資料結構
網路
關係型資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究什麼是GoldenEye勒索軟體攻擊?
如果您是邦德迷,您無疑看過電影《黃金眼》。勒索軟體程式的名字“黃金眼”就是由此而來。駭客團伙的名字也借鑑於這部電影。
在電影《黃金眼》中,俄羅斯犯罪組織Janus Syndicate利用蘇聯解體造成的動盪,侵入兩顆蘇聯衛星的控制系統。這兩顆衛星的名字分別是Petya和Mischa。然後,他們發射了“黃金眼”,一種電磁脈衝武器。
Petya勒索軟體是由一個採用了Janus綽號的俄羅斯駭客團伙建立的,其中一顆衛星的名字也是由此而來。當他們為他們的第二個病毒尋找不同的綽號時,Mischa是可以訪問的。因為在尋找第三個名字時,圖片中只有兩顆衛星,所以駭客轉向了電影的標題。駭客對這個虛構犯罪組織的強烈喜愛表明他們是俄羅斯人。
是什麼讓GoldenEye與眾不同?
GoldenEye勒索軟體結合了兩種攻擊方法。首先,下載一對病毒。它們的名字分別是Petya和Mischa。其次,這些病毒會加密資料,並要求支付贖金才能獲得解密金鑰,就像任何勒索軟體一樣。
Petya在當時具有革命性意義,因為它加密的是整個系統,而不僅僅是單個檔案。使用這種方法,無法破解加密。對Petya和GoldenEye的攻擊並非由其所有者發起。相反,這些計算機作為勒索軟體即服務提供給其他使用者。因此,許多針對性攻擊的負責人各不相同。
Petya最初以Beta版本提供給少量使用者。由於贖金資訊和徽標顯示在紅色背景上,因此被稱為Red Petya。不幸的是,Petya並不成功,因為它需要管理員許可權才能訪問作業系統並執行其加密操作。
當該系統向公眾釋出時,建立者對其進行了設計改進,並修改了配色方案,使其成為Green Petya。不幸的是,此版本包含Mischa,它會加密檔案並像標準勒索軟體攻擊者一樣執行。既然它已經嘗試了其低階攻擊,如果Petya系統未能達到管理員級別,它就會釋放Mischa。
臨時版本的2.5版包含針對勒索軟體缺陷的修復程式。Green Petya仍在使用中。到第四版Petya 3.0釋出時,GoldenEye已經成為最終系統。GoldenEye同時啟動Petya和Mischa,Mischa先執行。因此,該系統使用兩層加密。GoldenEye的標識與Green Petya不同,它是黃色和黑色的。
GoldenEye勒索軟體的起源
開發GoldenEye的公司名為Janus Cybercrime Solutions。這不是一個由國家支援的重大駭客組織。但是,該組織的品牌、名稱模式和藝術作品中的線索表明其基地位於俄羅斯。
Janus Cybercrime Solutions運營的一個Twitter賬號名為Janus Secretary。儘管該賬號在2016年和2017年活躍,但該個人資料最近沒有釋出任何帖子。
GoldenEye惡意軟體是如何運作的?
GoldenEye的存在時間很短。其首次攻擊始於2016年12月5日,其活動並未持續整年。Petya之前的版本都用英語與其目標通訊,但GoldenEye卻使用流利的德語。它是作為勒索軟體即服務提供的系統的一個定製版本。Janus組織只選擇攻擊德國是很奇怪的。GoldenEye可能是專門為Petya RaaS平臺的重要客戶之一建立的。
研究是GoldenEye攻擊入侵過程的第一步。每個目標都是釋出招聘資訊的公司。因此,GoldenEye沒有用於群發郵件;目標郵件是針對廣告發送的。Rolf Drescher始終是電子郵件的發件人。此次攻擊的目標是德國網路安全公司“Dipl.- Ing. Rolf B. Drescher VDI & Partner”,該公司提供Petya緩解服務。目標收到的電子郵件包含PDF簡歷和XLS檔案作為附件。GoldenEye安裝程式包含在XLS檔案中,作為開啟檔案時執行的宏。
宏建立與遠端伺服器的連線,下載Mischa專用程式碼,然後執行它。然後,低階Petya程式碼被複制並執行。GoldenEye改進了Petya,並克服了作業系統上的限制,無需使用者帳戶具有管理員許可權即可訪問作業系統。
GoldenEye在啟動時使計算機崩潰並強制重啟。然後,使用者會看到一個虛構的英文CHKDSK螢幕。這顯示了一個進度條,似乎表示檢查的進度。但這卻是加密過程的前端。
透過利用Windows作業系統中的漏洞,GoldenEye能夠加密主檔案表(MFT)、重寫主引導記錄(MBR)並停用安全模式啟動選項。GoldenEye系統在其Petya過程中使用Salsa20加密,在其Mischa階段使用RSA和AES加密密碼。
完成MFT加密過程後,計算機將顯示GoldenEye標誌以及基於文字的頭骨和交叉骨。然後顯示支付贖金的說明。
受害者被告知要下載Tor瀏覽器,訪問特定網站,並輸入特殊ID才能從攻擊中恢復。然後,該網站向受害者提供瞭如何用比特幣支付贖金的說明。付款後,使用者將收到MFT鎖定的解密金鑰和用於撤消Mischa加密的解密工具。
與一些勒索軟體系統相反,解密過程成功執行,支付贖金的目標能夠完全恢復。
446 次瀏覽
