原標題：通付盾移動安全實驗室全國首發2017移動互聯網勒索病毒專項研究報告

　　2017年5月，一種名為WannaCry的勒索病毒肆虐席卷全球，不法分子利用NSA泄露的危險漏洞“EternalBlue”(永恒之藍)傳播。在這場全球性互聯網災難，據不完全統計數據顯示，100多個國家和地區超過10萬臺電腦遭到了勒索病毒攻擊、感染。6月出現一種“Petya”變體勒索軟件，相繼歐洲多國遭遇勒索病毒襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度地受到影響。

　　國內移動互聯網已經成為新的主體，為了預防移動互聯網勒索病毒大規模爆發，避免企業、個人遭受損失，同時也為行業監管機構提供政策制定提供移動互聯網勒索病毒依據，通付盾移動安全實驗室依托多年專業的移動安全的服務能力和技術積累發布《移動互聯網勒索病毒研究報告》，對勒索病毒形式、產業鏈等進行了系統的專業分析，希望引起大家對移動互聯網安全重視，保障中國移動互聯網安全。

　　查看完整報告，請在“ 通付盾移動安全實驗室”公眾號回復關鍵詞“勒索病毒”。

　　一、 移動勒索病毒綜述

　　2017年5月份，WannaCry“蠕蟲”式勒索病毒全面入侵，對PC端造成了嚴重危害。隨后，其變種病毒逐漸向移動平臺蔓延，嚴重威脅了移動平臺的安全。作為移動互聯網的重要載體，智能手機、平板、可穿戴設備等移動終端設備都有可能成為勒索病毒的攻擊目標。移動終端中保存著大量的個人數據，一旦遭受攻擊，很可能造成隱私泄露、財產損失等危害。

　　1.歷史追溯

　　勒索病毒最早可追溯到1989年，隨著互聯網技術的不斷發展，勒索病毒也在不斷的演變進化。2014年以Koler為首的家族勒索病毒在Android平臺大面積爆發，勒索病毒實現從PC端到移動端的轉變。各類變種病毒在移動互聯網中肆意傳播，2016年至今，勒索病毒持續增長。據統計，5月份爆發的WannaCry“蠕蟲式”勒索病毒在席卷全球僅僅一天的時間就有242.3萬個IP地址遭受該病毒攻擊，近3.5萬個IP地址被該勒索軟件感染，其中我國境內受影響IP約1.8萬個。高校、醫院、政府、企業等單位為主的網絡大范圍癱瘓。臺灣、北京、上海、江蘇、天津等地成為受災重區。隨后，在移動端發現大量“WannaCry”勒索病毒變種。

　　2.傳播形式

　　雖然在各類應用程序中的表現形態不盡相同，但是其傳播形式卻大同小異，主要通過偽裝、誘騙的手段吸附在各類應用程序中，具體表現為：

　　1. 偽裝成游戲、社交軟件、時下流行軟件的插件等，當用戶運行時，終端界面就會被惡意程序自身的界面置頂，并無法進行操作;

　　2. 勒索病毒子包隱藏在資源文件中，系統后臺自動安裝運行，并將子包復制到系統目錄下，偽裝成系統應用。

　　3.實現形式

　　勒索病毒表現出的流氓屬性十分強烈，根據其攻擊目的對被攻擊者的終端進行操作及系統的破壞，強制被攻擊者付費后被攻擊者終端才可以被解鎖，否則一般被攻擊者將無法對其終端進行繼續操作。

　　多數勒索病毒實現需要申請系統權限或者激活設備管理器權限，兩種主要實現方式如下：

　　1. 控制手機懸浮窗屬性制作一種特殊的全屏懸浮窗并強制置頂;

　　2. 通過直接激活設備管理器，設置系統解鎖密碼，被攻擊用戶因無法得知解鎖密碼而無法對手機進行操作。

　　4.贖金形式

　　不同于PC端勒索病毒，移動端勒索病毒支付贖金的方式比較簡單、靈活，除了比特幣支付外，還可以進行微信支付、QQ支付、支付寶等直接轉賬支付形式。此類勒索單次支付金額較低，但存在重復勒索，關卡收費的情況。以QQ支付為例，被攻擊者在解鎖過程中需要繳納入群費、解鎖費甚至學徒費。

　　贖金繳納類型示意

　　二、勒索病毒威脅分析

　　我們對《網絡安全威脅信息共享通報》(以下簡稱《通報》)中勒索病毒作專項調查和分析，以《通報》中216個勒索病毒樣本為分析對象，基于通付盾全渠道應用監測平臺，實現對全網勒索病毒數據的挖掘與分析，共發現5萬余個含關聯惡意行為的惡意應用。下面我們將從攻擊目標、傳播來源、威脅行為三個方面對勒索病毒進行威脅趨勢分析。

　　1.偽裝類型分析

　　根據挖掘出的惡意樣本數據分析，我們發現惡意應用主要偽裝成外掛、插件等。其中QQ搶紅包、刷鉆助手、王者榮耀輔助、黑客工具箱、神器等應用名稱頻繁出現且占比較大。

　　全網勒索病毒分布圖譜

　　根據勒索病毒應用名稱，主要可分為社交類、游戲類、免流插件類以及視頻四類。其中，社交類軟件已成為惡意攻擊的首選，全網勒索病毒中共發現28143個社交類應用，占總數的55%;其次是免流插件類軟件，共9732個;游戲類軟件作為移動端熱門應用，同樣也是勒索病毒攻擊的高發區，全網共發現6754個相關勒索病毒，排名第三。

　　2.傳播來源分析

　　a. 地域分析

　　根據全網的勒索病毒數據分析結果來看，勒索病毒主要分布在互聯網發展較好地區或鄰近地區。就國內而言，勒索病毒主要來源于監管不嚴的、審核機制不完善的小型應用市場，從應用市場地理分布來看，勒索病毒的攻擊區域主要集中活躍在廣東、北京、湖北等互聯網行業發展較好、經濟較發達的省市，其中，廣東省勒索軟件發生頻次最高，捕獲惡意勒索病毒樣本876個。其次是北京地區，捕獲惡意勒索病毒樣本873個。

　　b.病毒開發者分析

　　我們對《通報》中的惡意樣本進行逆向分析，發現不同病毒樣本在代碼結構上存在很多共性，且不同病毒開發者之間具有關聯性。我們對勒索病毒樣本中預留的QQ號以及開發者信息進行追蹤，共發現近百個個具有代表性的QQ群組，數萬人受影響。該類QQ群在作為解鎖贖金收取渠道之外，群內還通過百度云、貼吧等方式售賣鎖機源碼、教程、插件、教學視頻，傳播勒索病毒。受害者加入群之后，解鎖后往往被誘惑成為黑產下線，利用群內兜售的教程向他人發起二次攻擊，轉變為“菜鳥黑客”，進一步擴大病毒的傳播范圍，影響惡劣。不同QQ群成員之間具有關聯性，且成員的個人信息一般設定為00后、90后學生。

　　攻擊者攻擊模式示意圖

　　我們對搶紅包和王者榮耀皮膚兩類勒索病毒中共同發現的鎖屏信息進行攻擊者溯源分析，追蹤到以推廣和售賣鎖機源碼、搶紅包、免流插件、秒贊工具等為主的“彼岸花技術”黑產團隊，該團隊以QQ群、網店的形式活躍，通過百度網盤傳播勒索病毒，人數總計數百人，相關聯群成員總數達千余人。除了進群時需要支付費用之外，群內源碼、工具的獲取也需要另外付費。下圖展示“彼岸花技術”團伙的溯源過程，我們可以看出，大部分病毒開發者之間相互關聯。

　　“彼岸花”團隊溯源分析圖

　　威脅行為分析

　　我們對活躍度集中區的勒索病毒進行分析，根據鎖屏實現方式，大體將勒索病毒威脅行為分為兩大類：一類是通過修改設備的開機密碼來實現，另一類是通過控制懸浮窗置頂屬性來實現。

　　這兩類鎖屏在實現流程上存在共性，首先，通過偽裝獲取設備的系統權限;然后，通過系統權限直接激活設備管理器，修改系統開機密碼，或控制手機懸浮窗強制置頂屬性，使用戶無法正常使用設備。同時，有些勒索病毒為防止被破解，設置可反復鎖屏機制，即用戶在破解第一層鎖屏之后會出現第二層鎖屏，反復循環。最后被攻擊者需要通過被鎖屏幕中預留的QQ碼、郵箱、手機號等信息聯系勒索者繳納贖金方可解鎖。下圖展示了勒索病毒實現的具體流程。

　　勒索病毒實現流程圖

　　三、 威脅趨勢分析

　　1.勒索病毒活躍度總體呈上升趨勢

　　本次報告中，我們采樣的數據為2016年9月到2017年9月全網范圍內的惡意勒索病毒，從分析結果來看，勒索病毒活躍度總體呈上升趨勢，每月新增病毒數持續增加。其中，2017年4月份勒索病毒急劇增加，新增病毒總數達812個，比3月份增加了160.2%。國家互聯網應急響應中心從4月份起發布一系列勒索病毒通報，相關單位和部門對勒索病毒采取了一定的防御措施。5月份之后，雖然勒索病毒總體仍然處于上升趨勢，但每月病毒新增速度有所放緩。9月份新增219個勒索病毒，增長速度有所下降但仍然相當活躍。

　　2. 勒索病毒仍將主要攻擊經濟發達地區

　　從惡意樣本的地理分布圖中可以看出，勒索病毒主要活躍在廣東、北京等互聯網氛圍較好地區。2016年9月份到2017年1月份，勒索病毒集中活躍在北京、廣東、湖北經濟發達地區，2017年2月至5月份，勒索病毒活躍范圍在原來的基礎上向湖南、福建、安徽、四川、天津等鄰近省市擴散，直至9月份，北京、廣東仍然是勒索病毒攻擊的重災區，除此以外，在上海、浙江等經濟發展較好的省市也發現了勒索病毒的蹤跡并且數量逐月增加，經濟發達地區仍將是勒索病毒的主要攻擊目標。

　　勒索病毒查殺成本或將提高

　　為了逃避安全產品的查殺，病毒開發者開始利用各種手段，提高病毒免殺能力。我們在逆向分析病毒樣本時發現，部分勒索病毒使用加密平臺進行加密保護，不僅難以破解，而且加密過后能夠躲過病毒防御類產品檢測查殺。某些加固產品無安全認證機制，免費為各類開發者包括病毒程序開發者提供加密服務。經過此類加固平臺加固的病毒，惡意代碼被隱藏，查殺難度增大，提高了查殺成本。下圖為捕獲到的使用某加固平臺加固后的病毒樣本代碼示例。

　　使用加固平臺加密的病毒樣本截圖示意

　　四、總結與展望

　　1. 不法收益誘惑下的網絡攻擊仍將持續

　　當移動端遭受惡意攻擊時，被攻擊者通常為非專業技術人員，比起報案或請求技術破解，絕大部分被攻擊者更愿意“主動”交費以解除威脅。而攻擊者的主要目的就是通過非法手段索取錢財，從這一角度來看，移動端具有“誘人”的黑色收益，且這種收益并不會隨著技術的創新或防御手段提升而減少，反而攻擊者利用用戶的依賴心理表現的更加肆無忌憚，移動端的勒索攻擊將持續發生。

　　2. 社會工程學成為主流攻擊手段

　　勒索攻擊在社會工程學中的主要表現為直接誘惑和利用好奇心理達到攻擊目的。直接誘惑中，攻擊者將惡意程序喬裝成與用戶利益直接相關或有利可圖的助手軟件，如在社交類軟件中，“紅包”幾乎是聊天必備，“搶紅包”作為一種新型慶祝和游戲方式十分受用戶歡迎。攻擊者利用紅包的誘惑偽裝成紅包助手類應用誘導下載，如“秒搶紅包”、“紅包速搶”、“紅包外掛”等帶有直接誘惑性的詞語。另一種不同的心理攻擊方法則是利用人的好奇心理，通常惡意應用的名稱帶有一定的“勸誡或阻撓”意義，如勒索軟件“不要點我”、“千萬別點開”等。當用戶“不聽勸誡”點開軟件圖標則面臨系統鎖住的危險。

　　3. 勒索攻擊低齡化、團體化

　　以00后、90后為主的互聯網技術愛好者、學習者在金錢的誘惑下或為滿足自身的欲望逐漸成為“新人”黑客，在網絡攻擊中占比較大。病毒開發者呈現低齡化趨勢。此類“菜鳥黑客”由于年齡小，缺乏健全的法制教育，自身抵制誘惑的能力較弱，在非法收益驅動下，對網絡攻擊的熱情相對較高。雖然“菜鳥黑客”散布的病毒目前沒有達到完全免殺，但技術能力仍然持續提升。“菜鳥黑客”攻擊范圍日益擴大，難清理、難監管，逐漸成為網絡攻擊的主力軍，需要重點打擊。

　　4. 攻擊團伙較為集中，存在市場化攻擊服務

　　勒索病毒開發者之間相互關聯，攻擊團伙相對固定。從捕獲到的病毒樣本分析來看，雖然威脅行為相同，但收款賬號信息卻不盡相同，我們認為同一勒索病毒程序在反復流轉過程中如鎖屏圖片、收款信息等部分信息可根據需求實現定制化，地下黑產行業已由原先的“個體戶”變成“服務商”。惡意程序、鎖機工具等開發者團隊或視頻教程、源碼售賣團隊擔當“源碼服務商”的角色向黑產下游團隊提供豐富的用戶數據資源以及攻擊技術，并形成完整的攻擊方案，使得地下黑產行業運作流程市場化。此類服務的提供，縮短病毒開發的周期、降低成本，使得攻擊收益大幅提高。