文丨中国工商银行数据中心 王佳音

  近年来，恶意软件数量明显增加，黑客群体的扩张、勒索软件团伙之间以及僵尸网络之间的激烈竞争导致恶意软件变得更复杂、对抗性更强，包括网络战武器、勒索软件在内的特制恶意软件程序，以及僵尸网络等常规恶意软件程序，在定制化程度方面都显著提升，呈现出功能拆分与平台化构建的趋势。

  本文着重对网络战武器、勒索软件、僵尸网络三类恶意软件进行分析，重点关注它们的攻击目标与破坏能力，并对金融机构给出防御建议。

  一、典型恶意软件分析

  1. 网络战武器类恶意软件

  网络战通常指国家级别的持续性网络对抗。在网络战中，对抗双方会使用网络战武器类恶意软件进行网络间谍活动、数据擦除攻击、拒绝服务攻击等攻击活动。

  与常规恶意软件不同，网络战武器类恶意软件普遍呈现出开发周期短、功能单一、目标明确等特征;这类软件将间谍、破坏、监视等活动作为作战目标，为实际战场中的军事行动提供掩护及帮助。

  (1)典型网络战武器

  WhisperGate 是一种典型的数据破坏型擦除恶意软件。攻击者通常会将WhisperGate 木马植入到政府或相关组织的计算机中，WhisperGate 会直接覆盖受害计算机中的所有文件内容。

  HermeticWiper 是一种擦除类破坏木马，其主要功能是利用磁盘分区驱动程序擦除目标计算机的主引导记录(Master Boot Record， MBR)，导致目标计算机无法启动和运行。同时，攻击者会使用HermeticWiper 的衍生勒索软件HermeticRansom 扩大攻击范围。HermeticRansom 的攻击模式与常规勒索软件基本相同， 主要是利用AES 加密算法对目标计算机上的所有文件进行加密，并在目标计算机的桌面上留下勒索信。

  GoElephant 使用Go 程序语言编写，包含一种释放器木马、一种下载者木马以及两种间谍木马GrimPlant 和GraphSteel。GoElephant 主要利用钓鱼邮件的形式进行传播，其功能是收集目标计算机中的敏感数据并反馈给攻击者，以及控制目标计算机并执行攻击者下达的命令。

  (2)分析及建议

  这些近年来出现的具备强大破坏力的网络战武器类恶意软件，一方面证明了国家级黑客组织具备异常丰富的攻击资源储备，另一方面也给防御方带来了全新的挑战。

  面对这些对抗能力强、能够规避常规检查手段，尤其是以破坏为目的的网络战武器，传统的被动防御、事后调查、减少影响等对策已不再适用，防御方必须强化主动监测与实施响应机制，将这些网络战武器拦截在执行阶段以前。

  2. 勒索软件

  近几年比较活跃的勒索软件主要为Lapsus$、Conti、LockBit 等。

  从被攻击国家分布情况看，欧美国家为勒索软件的重灾区，其中美国占比高达36%;从被攻击行业分布情况看，政府部门及医疗、能源、交通、教育行业占据前50%，政府部门为最大的攻击目标。

  (1)重点勒索软件

  Lapsus$ 是一个通过购买0-Day 漏洞、收买目标企业内部人员来获取目标系统访问权限，然后窃取目标企业敏感数据，以获取经济效益为目的的黑客组织。Lapsus$ 主要通过扫描各类云服务平台的未修补漏洞来筛选攻击目标，进而通过这些漏洞入侵目标内网。2022 年，Lapsus$ 宣称其成功攻击了十余个大型企业或组织， 其中包括英伟达、三星、微软等知名企业，并公开了大量窃取到的源代码、文档、登录凭证等重要数据。

  Conti 是一个俄罗斯勒索团伙，于2020 年夏开始勒索活动。Conti 利用Conti 勒索软件制造了多起攻击事件， 如攻陷并加密芯片制造商Advantech 的重要数据，要求对方支付750 比特币(约合1400 万美元)的赎金;攻陷美国Tulsa 市政网络并公布约18 000 份市政文件，迫使该市关闭网络，使其在线账单支付系统、公用事业账单和电子邮件等服务停摆，该市的网站、议会、警察部队均受到影响。

  LockBit 勒索软件于2019 年9 月首次被发现，经过迭代更新，2021 年出现了LockBit 2.0 版本，2022 年6 月LockBit 3.0 版本问世。LockBit 通过购买访问凭证、扫描未修补的漏洞、内部渗透与利用0-Day 漏洞等方式控制目标计算机，实现窃取和加密数据的攻击目标。LockBit 采用“勒索软件即服务(Ransomware as a Service，RaaS)”的运营模式进行双重勒索：首先，要求被攻击者支付赎金，以获取恢复被加密文件的密钥;然后，以公布泄露数据为条件进行要挟，强迫被攻击者再次付费。在LockBit 3.0 出现的同时，其运营组织推出了第一个由勒索软件团伙策划的漏洞赏金计划：任何人都可以向其提交漏洞报告，LockBit 运营组织将根据漏洞的严重程度，向漏洞提交者提供1000 ～ 100 万美元的奖励。除漏洞赏金计划以外，LockBit 运营组织也会为对勒索软件提出改进建议的人提供赏金。

  (2)分析及建议

  勒索软件已经成为一种持续存在的网络威胁形式。通过近几年的扩张，各大勒索软件组织已经拥有了各自的攻击领地，甚至进入互相争利的竞争状态。面对勒索软件的攻击威胁，防御方不能再抱有任何侥幸心理，任何形式的未修补漏洞或泄露凭证都可能成为勒索软件攻击的契机。

  3. 僵尸网络

  从僵尸网络开发角度来看，现阶段攻击者更青睐使用Go 语言开发木马程序以构建其多平台执行能力。僵尸网络不再局限于单一的DDoS 攻击、挖矿等传统功能，更多的僵尸网络整合了窃取用户信息、远程控制等多种功能，使目前的僵尸网络木马程序向综合化、多平台化的方向发展。

  从僵尸网络团伙的运营方式来看，使用Twitter 与Telegram 等隐匿性较强的社交媒体成为其宣传以及获利的重要媒介。僵尸网络团伙利用社交媒体从幕后走到台前，团伙商业化程度不断提高。

  从其通信方式来看，更多的僵尸网络加大了通信隐匿性的投入力度，采用隧道、DGA 等隐匿性更强的通信方式，这些复杂且更不易被监测的通信交互方式加大了僵尸网络的溯源难度。

  (1)典型僵尸网络家族

  Yeskit 僵尸网络采用GoLang1.18 程序语言编写，是一个新型的僵尸网络家族。该僵尸网络于2022 年4 月开始活跃，从首次发现至今已经历三次版本更新。Yeskit 主要进行DDoS 攻击，同时也具有反向Shell、执行脚本等能力。

  RapperBot 在Mirai 架构的基础上对代码结构作出较大调整，并采用全新的通信结构，通过暴力手段进入Linux SSH 服务器，在设备上建立一个立足点。RapperBot 虽然基于Mirai 木马，但偏离了原始恶意软件的正常行为，即不受控制地传播到尽可能多的设备。

  Fbot 的主要功能是DDoS 攻击，其采用多种原创的DDoS 攻击方式，具有快速更新版本的特点。

  (2)分析及建议

  随着攻击者在文件隐匿性和通信隐匿性方面投入的不断增加，僵尸网络木马的隐匿性持续增强。除了常见的规避检测的方式，僵尸网络开发者正在尝试通过多种混淆视听的方式防止被网络安全人员重点关注。

  二、金融机构针对恶意软件的防御对策建议

  金融机构在针对恶意软件制定防御对策之前，应首先明确恶意软件是如何传播到整个计算机网络的。以下基于已经公开的恶意软件的技术信息，归纳整理出恶意软件的传播过程，并给出对策建议，希望能够帮助金融机构网络安全人员更深入了解这类威胁，从而制定更加高效的防御方案。

  1. 恶意软件的传播过程

  步骤一：侵入网络

  恶意软件首先要在目标网络中攻陷一台或若干台计算机，作为下一步攻击的立足点，主要有钓鱼邮件传播侵入、弱口令暴力破解侵入、利用系统或软件漏洞侵入、移动存储介质传播侵入四种侵入途径。

  步骤二：尝试提升权限

  在被攻陷的计算机中，恶意软件会竭尽所能去获取高权限，如破解口令、进程注入、网络侦听、ARP 缓存投毒等，为后续更深入的渗透攻击创造条件。

  步骤三：扩大传播面

  恶意软件会尽可能地扩大软件的传播范围，它们通常会使用网络扫描、查询AD 域结构、检测共享目录、放置WebShell 文件等方式来发现更多可以传播的计算机，寻找可供进一步传播的路径。

  步骤四：等待攻击指令

  恶意软件等待攻击者发布攻击指令，或者立刻发起攻击。

  2. 防御对策

  网络安全人员可采取以下策略，有效遏制恶意软件在网络内部的传播，并在被攻击时将损失控制在最低限度。

  (1)防御最常用的初始感染载体

  根据上述分析，网络安全人员首先应对最常用的初始感染载体进行防御。一是尽量减少应用程序在互联网上的暴露。包括远程访问服务(如RDP、SSH、VPN、TeamViewer)、可能有漏洞的服务(如Apache、IIS、Nginx)、无需暴露到互联网的关键服务(如数据库、域控制器)。二是保持系统及软件的更新。任何软件都有缺陷，攻击者搜索与利用软件漏洞的速度很快，所以网络安全人员应高效及时地安装安全补丁、修复漏洞。三是培养安全意识。恶意软件最常见的传播方式仍然是钓鱼邮件，因此用户安全意识的提高尤为重要。

  (2)检测并遏制攻击者的横向移动

  要限制恶意软件在内部网络中的传播，可以通过以下两种方式实现。

  一是分割网络。可以按照类别将网络分割成多个片段，并禁止不同片段之间或片段内部创建非必要的连接，具体措施包括：阻止办公计算机与工作站、服务器之间的任何通信;阻止以高权限用户(如AD 域管理员)身份运行的进程产生通信;限制可以在服务器上执行进程的用户;限制可以访问数据中心服务器和云实例的计算机。

  二是限制恶意软件在网络中的横向移动，主要措施为控制网络通信协议。

  WinRM 协议是一种提供管理功能的协议，建议网络安全人员仅为AD 域管理员或其他确有需要的维护人员放行该通信协议，其他情况则阻止通信。

  AD 域控制器之间的通信，或是访问文件共享和网络驱动器都会使用SMB 和RPC 协议。建议除了允许必须的SMB 或RPC 协议通信(如复制、用户身份验证、文件服务器访问)，拒绝一切其他的非明确必须允许的SMB 或RCP 协议通信。

  RDP 和SSH 协议是远程访问协议，建议对其默认拒绝，仅在必要工作时(如系统维护)，可临时允许这两个协议通信。

  (3)保护性备份

  为了将破坏程度最大化，恶意软件攻击通常也会以企业的备份系统为目标，加密其中存储的备份数据。建议在备份服务器上进行额外的分割，以便进一步将备份系统与网络的其他部分进行分离。此外，还可以使用自定义的进程级微分割策略规则，以尽量减少与备份服务器的通信。

  (4)制定详细的响应计划

  网络安全人员应提前制定并规划入侵缓解策略，以进一步缩短检测到恶意软件后的响应时间。同时，还可以围绕恢复过程制定计划，如考虑将哪些应用程序和环境中的哪些部分优先恢复。

  随着相关技术的进步，新的恶意软件变种与攻击手段层出不穷，这要求网络安全人员不断应对新的威胁与挑战，持续更新和改进防御策略，以对抗不断进化的恶意软件攻击。