通常包含惡意附件或惡意 URL，來對服務器進行感染。

下載

當惡意 URL 或惡意軟件在被害者機器上打開時，會收集當前機器的信息。收集當前機器信息有兩個目的：1、識別被害機器操作系統，選擇符合操作系統的惡意軟件下載;2、識別當前機器是否為虛擬機，如果是虛擬機或虛擬化環境，為了逃避被發現，部分勒索軟件會選擇，停止所有后續行為，終止此次比特幣勒索攻擊。此舉有效的保護黑客所控制的 C&C 服務器，避免 C&C 服務器被發現，而被列入通訊黑名單。如果確定為一臺實體機，在收集完信息后會把信息發送到黑客準備好的C&C服務器上，同時從 C&C 服務器上自動下載一款適合目標機的惡意軟件。

勒索

在真正執行勒索軟件之前，惡意軟件會先嘗試利用漏洞來獲取一定的用戶權限，嘗試去關閉一些系統自帶的安全保護機制，部分勒索軟件會根據關閉情況，判斷是否繼續攻擊，但也有直接進行勒索攻擊的樣例。

勒索軟件被部署到目標機器上，下一步就要開始實施勒索。勒索的手法和勒索軟件使用的技術有關。前文提到現在主流的勒索有兩種類型，一種是鎖勒索，另一種是加密勒索。

鎖勒索主要是采用鎖定用戶屏幕的策略，勒索軟件顯示一個全屏幕窗口，覆蓋整個桌面以顯示其勒索信息，后臺會有一個進程時刻監視勒索窗口是否被關閉，一旦被關閉就立馬重啟一個，給受害者一種一直被鎖定的錯覺。除了可以調用 Windows API 實現外，還發現有使用瀏覽器鎖定桌面的。分析后臺發現，其實一直置頂的窗口是個瀏覽器，這種類型的鎖，只要殺死瀏覽器和輔助進程就可以破解，但這種方式提供了一種跨操作系統平臺的鎖方式，不光 PC 端容易遭到這種勒索攻擊，移動端也會。安卓系統主要是通過調用 Android ExecutorService objects 來定期檢查置頂的活動窗口，指定窗口一旦被關閉立馬重啟，最終給用戶造成手機被鎖屏的錯覺。

實際上，鎖勒索沒有修改底層的數據，只是通過一些手段防止用戶使用而已。單純的鎖勒索會有很多方式破解，但加密勒索就沒那么容易了，加密勒索對底層文件進行了修改。比特幣勒索多采用對稱秘鑰和非對稱密鑰相結合的方式，對稱加密能保證加密的效率，非對稱加密能保證密碼不被受害者獲得?；谶@兩種加密方法的優點，現在基本加密模型均綜合使用兩種方法。

現在基本加密模型均綜合使用兩種方法

首先，用戶的文件會被隨機生成的 Key 用 AES-256 進行加密，接著會把 Key 用 RSA 公鑰進行加密。加密后存儲于被加密的文件中，最后把原始文件刪除。不同的勒索軟件在處理 RSA 公鑰的時策略不同，主要分兩種，一種是直接在勒索軟件中寫死RSA公鑰，保證即便當時無法和黑客的 C&C 服務器通訊也可以順利完成整個加密過程，但缺點是需要每次生成不同的勒索軟件。另一種是 RSA 公鑰來自當時的 C&C 服務器，其優點是勒索軟件不需要生成不同的勒索軟件，提高了自傳播的成功率，但在加密的過程中如果無法正常訪問黑客的 C&C 服務器，會導致加密失敗。

擴散

這一步是和勒索步驟往往是同時進行的。勒索軟件有掃描模塊，會自動通過被感染機器的網卡、驅動來探測網絡中的其他機器和機器上的其他電子設備，發現可以訪問的設備后會嘗試把感染部分復制到有權限的其他機器或電子設備中。其他設備如果被感染，就又會重復感染、下載、勒索、擴散的過程，直至勒索軟件蔓延至整個內網之中。

比特幣勒索的趨勢

近年來比特別勒索逐漸跳出 Windows 和移動端的限制，從勒索個人向勒索數據價值更高的金融、醫療、零售、教育等行業進發。2015 年開始，有跡象表明，大部分販賣比特幣勒索負載的黑客團體在嘗試并探索更多樣威脅企業數據的方法。企業的關鍵數據主要保存在數據庫中，因此和數據庫相關的文件已經成為勒索軟件的首要目標。據統計，2016 年全年共有 96% 和 81% 的加密勒索軟件會針對數據庫數據文件和 SQL 文件進行加密勒索。 

和數據庫相關的文件已經成為勒索軟件的首要目標

除了利用操作系統對數據文件實施加密勒索的手法外，安華金和攻防實驗室總結發現了大量直接針對數據庫的比特幣勒索攻擊，直接針對數據庫的比特幣勒索軟件在不同場景下有較大區別。

針對數據庫的比特幣勒索攻擊

隨著黑客團體對數據庫的深入了解，2016 年底無論是云環境的數據庫還是內網環境的數據庫都遭遇了大規模勒索攻擊。從 2016 年 12 月 27 日開始，云環境上的 mongodb、ElasticSearch、Cassandra、redis、hadoop、CounchDB、MySQL 等數據庫接連遭到多個黑客團體實施比特幣勒索，甚至出現一同臺數據庫被不同黑客組織重復勒索。此次大規模針對數據庫的持續勒索攻擊最終造成數以萬計的數據庫被黑客勒索。就在同一時段內，網數據庫也遭遇了黑客的比特幣勒索，雖然內網數據庫被感染的數量遠不如云上的數據庫，但單筆勒索的費用要比云上數據庫高出許多。

黑客在攻擊云上數據庫和內網數據庫中采取了截然不同的思路，云上更類似我們前面提到的亂槍打鳥式。黑客基于 43 億個 IPv4 地址做整體掃描，通過未設身份驗證或弱口令，入侵數據庫，利用拿到的數據庫權限對數據進行刪除、隱藏或轉移，最后留下勒索信息。雖然這種類型每筆勒索費用不高，但龐大的基數還是給黑客團體帶來了豐厚的利潤。針對內網的數據庫勒索則采取了完全不同的打法，他們在知名論壇上掛載夾雜惡意代碼的專業工具，利用受害者使用工具的機會，把惡意代碼注入到數據庫中，在確認數據庫有足夠有價值的數據之后才實施勒索行為，反之則會潛伏在數據庫上伺機爆發。這種勒索軟件具有很強的隱藏性和反偵察性。

云上數據庫的比特幣勒索

針對云上數據庫的比特幣勒索具備明顯的特征化和自動化，以 2016 年 12 月云上 mongodb 被勒索為例，此次攻擊黑客整個過程完全采用了自動化腳本。攻擊主要分成兩大部分：第一部分是下圖的紅線區——掃描準備階段。黑客利用腳本在 43 億的 IPv4 上對 27017(27017 端口是 mongodb 安裝后的默認通訊端口)端口進行批量掃描，通過指紋識別目標 IP 是否存在 mongodb 數據庫，如果存在，再次嘗試登錄。如果登錄成功則把IP記錄在可入侵列表中，準備在第二階段使用。(mongodb 默認安裝無密碼，只要知道 IP 和端口就可以訪問)

針對云上數據庫的比特幣勒索具備明顯的特征化和自動化

在黑客獲得足夠多的可入侵 IP 后，可以啟動圖中綠線的部分。這部分是實際進行勒索攻擊的部分。自動化腳本從可入侵列表中批量取出 IP 地址，利用 pymongodb 登錄目標數據庫。然后通過 mongodbdurp 下載數據到指定服務器(后來發現此次有部分黑客根本沒轉移數據就直接刪除，也就是說即便受害者付了贖金依然無法取回數據)，刪除數據庫中數據，最后插入勒索信息，等待贖金。

刪除數據庫中數據，最后插入勒索信息，等待贖金

這種全自動化的勒索過程，往往需要目標數據庫廣泛存在安全漏洞或配置錯誤。12 月份到 1 月份的云上數據庫勒索慘劇就是利用了 NoSQL 數據庫默認不做身份驗證的缺陷。如果以足夠的安全標準來配置數據庫或積極升級，相信可以極大地避免此類勒索攻擊事件發生。

內網數據庫的比特幣勒索

內網數據庫的比特幣勒索思路和云上的截然不同，不再是通過掃描和指紋發現數據庫。而是通過把惡意代碼隱藏在數據庫工具中。例如同期爆發的 Oracle 比特幣勒索，就是在 Oracle 知名工具 PL SQL Developer 中加入惡意代碼。惡意代碼在伴隨 PL SQL Developer 訪問數據庫后，會根據當前的用戶情況和環境采用不同的勒索路線，具體見下圖。并且在勒索之前還會對數據庫的創建時間做判斷，以保證只勒索有價值的數據庫。如果當前數據庫創建時間較短，則會潛伏下來，等到數據庫積累足夠多有價值的數據再進行勒索。 

Oracle 比特幣勒索

這種手術刀式的勒索方式相當精準，基本可以做到勒索的每一個目標都是有數據價值的庫，該勒索軟件在不同的用戶權限下也會采取不同的策略進行勒索。如果能拿到 SYS(紅線)，用戶就會直接對系統表下手，把系統表轉存到其他地方，再刪除系統表以此威脅用戶交錢。如果只能拿到 dba 賬號(紫線)，就采取刪除所有非系統表的方式對客戶進行數據勒索。如果只能拿到一般賬號(綠線)，就會采用鎖賬號的方式阻止用戶訪問數據庫，從而實施勒索。

在這個數據庫比特幣勒索軟件的身上，我們看到已經有一群黑客對數據庫做了深入的研究，讓勒索軟件可能按照環境和當前權限實現各種不同的勒索方式。為了提高準確性，減少暴露自己的可能，黑客還對數據庫建立時間做判斷，沒有十足把握絕不出手，最后還利用編碼技術來躲避數據庫掃描類工具對改惡意代碼的檢查，保證不會在潛伏階段被受害者發現。

防護比特幣勒索

比特幣勒索有著向數據庫深入的趨勢，無論是亂槍打鳥的云上比特幣勒索，還是定點打擊的內網比特幣勒索都應該引起各位數據庫安全工作者的警惕。除了警告用戶注意垃圾郵件、惡意廣告和定期備份數據、數據庫注意安全配置、使用高強度口令之外，我們還可以做得更多。

安華金和攻防實驗室建議，幫助用戶建立定期安全探查+預先防護的雙重保障。針對數據庫的定點型勒索攻擊會有一定的潛伏期這一特點，定期做安全探查很可能在攻擊行為真正爆發前，揪出潛伏在數據庫中的威脅，預先做好防護工作，排除這些威脅，防止數據庫信息或數據庫業務遭受損失。

數據庫漏掃的授權檢測中有專門針對數據庫中異常包、存儲過程、觸發器、各項參數以及后門的檢測語句，這些檢測語句可以幫助用戶早發現、早鏟除潛在的威脅?，F在數據庫漏掃工具已經可以準確檢測出數據庫是否被此次勒索軟件入侵，并給用戶提出修復建議。

僅僅依賴于漏掃的定期巡檢是遠遠不夠的，漏掃能發現的基本屬于已經出現的安全威脅，不過對未知的安全威脅的探查能力不足。想要對未知的此類安全威脅做防護則需要具備能讀懂 SQL 和能解密加密數據庫兩項能力的數據庫防火墻。

能解密加密數據庫的意思就是可以對 Oracle 的密文存儲過程進行解密操作。第三方工具向 Oracle 發送大量數據，其中很多數據都會以加密包的形式發送，只有準確破解加密包的內容才可能為語法分析做好準備。Oracle 的加密過程 warp 可以通過 Oracle 提供的函數完成，但 Oracle 并不提供直接函數進行解密，而需要自己實現。解密并不復雜，就是把上面 wrap 的過程反正來一次，首先通過網絡分析把所有斷包攢成一個整包，然后對這個加密的整包進行 base64 解碼，接著將解碼后的每個字節按照一張固定的替換表進行單獨替換，替換后字符串按照 LZ 算法進行解壓則可以獲得加密存儲過程的明文。 

數據庫防火墻

準確的破解這種加密存儲過程的能力，不但在這個勒索案例中十分關鍵，也是防護未知第三方工具夾帶惡意存儲過程向數據庫發送的關鍵。如果不能解決解密問題，最終只能對加密的惡意存儲過程進行指紋比對。然而，指紋比對的誤報率和漏洞率都是很高的(稍微調整下參數內容或名稱就會使指紋匹配無法準確識別惡意包)。

能讀懂 SQL 的意思是，基于SQL 語法解析，聯系上下文理解存儲過程或包中是否存在惡意行為。在 unwrap 的支撐下數據庫防火墻能把所有去向數據庫的加密存儲過程明文化，再通過 SQL 語法分析器對明文進行是否存在惡意行為的匹配。數據庫防火墻在 SQL 語法分析器后不是單純的就單句 SQL 進行行為分析，而是根據上下文環境的 SQL 行為對整個 SQL 語句包進行分析。當整個 SQL 語句包中存在命中安全規則的多個必要點時，則可以判斷該語句包存在惡意行為，從而主動阻斷該語句包，并向相關人員進行危險告警。至此，完成針對勒索或后門型數據庫攻擊的主動防護。

數據庫防火墻、數據庫漏掃，從不同層面和角度實現了 360 度防護數據庫比特幣勒索攻擊。數據庫防火墻依托上下文 SQL 語境，利用解密技術和 SQL 分析技術，動態抓出存在惡意行為的語句包進行實施攔截。數據庫漏掃依托授權檢測中針對數據庫中異常包、存儲過程、觸發器、各項參數以及后門的檢測語句，進行對已知威脅的檢查，防止數據庫中存在安全隱患。

360 度防護數據庫比特幣勒索攻擊

二者分別側重于整個防護過程中的已知隱患掃描、特征隱患攔截和“惡源追蹤”。但實際上，兩者既是相互獨立，也是相互聯動的，數據庫防火墻攔截下一個新型隱患，數據庫漏掃則根據該新型特征更新掃描檢測項。一旦漏掃發現安全隱患，數據庫防火墻未發現，則數據庫防火墻根據隱患特征更新防護策略，優化已有安全策略，進一步降低誤報率。

小結

比特幣勒索，一種需要構建整體防護體系來防護的攻擊類型，需要通過多個角度相互驗證才能在攻擊爆發前發現攻擊，并遏制攻擊。針對數據庫的比特幣勒索，安華金和攻防實驗室推薦采用兩類產品，從多個角度展開立體化聯合防御，以達到面對此類攻擊數據庫再無弱點可循的防護與應對目標。