早前，我们从赎金角度探讨了下勒索病毒的发展演变，详细参考从赎金角度看勒索病毒演变。加密数字货币和Tor网络对勒索病毒的基础性支撑不再赘述，今天，我们回归技术，从另外一个角度，看勒索病毒为何会如此猖獗。为了很好的回答这个问题，我们同样不急于切入主题。首先，深信服安全团队基于大量真实的客户案例及大量的威胁情报信息，来盘点近几年勒索病毒使用过的工具和漏洞。

工具

本质上来讲，工具是无害的，取决于使用的人，就像一把菜刀，可以用来切菜，也可以用来砍人，不过话又说回来，在特定场景和环境，我们又不得不对这些工具进行限制，同样以菜刀为例，菜刀在国内地铁环境下，即密集人流环境下，多数情况下是不允许被携带的，原因相信大家都懂的。

其实，对网络安全、攻防对抗来讲，工具也是承担类似的角色，黑产团队可以用这些工具，安全团队也可以用这些工具，至于利弊来讲，是取决于使用者的最终目的的。以开源工具Process Hacker为例，安全团队可以用这个工具进行应急响应、恶意进程分析、病毒查杀；而黑产团队可以用这个工具对安全软件进行卸载，对系统或应用级保护机制进行破坏。

对从事勒索病毒活动的攻击者来讲，同样存在上述现象，攻击者可以使用大量的工具进行攻击活动。深信服安全团队处理过大量的勒索病毒案例，从攻击现场，捕获了大量的工具，这些工具都是攻击者所使用的。当然，这些工具本身也可以被用于正常用途。

ProcessHacker

Process Hacker是一款针对高级用户的安全分析工具，它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外，它还可以检测恶意进程，并告知我们这些恶意进程想要实现的功能。Process Hacker是一个开源项目，Process Hacker跟ProcessExplorer十分相似，但是Process Hacker提供了更多的功能以及选项。而且由于它是完全开源的，所以我们还可以根据自己的需要来自定义其他功能。就是这样一款工具，安全人员和黑客，均可以拿来使用，至于是用来应急响应和查杀病毒，还是用来破坏系统或应用，就取决于使用者。我们在大量的勒索病毒攻击中，发现很多中勒索病毒的主机，黑客都会上传一份ProcessHacker，在执行勒索病毒前，先把本地保护机制破坏掉，防止加密过程被中断。

PCHunter

PCHunter是一款功能强大的Windows系统信息查看软件，同时也是一款强大的手工杀毒软件，用它不但可以查看各类系统信息，也可以揪出电脑中的潜伏的病毒木马。不过，深信服安全团队发现，在勒索病毒攻击活动中，黑客也有可能使用这个工具，原因仍然是想在执行勒索病毒前，先把本地保护机制破坏掉，防止加密过程被中断。有意思的是，这个工具是国人开发的，也就是工具本身是中文版的，外国人懂的概率比较低（难不成攻击前得先学中文？）。这里也是提醒大家，黑产团队并不局限一个地区的，像勒索病毒这块“巨大的蛋糕”，国内黑产或华人黑产社区，很难想象不会参与其中。当然，境外人士对国内的勒索攻击行为相信是占大头的，毕竟他们可以肆无忌惮的攻击政府、医疗等等敏感或公益行业。

Mimikatz

神器Mimikatz是法国人Genti Kiwi编写的一款windows平台下的工具，它开发了很多功能，最令人熟知的功能是直接从lsass.exe进程里获取Windows处于激活状态账号的明文密码。也正是因为此功能，常常被黑客所使用，用于提取被入侵主机更多的账号密码，在勒索攻击中非常常见。

上图显示了某次勒索攻击活动中Mimikatz获取密码的过程。

PsExec

PsExec 是一个轻型的 telnet 替代工具，它使你无需手动安装客户端软件即可执行其他系统上的进程，并且可以获得与控制台应用程序相当的完全交互性。这是一款微软官方网站可以下载的工具，有数字签名，属于“根正苗红”类型的，很少有杀毒软件会将这个软件当作病毒的，因为本身它也有正常的用途的。不过，或许正是因为此（杀软不敢“动它”），黑客在勒索攻击中，也时常会使用这个工具，进行远程病毒执行和内网扩散。

NetworkShare

网络共享扫描工具，用于发现网络共享资源的，至于用来做什么，看你的目的了。当然，我们确实在不少的勒索病毒攻击中，发现了这个工具。

DUBrute

DUBrute是一款强大的远程桌面(3389)密码破解软件，你可以用本附件的扫描功能来自动扫描活跃IP地址，扫描完成后设置好用户名与需要猜解的密码就可以开始全自动工作了。

NLBrute

一款爆破工具，跟DUBrute比较类似，不同黑产团队可能使用不同的爆破工具，或者基于某种考虑，会轮换使用相同类型的不同工具。

WebBrowserPassView

WebBrowserPassView是一款功能强大的网页密码查看工具。该款工具会自动找出你在浏览器里面保存过的的帐号和对应的密码并显示出来，只要启动它，经过几秒钟之后，就会看到画面上出现你的浏览器所记忆的网址、帐号及密码了！目前一共支持了IE1~IE9、Firefox、Chrome及Opera等四种主流浏览器。

Nasp

一款服务安装软件。

KPortScan

一款端口扫描工具。

PortScan & Stuff

一款端口扫描工具。

Lazykatz

Mimikatz作为一款神器，已广为人知，杀毒软件已将此软件视为“病毒”和“黑客工具”。为了逃避检测和加强绕过，Lazykatz是Mimikatz的升级版本。

PowerTool

PowerTool 一款免费强大的进程管理器，支持进程强制结束，可以Unlock占用文件的进程，查看文件/文件夹被占用的情况，内核模块和驱动的查看和管理，进程模块的内存的dump等功能。最新版还支持上传文件在线扫描病毒。支持离线的启动项和服务的检测和删除，新增注册表和服务的强删功能，可在PE系统下清除感染MBR的病毒（如鬼影等）。

Masscan

Masscan是为了尽可能快地扫描整个互联网而创建的，根据其作者robert graham，这可以在不到6分钟内完成，每秒大约1000万个数据包。

AnyDesk

AnyDesk是一款免费远程连接/远程桌面控制软件，在一些勒索病毒攻击活动中，我们发现还是有些黑客为了方便，会预留一个远程软件，方便其登录控制。

DefenderControl

Defender Control是一款实用的Windows Defender控制工具，这款工具的主要作用就是可以对Windows Defender进行开启和关闭操作。

Rdp_Connector

RDP连接工具，勒索病毒攻击活动中，RDP弱密码作为一个很严重的问题，经常会被利用。

Netpass

Network Password Recovery（系统管理员密码查看器）是一款功能强大的系统管理员密码密码找回软件，如果忘记了电脑系统管理员密码时，通过这款软件既可以帮助你轻松找回，让你能够继续使用电脑。有趣的是，如果你是管理员，找回密码是一种正常行为，但如果你是勒索病毒的攻击者，“找回密码”肯定动机就不单纯了，而我们在大量案例中，也确实发现了这个工具的使用痕迹。

Gmer

Gmer是一款来自波兰的多功能安全监控分析应用软件。它能查看隐藏的进程服务，驱动， 还能检查Rootkit，启动项，并且具有内置命令行和注册表编辑器 ，Gmer具有强大监控功能。Gmer还具备自己系统安全模式，清理顽固木马病毒很得心应手！同样的，我们也在勒索病毒攻击中，发现了这个工具的使用痕迹。也就是说，工具只要好用，易上手，基本上就会有很多人去用。

漏洞

漏洞在勒索病毒攻击中，同样扮演了一个重要角色。由于操作系统和应用软件的数量、版本众多，这些系统、软件和程序，或多或少都存在各种各样的漏洞，也正是由于这些漏洞的存在，使攻击行为变得更加快速和高效。以下漏洞，是深信服安全团队跟踪和发现的，在近几年被勒索病毒攻击所使用的漏洞。

永恒之蓝漏洞(MS17-010)

2017年5月12日WannaCry勒索病毒在全球爆发，勒索病毒利用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户，包括学校、医疗、政府等各个领域。

Confluence漏洞(CVE-2019-3396)

Confluence是一个专业的企业知识管理与协同软件，可用于构建企业wiki。2019年4月份，深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件，已有政企机构受到攻击，黑客团伙通过漏洞利用入侵服务器，上传Downloader脚本文件，连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联，该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。

此外，深信服安全团队，也关注到了国外厂商也发生类似的入侵事故。

参考链接：https://blog.alertlogic.com/active-exploitation-of-confluence-vulnerability-cve-2019-3396-dropping-gandcrab-ransomware/

JBoss反序列化漏洞(CVE-2017-12149)

JBoss反序列化漏洞(CVE-2013-4810)

JBoss默认配置漏洞(CVE-2010-0738)

由于大部分服务器都会对外提供服务，这意味着如果系统、应用漏洞没有及时修补，攻击者就可能乘虚而入。我们发现有不少的勒索病毒，会尝试攻击Weblogic、JBoss、Tomcat等Web应用，之后通过Web应用入侵Windows服务器，下载执行勒索病毒。

注：上图显示了某款勒索软件所内置的JBoss默认配置漏洞利用代码。

Tomcat任意文件上传漏洞(CVE-2017-12615)

注：上图显示了某款勒索软件所内置的Tomcat任意文件上传漏洞利用代码。

WebLogic任意文件上传漏洞(CVE-2018-2894)

Satan勒索病毒已更新到V4.2版本，在最新版本中新增加了利用CVE-2018-2894（WebLogic任意文件上传漏洞）进行传播。

Weblogic WLS组件漏洞(CVE-2017-10271)

注：上图显示了某款勒索软件所内置的Weblogic WLS组件漏洞利用代码。

WinRar漏洞(CVE-2018-20250)

2019年2月21日，通用压缩软件WinRAR被爆出存在严重的安全漏洞，据称有超过5 亿的用户可能受到该漏洞影响。被发现漏洞的是WinRAR安装目录中的一个名为“UNACEV2.dll”的动态链接库文件，该文件自 2005 年发布至今就从未有过更新过。同年3月17日，首个利用WinRAR漏洞传播勒索病毒的ACE文件即被发现。当受害者在本地主机上通过WinRAR解压该文件后便会触发漏洞，漏洞利用成功后会将内置的勒索软件写入到用户主机启动项中，当用户重启或登录系统都会触发执行该勒索软件，从而导致重要文件被加密。

Windows ALPC 特权升级漏洞(CVE-2018-8440)

Windows提权漏洞(CVE-2018-8120)

在勒索病毒攻击活动中，也有一些勒索病毒使用了提权漏洞。譬如CVE-2018-8120的存在，在Windows 7、Windows Server 2008 R2和Windows Server 2008中允许从内核提升权限。由于系统进程令牌中存在错误对象，因此更改恶意软件中的此令牌会导致恶意软件使用系统权限。

注：上图GandCrab5.0勒索病毒内置的执行CVE-2018-8120漏洞的代码。

Apache Struts2远程代码执行漏洞(S2-045)

注：上图显示了某款勒索软件所内置的Apache Struts2远程代码执行漏洞利用代码。

Apache Struts2远程代码执行漏洞(S2-057)

注：上图显示了某款勒索软件所内置的Apache Struts2远程代码执行漏洞利用代码。

Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)

Flash远程代码执行漏洞(CVE-2018-4878)

Flash类型混淆漏洞(CVE-2015-7645)

Flash越界读取漏洞(CVE-2016-4117)

Flash Player (CVE-2015-8651) 

Internet Explorer内存损坏漏洞(CVE-2016-0189)

一款叫Princess（“公主”）的勒索软件，就集成了上诉多个漏洞利用代码。

参考链接：

https://malwaretips.com/threads/rig-exploit-kit-distributes-princess-ransomware.75060/

Spring Data Commons远程代码执行漏洞(CVE-2018-1273)

社工与爆破

除了工具和漏洞，社工与爆破，也在勒索病毒活动中扮演了十分重要的角色。

VNC爆破

2019年3月，针对远程管理工具VNC进行大范围扫描探测被发现，攻击者使用弱口令字典对运行VNC服务的机器进行爆破连接。爆破成功后，该团伙会在中招企业网络中运行多种病毒木马，包括GandCrab5.2勒索病毒、门罗币挖矿木马、数字货币钱包劫持木马等均被下载运行。

参考链接：https://www.freebuf.com/column/198957.html

RDP爆破

2018年8月，深信服安全团队陆续接到政府、国企、医疗等多个行业用户反馈，其业务系统在短时间内出现被勒索加密现象，造成服务器大面积瘫痪，情况危急，原因不明，对如何遏止影响进一步扩大束手无策。深信服安全团队，通过深入追踪分析，发现大面积瘫痪，主要是统一的RDP弱密码造成的，勒索家族为CrySiS，目前仍然是比较活跃的勒索家族之一。黑客主要利用大量黑客工具，进行RDP爆破，利用统一密码特性，使用相同密码对全网业务进行集中攻击，导致重要数据被加密。

参考链接：https://www.freebuf.com/articles/terminal/179004.html

Web管理后台弱口令爆破

勒索病毒GandCrab曾多次被爆出通过暴力破解Tomcat Web服务器弱密码实现入侵。例如通过入侵通过Tomcat Manager管理后台弱口令进行爆破，爆破成功后，攻击者会上传一个war包，该war包中包含了一个JSP网页木马，这是一个拥有最高权限的WebShell。攻击一旦得手，黑客就会以此为跳板，继续向内网扩散。

SMB爆破

SMB是一种非常常用的网络共享协议，基于SMB漏洞的勒索病毒入侵很多，典型的就是WannaCry勒索病毒。其实，SMB爆破也是勒索病毒入侵的一种常见方式。黑客深入内网后，常见会利用攻击工具（SMB弱口令爆破）在局域网内横向扩散。从调查来看，虽然机构大多都有及时修复高危漏洞的意识，但是由于管理不到位，SMB账号爆破风险依然存在，给了黑客可乘之机。

MySQL爆破

2019年9月，深信服安全团队发现，全国各地有多处针对MySQL数据库的勒索病毒现象发生，其主要入侵手段是MySQL账号密码爆破，与以往勒索病毒攻击相差较大的是，表现为不在操作系统层面加密任何文件，而是直接登录MySQL数据库，在数据库应用里面执行加密动作。加密行为主要有，遍历数据库所有的表，加密表每一条记录的所有字段，每张表会被追加_encrypt后缀，并且对应表会创建对应的勒索信息。

参考链接：https://www.freebuf.com/articles/system/213975.html

钓鱼邮件

2019年4月，深信服安全团队接到包括金融行业在内的多家企业反馈，其内部员工收到可疑邮件。邮件发件人显示为“National Tax Service”（译为“国家税务局”），邮箱地址为lijinho@cgov.us，意图伪装成美国政府专用的邮箱地址gov.us。追踪发现，该邮件为GandCrab5.2勒索病毒的钓鱼邮件，用户如果尝试打开该邮件附件，就会中勒索病毒，从而造成不可估量的损失。

参考链接：https://www.freebuf.com/articles/system/200070.html

U盘投毒

2018年12月，GandCrab勒索病毒通过U盘和压缩文件传播，一度活跃在包括局域网在内的众多终端上。该蠕虫病毒构成的僵尸网络，过去主要传播远控、窃密、挖矿等木马病毒，而现在开始投递GandCrab勒索病毒。

参考链接：https://www.secrss.com/articles/6806

在地下论坛购买RDP账号

地下论坛一直是黑产的温床，对有些黑客来说，并不一定要自己亲自去破解用户账号密码。以勒索病毒为例，很早就爆出，一个RDP账号大概20美元，在地下论坛和市场可以直接购买，然后用于勒索病毒攻击活动，赚取勒索成功后的巨大差价。

参考链接：

https://www.bankinfosecurity.com/ransomware-gangs-not-so-secret-attack-vector-rdp-exploits-a-13342

僵尸网络

2019年7月，深信服安全团队捕获到一起利用Trickbot僵尸网络下发Ryuk勒索病毒的攻击事件。Ryuk勒索病毒最早于2018年8月被安全研究人员披露，名称来源于死亡笔记中的死神。该勒索病毒运营团伙最早通过远程桌面服务等方式针对大型企业进行攻击。起初由于代码结构与Hermes勒索病毒十分相似，研究人员将Ryuk勒索事件归因于朝鲜的APT组织Lazarus。随后，国外安全团队发现了针对已经被TrickBot攻击的受害者的Ryuk勒索活动，由此关联出Ryuk勒索事件实为俄罗斯黑客组织GRIM SPIDER所为。在这里是想提醒大家，现存的僵尸网络是很庞大的，如果后期僵尸网络大量被用于勒索攻击，是一件非常可怕的事情。

参考链接：https://www.freebuf.com/articles/system/208537.html

破解软件

由于某方面原因，有不少用户喜欢用一些破解或者捆绑类软件，其实天下没有免费的午餐，破解或者捆绑软件，给你带来“便利”的同时，说不定就会给你预留一个大坑。2018年12月，深信服安全团队发现一款cexplorer.exe软件，通过被捆绑的方式而携带了勒索病毒。该勒索病毒与正常的应用软件捆绑在一起运行，捆绑的勒索病毒为STOP勒索病毒的变种，加密后缀为.djvu。如果用户到官方站点下载，切勿轻信第三方下载链接，就可以大大规避此类中招风险，说到底，还是员工安全意识不到位。

参考链接：https://www.freebuf.com/articles/terminal/192059.html

结论

通过盘点，可以看到，大量的工具、漏洞、社工与爆破被应用在勒索病毒攻击活动中。实际上，勒索病毒是一个高度经济化的产物，如何理解呢？就是各个黑产团队，会想方设法以最小代价获取最大利益，因为攻击有一个成本问题。

以工具为例，其实黑客进行勒索病毒攻击所使用的工具，很难说就是“黑客工具”，这里面有很多工具也可以用于正常用途，例如Process Hacker和PC Hunter这种，就是可以用来排查病毒和强制杀死病毒进程的。但实际上，这类安全人员所使用的工具，并没有规定黑客不能用啊，而且他们完全没有必要去重新开发，“拿来主义”很方便。既然能用这类工具做对抗，即破坏安全软件的环境，使勒索病毒能正常运行，所以就会被黑客所频繁使用。再比如PsExec工具，这个是微软官方网站的一个工具，所谓“根正苗红”，但照样被黑客拿去从事勒索病毒攻击活动。

以漏洞为例，目标企业（被勒索病毒入侵的对象），本身的系统、版本、业务和软件是繁多的，有多少漏洞很难讲，但实际上，很多时候，黑客并不是要找“最难找”的漏洞（或者发现最新的漏洞，如0day），也不是要“找全”所有的漏洞，作为突破口，很多时候，往往找到一个“最好找”的漏洞即可，由此在目标企业内网撕开一个口子，漫游内网，并将勒索病毒在内网大肆传播，获取巨大利润。

以社工和爆破为例，目标企业并不是所有人都有很好的安全意识，而攻破一个企业，并不需要把所有人都攻击到位，只要有个别员工存在“疏忽”行为，点击不明邮件或下载运行不明软件，都有可能带来入口点的突破，从而导致后面勒索病毒在内网的横向。而且安全和易用性往往有一定的矛盾性，安全部门强调安全性，业务部门强调易用性。业务部门作为生产部门，有很大的话语权，有时候为了更快的运转，更“方便”底下员工，在管控上都做的不是很到位。譬如，U盘可以乱插拔，网络可以随意介入，甚至为了方便（防止忘记密码），内网大量主机和服务器常常设置弱密码，并且基本不更新。

工具种类的繁多，本质上是数字化繁荣，即社会活动前所未有的向数字化方向转移，设想能用软件解决的问题，谁还会手动去操作或者记录？能用工具解决的问题，就没必要用命令行或者大量重复的操作。也就是说，同大多数新型事务一样，勒索病毒也从数字化繁荣中“得到了发展”，或者“越来越猖獗”。

漏洞，本质是软件的弱点，这个也很难根治，并且随着数字化和信息化时代的繁荣，软件开发速度只会越来越快，种类只会越来越多，版本也是纷繁复杂，所以从长期趋势来讲，黑客可利用的漏洞，是正相关的。而所有漏洞利用和攻击中，勒索病毒凭借“短平快”的特点，几乎会长期存在，并且日趋严重。

从社工与爆破来看，内在本质是人的弱点，这个弱点是具有普遍性、通用性的，任何一个人或者一名员工都有可能有这个弱点。虽然说漏洞衍生意义来讲，是软件的弱点，软件衍生意义来讲，也是人的弱点，不过这更多是一个行业人员的弱点，譬如软件开发者。就勒索病毒来讲，在社工与爆破方面，其实只要找到一个这样的人并成功实施即可，所以对人的安全意识之加强，也是十分繁重的任务。

回到最开始的问题，从技术角度，勒索病毒为何会如此猖獗？答案还是很明显的，信息化、数字化浪潮中，很多安全问题错综复杂，亟待解决。而企业在安全建设的投入，逐渐跟不上攻击者的“投入”。或者通俗的讲，就是得投入更多的人力、更多的基础设施，去建设企业安全，而不是等勒索病毒出现了再采取行动。

解决方案

其实勒索病毒演变至今，已经不再是单纯的个人行为，必须以集体力量对抗集体力量。

勒索病毒攻击者已经产业化运作，防护者更不应该只是单纯的只依赖某个软件，就指望着解决所有问题，这是很困难的，防勒索，还得系统化思考，深层次多角度进行产业化对抗。

针对勒索病毒，深信服有一套完整的整体解决方案。深信服下一代安全防护体系（深信服安全云、深信服下一代防火墙AF、深信服安全感知平台SIP、深信服终端检测与响应平台EDR）通过联动云端、网络、终端进行协同响应，建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源，从用户场景出发，解决系统脆弱性和保证事件响应高效性。

系统脆弱性方面，深信服构建了强大的脆弱性发现和修复机制，降低系统脆弱性风险，主要建设能力包括：漏洞管理、渗透测试、系统和网络监控、基线核查、日志聚合与数据分析、补丁管理和部署、安全运营中心等。

事件响应高效性方面，深信服构建了云网端+安全服务的一整套完整解决方案，我们拥有完整专业的勒索病毒响应流程，防火墙、安全感知、EDR、安全云脑能在勒索病毒事件发生的全生命周期，进行检测、拦截和封堵，结合后端强大的安全专家队伍，能最大限度、最快的保护企业核心数据资产免受勒索病毒的侵害。

*本文作者：深信服千里目安全实验室，转载请注明来自FreeBuf.COM