数据结构
网络
关系型数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究什么是GoldenEye勒索软件攻击?
如果您是邦德迷,您无疑看过电影《黄金眼》。勒索软件程序的名字“黄金眼”就是由此而来。黑客团伙的名字也借鉴于这部电影。
在电影《黄金眼》中,俄罗斯犯罪组织Janus Syndicate利用苏联解体造成的动荡,侵入两颗苏联卫星的控制系统。这两颗卫星的名字分别是Petya和Mischa。然后,他们发射了“黄金眼”,一种电磁脉冲武器。
Petya勒索软件是由一个采用了Janus绰号的俄罗斯黑客团伙创建的,其中一颗卫星的名字也是由此而来。当他们为他们的第二个病毒寻找不同的绰号时,Mischa是可以访问的。因为在寻找第三个名字时,图片中只有两颗卫星,所以黑客转向了电影的标题。黑客对这个虚构犯罪组织的强烈喜爱表明他们是俄罗斯人。
是什么让GoldenEye与众不同?
GoldenEye勒索软件结合了两种攻击方法。首先,下载一对病毒。它们的名字分别是Petya和Mischa。其次,这些病毒会加密数据,并要求支付赎金才能获得解密密钥,就像任何勒索软件一样。
Petya在当时具有革命性意义,因为它加密的是整个系统,而不仅仅是单个文件。使用这种方法,无法破解加密。对Petya和GoldenEye的攻击并非由其所有者发起。相反,这些计算机作为勒索软件即服务提供给其他用户。因此,许多针对性攻击的负责人各不相同。
Petya最初以Beta版本提供给少量用户。由于赎金信息和徽标显示在红色背景上,因此被称为Red Petya。不幸的是,Petya并不成功,因为它需要管理员权限才能访问操作系统并执行其加密操作。
当该系统向公众发布时,创建者对其进行了设计改进,并修改了配色方案,使其成为Green Petya。不幸的是,此版本包含Mischa,它会加密文件并像标准勒索软件攻击者一样运行。既然它已经尝试了其低级攻击,如果Petya系统未能达到管理员级别,它就会释放Mischa。
临时版本的2.5版包含针对勒索软件缺陷的修复程序。Green Petya仍在使用中。到第四版Petya 3.0发布时,GoldenEye已经成为最终系统。GoldenEye同时启动Petya和Mischa,Mischa先运行。因此,该系统使用两层加密。GoldenEye的标识与Green Petya不同,它是黄色和黑色的。
GoldenEye勒索软件的起源
开发GoldenEye的公司名为Janus Cybercrime Solutions。这不是一个由国家支持的重大黑客组织。但是,该组织的品牌、名称模式和艺术作品中的线索表明其基地位于俄罗斯。
Janus Cybercrime Solutions运营的一个Twitter账号名为Janus Secretary。尽管该账号在2016年和2017年活跃,但该个人资料最近没有发布任何帖子。
GoldenEye恶意软件是如何运作的?
GoldenEye的存在时间很短。其首次攻击始于2016年12月5日,其活动并未持续整年。Petya之前的版本都用英语与其目标通信,但GoldenEye却使用流利的德语。它是作为勒索软件即服务提供的系统的一个定制版本。Janus组织只选择攻击德国是很奇怪的。GoldenEye可能是专门为Petya RaaS平台的重要客户之一创建的。
研究是GoldenEye攻击入侵过程的第一步。每个目标都是发布招聘信息的公司。因此,GoldenEye没有用于群发邮件;目标邮件是针对广告发送的。Rolf Drescher始终是电子邮件的发件人。此次攻击的目标是德国网络安全公司“Dipl.- Ing. Rolf B. Drescher VDI & Partner”,该公司提供Petya缓解服务。目标收到的电子邮件包含PDF简历和XLS文件作为附件。GoldenEye安装程序包含在XLS文件中,作为打开文件时运行的宏。
宏建立与远程服务器的连接,下载Mischa专用代码,然后运行它。然后,低级Petya代码被复制并执行。GoldenEye改进了Petya,并克服了操作系统上的限制,无需用户帐户具有管理员权限即可访问操作系统。
GoldenEye在启动时使计算机崩溃并强制重启。然后,用户会看到一个虚构的英文CHKDSK屏幕。这显示了一个进度条,似乎表示检查的进度。但这却是加密过程的前端。
通过利用Windows操作系统中的漏洞,GoldenEye能够加密主文件表(MFT)、重写主引导记录(MBR)并禁用安全模式启动选项。GoldenEye系统在其Petya过程中使用Salsa20加密,在其Mischa阶段使用RSA和AES加密密码。
完成MFT加密过程后,计算机将显示GoldenEye标志以及基于文本的头骨和交叉骨。然后显示支付赎金的说明。
受害者被告知要下载Tor浏览器,访问特定网站,并输入特殊ID才能从攻击中恢复。然后,该网站向受害者提供了如何用比特币支付赎金的说明。付款后,用户将收到MFT锁定的解密密钥和用于撤消Mischa加密的解密工具。
与一些勒索软件系统相反,解密过程成功执行,支付赎金的目标能够完全恢复。
446 次浏览
