騰訊安全反病毒實驗室：「敲詐者」黑產研究報告

導讀

一封短短的郵件，卻可以被不法分子用來遠程加密受害者文件，敲詐比特幣贖金。

本來用於自動運行操作方便用戶的宏命令，卻成為了木馬的「幫凶」。

敲詐木馬的背後，是成熟運轉的黑色產業鏈。從惡意伺服器的註冊和建設，到木馬的製作、郵件的發送，都能從受害者支付的贖金中分得一杯羹。

不法分子還會利用宏發動什麼樣的攻擊？面對這樣的木馬又應該如何防範？本報告將帶你了解以上內容，挖掘「敲詐者」及其背後的黑色產業。

一、愈演愈烈的敲詐風暴

只需一封郵件，便能鎖定電腦重要文件進行敲詐

席捲全球的敲詐風暴，公司被迫支付贖金

北京的汪為（化名）周一上班后，和往常一樣開始處理手頭的工作。

汪為所在的公司是一家互聯網企業，汪為日常的工作是在網上與客戶進行聯繫，維護產品銷售渠道。最近，公司準備出國參加一場展銷會，汪為正跟幾家快遞公司通過郵件商量宣傳物資的郵遞事宜。汪為在未讀郵件中挑出了與快遞相關的部分，逐一閱讀並打開其中的附件。他不知道的是，在這批郵件中，有一封主題為Delivery Notification的郵件，正悄悄地露出自己猙獰的爪牙。

一小時后，汪為看著自己電腦上被改成亂碼無法打開的文件，以及被修改為敲詐內容的桌面背景，近乎絕望的心情佔據了整個內心。

汪為的遭遇並非個例。自2014年起，陸續有人在打開郵件之後，發現自己電腦中的文件被修改，其中不乏公司核心數據、有重要意義的圖片等內容，一旦丟失造成的損失難以估量。同時，這些受害者都發現，在顯著位置上出現的敲詐文字，內容不外乎是「文件已被加密，如需恢復請按如下方式支付贖金……」云云。

哈勃分析系統是騰訊反病毒實驗室依託多年技術積累自主研發的一套樣本安全檢測系統。憑藉每日對真實環境中捕獲的海量樣本進行自動化分析，哈勃分析系統在第一時間捕獲到了這類木馬。

據哈勃分析系統長時間跟蹤發現，敲詐木馬最初僅在國外傳播，後來逐漸滲透到國內，敲詐使用的語言也從單一的英語逐漸發展到了包括中文在內的多種語言。受到木馬影響的公司不乏醫院、公交公司這樣的大型企業。更為嚴重的是，除了一些自身含有漏洞的木馬之外，還有很多木馬並無有效的解決之道，如果事先防範措施沒有做好，中招之後除了聯繫不法分子之外無計可施。雖然FBI曾經提示不要支付贖金，以免木馬製作者嘗到甜頭，繼續傳播木馬，然而對於一些重要的數據被加密的公司而言，這是無奈之中最後的辦法，例如好萊塢某醫院為了恢復患者病歷，被迫支付了相當於數萬美元的贖金。

二、木馬的傳播渠道

郵件附件是木馬最常見的傳播渠道

誘導用戶開啟並運行宏是文檔木馬的主要手段

這些破壞力強大、影響惡劣的木馬，是如何傳播到受害者電腦上的呢？經哈勃分析系統的調查，木馬的常用傳播渠道是通過郵件進行傳播，將木馬偽裝成郵件附件，吸引受害者打開。其中，最常見的附件格式是微軟的Office文檔，木馬使用文檔中的宏功能執行惡意命令，再從網上下載真正的惡意程序，對受害者電腦進行攻擊。

哈勃分析系統研究發現，在木馬入侵受害者電腦的每一步，都有一些固定的套路和模式。

在木馬傳播的第一步，即發送帶木馬的郵件時，不法分子通常會使用一些正常的公務主題進行偽裝，誘使受害者打開附件。此前汪為遇到的假冒郵件，是假稱快遞除了問題；除此之外，常見的主題還包括發票、費用確認等。一個明顯的現象是，處於財務、會計、對外關係等職位的員工，每日收發的同類郵件較多，對於這類郵件容易降低警惕心，因此容易成為不法分子發送郵件的目標。

如果受害者打開了帶木馬的宏文檔，由於高版本Office中，默認是不開啟宏的，所以木馬會在文檔正文中誘導用戶啟用宏，使得惡意代碼得以執行。

一個典型的宏木馬，部分宏代碼如下：

可以將木馬傳到哈勃分析系統，在安全的虛擬環境中查看木馬將要執行的惡意行為：

可以看出，這個文檔中的宏偷偷去下載了一個可執行文件並運行。除了直接從網路上進行下載之外，部分木馬也會通過其它手法釋放惡意文件，例如下面這個木馬：

連起來看就是，通過複雜字元串拼接得到當前系統temp目錄的絕對路徑，再去執行系統temp目錄中的sak33.exe這個文件，但是並沒有發現下載或者釋放這個文件的對應代碼。郵件中只有這麼一個附件，宏中只有拉起這個exe的操作，那麼這個exe是從哪來？怎麼釋放到這個位置的呢？

通過在不同操作系統和Office版本上進行對比測試，最終發現Office文檔中夾帶的其他文件，會使用OLE Object來儲存，而在XP和win7兩個操作系統中OLE Object釋放的方式和路徑不同，該宏病毒寫死了win7下釋放的路徑，所以在XP分析環境上無法成功執行。造成這種情況的原因有兩個可能，一是作者只使用了win7環境對此宏病毒開發測試，沒有考慮XP系統的問題；二是作者故意為之，來達到對抗目的。

在惡意可執行文件被運行起來之後，不法分子就可以任意操作受害者的電腦。比如下面這個木馬，在檢測虛擬機和兩步注入后，最終在svchost裡邊進行實際惡意行為，將可執行文件添加至啟動項並連接遠程伺服器：

在可執行程序與黑客的遠程伺服器保持通信之後，受害者的電腦已經被黑客佔領，最重要的一步已經完成。當然，這個例子中木馬的目的是在受害者的電腦中植入後門，不過同樣的手法，在加密敲詐類木馬中已經被證明同樣有效。

除了在郵件附件中放置文檔之外，還有一些其它的文件格式被用於木馬的傳播。這些格式有的是可以直接運行的腳本格式，例如Powershell、js、vbs等，有的是格式關聯的可執行文件具有一定的任意執行能力，例如JAR、CHM等。哈勃分析系統此前捕獲的「竊聽狂魔」、「冥王」等木馬，都是通過不同的格式執行惡意行為。

三、木馬背後的威脅情報

惡意伺服器位置以美國和俄羅斯數量最多

自建惡意網站或者入侵正規網站，具有較高的反跟蹤意識

既然大部分文檔木馬中的宏運行起來后，會從網路上下載可執行文件，那麼通過下載地址是否能找到有關木馬作者的蛛絲馬跡呢？

哈勃分析系統抓取了一段時間自動捕獲的木馬數據，對木馬以及下載時用到的網址進行了統計分析。

下載網址對應的域名，有一些用的是通用域名，其中又以.com域名最多，佔全部域名接近一半的比例。還有一些用的是國家域名，數量較多的是.cn（）和.ru（俄羅斯）。

同時，通過下載目標的命名可以看出，木馬經常將惡意文件偽裝成jpg、gif之類的圖片文件，或者是訪問php、cgi這樣的動態網頁，不直接提供文件格式信息，以躲避部分安全產品對exe可執行文件的檢查。

下載網址對應的IP信息，來自33個不同國家，其中又以美國和俄羅斯的伺服器數量最多。

下載網址又可以分為兩種情況。有的類似如下網址：

http://robotforex[.]net/873nf3g
http://sayvir[.]com/087gbdv4
http://seyahatdanismani[.]net/878hf33f34f
http://sublimeshop[.]co[.]uk/87t34f

http://trehoada[.]org/878hf33f34f
http://thecodega[.]com/878hf33f34f
http://thermo[.]dk/087gbdv4
http://saintsraw[.]com/087gbdv4
http://sandat-bali[.]com/087gbdv4

http://rechoboth[.]com/087gbdv4

這些網址絕大部分都是一個域名下放置一個惡意可執行文件供下載，域名之後部分的資源名稱也比較接近。這樣的網址有的是同一作者自己申請的一些小網站專門用於分發惡意文件，也有的是作者將木馬轉賣給了其他人，這些不同的不法分子各自申請了域名並在網站上放置惡意文件。

經過網路搜索查詢發現，這些域名基本都由不同的人註冊，並且很多域名帶了反whois查詢，難以從域名註冊者這條線索入手繼續追蹤。這也說明，這些不法分子通常非常注重自身的隱蔽性。

還有一種情況，是正規網站遭到入侵后被黑客用於分發。比如位於上海的網站http://www.ty****er.com/，原本是某生產公司的官網，但是被哈勃分析系統監控到用於分發locky敲詐木馬，其資源名稱部分也與上面惡意網站的內容極為相似。

四、高度發達的產業鏈

木馬交易、郵件傳播等環節都已形成成熟的黑色產業

逐步發展起來的比特幣市場為贖金交付提供了便利渠道

圍繞著這類木馬，已經形成了包括製作、傳播、贖金交付在內的一整套黑色產業鏈。不同身份的黑客在這個鏈條中分工合作，互相交換資源和數據，其目的只有一個，那就是從受害者的損失之中分得一部分利益。

以傳播木馬這個環節為例，既然木馬是通過郵件的方式進行廣泛傳播，那麼向誰發送郵件，如何發送郵件，都包含資源或利益的交換。目前已經形成了「收集客戶郵箱賬戶--->客戶身份信息分類--->兜售客戶郵箱賬戶--->專業發送郵件」的黑色產業鏈。只要用郵箱賬號在BBS、論壇、聊天室等網站上註冊過或者發表過言論，都有可以被黑產從業者使用爬蟲工具在網上抓取到，並通過言論行為以及賬號信息進行身份分類。被分類號的郵箱賬號會出現在各類平台上進行兜售。

比如下圖所示的兜售信息，郵箱賬號被細分為多個行業類別，一個行業類別的郵箱賬號信息的兜售價為9.90元。

購買郵箱賬號信息后，如果使用正規郵箱大量發送垃圾郵件，很大概率會被封號，於是出現了「專業發送郵件」的產業環節。據調查，該環節從業者多採取自搭建郵箱伺服器的方式，可以做到無限制的發送。比如下圖所示是兜售代發郵件服務的信息，不僅提供了代發服務，而且還可以查看到發送總量、打開、點擊人數等。

贖金交付是另一個重要的環節，它直接關係著整個黑色鏈條是否能從受害者那裡攫取到足夠的利益。

2014年興起的這波敲詐木馬，一個重要的特徵就是在敲詐文字中要求受害者支付比特幣作為贖金。比特幣是一種點對點網路支付系統和虛擬計價工具，通俗的說法是數字貨幣。比特幣的一個很重要的特點就是它的使用者具有匿名性，通過比特幣收款地址很難追蹤到對應的擁有者，因此很多地下交易者慢慢地開始採用比特幣收款，這樣既能通過互聯網在全球範圍內進行收付款，又避免了安全人員沿收款地址這個線索進行追蹤。敲詐木馬背後的眾多惡意分子也逐漸加入了這一行列。

值得一提的是，在比特幣的發展過程中，常常受到國家意志的影響。在中文互聯網中，有幾家網站面向公眾提供比特幣行情服務，除了展示比特幣與其它貨幣的實時匯率之外，也基於比特幣自身的規則，向用戶提供交易服務。這部分業務一直受到嚴密地監管，數年前就已經關閉了支付寶、銀行等渠道購買比特幣的服務，而在今年受到監管部門約談之後，更是不約而同地暫停了「比特幣提現」（可以理解為比特幣轉賬）業務。

雖然此行為更多地是針對資本外流、洗錢等目標，但不可否認的是，對受害者使用比特幣支付贖金也會帶來不小的影響。很多受害者即使想要使用比特幣支付贖金，也會面臨無法購買比特幣、購買后不知如何轉到對方賬戶等一系列的難題。

再加上很多人自身對比特幣就不是很了解，這就出現了比特幣代付、代購、充值以及兌換服務的產業，一般會收取當前比特幣交易價格的10%~20%作為手續費。這種服務雖然嚴格說來不能算是黑色產業，但是無疑也從此類木馬的爆發中獲益。

五、矛與盾的對抗

安全人員希望找到更多木馬的漏洞

木馬不停變種，補充更多惡意能力，針對目標更廣泛

通過郵件傳播的敲詐木馬自從被安全人員發現以來，安全行業從業人員始終沒有放棄對其進行查殺的努力。到目前為止，已經為部分CryptXXX、TeslaCrypt、Jigsaw等木馬變種開發了對應的解密工具，受害者只需要根據工具的指示進行操作，無需支付贖金即可恢復被這些木馬加密的文件。哈勃分析系統也發布了數個解密工具。與此同時，很多安全廠商與政府部門聯合起來，推出了www.nomoreransom.org網站，希望為敲詐木馬的受害者提供一站式解決方案。

不過，受到木馬演算法原理的制約，沒有一個工具能夠一勞永逸地解決所有問題。同時，木馬作者也在不斷變換自己的手法，希望從文檔木馬中榨取更多的價值。據哈勃分析系統觀察，木馬有如下的發展趨勢。

首先是在敲詐木馬之外拓展新的作惡手法。由於大部分文檔木馬的功能是從網路上下載文件並執行，不法分子可以輕鬆地變換下載內容，給受害者造成其它的損失。比如，劫持受害者的瀏覽器訪問廣告網站或釣魚網站，或者在受害者的電腦上安裝後門木馬，實時監控電腦行為並上傳隱私信息，等等。去年哈勃分析系統捕獲的「盜神」木馬即是文檔木馬與後門木馬進行綁定的一個典型的例子。

其次是以更多不同種類的人群為目標，開發針對性的木馬。例如最近出現的一類文檔木馬，在宏中調用了Mac操作系統特有的動態鏈接庫函數，同時使用系統內置的Python運行環境執行惡意行為。Mac操作系統由於市場佔有率的問題，以前很少見木馬爆發的消息，但是近幾年來，也有不法分子盯上了使用Mac操作系統的這部分人群，編寫在Mac電腦上也能作惡的木馬，對於此類趨勢也不能掉以輕心。

除此之外，在一些針對政府、軍隊等敏感目標的高等級、強對抗的網路攻擊中，也出現了文檔木馬的身影。有的木馬以地緣政治為主題，向政府外交、科研等機構發送郵件，有的木馬以戰爭進展為主題，向NATO等軍事組織發送郵件。甚至曾經出現過以經濟主題，且針對WPS漏洞進行攻擊的惡意郵件。

在這場矛與盾的對抗之中，可以肯定的是，如果事前對這類攻擊手段有所防範，則可以有效降低損失。哈勃分析系統提出了如下的防範措施：

六、後記

汪為依然在努力恢復被木馬加密的文件。他找遍了各個備份位置以及同事的聊天記錄，但仍然沒有辦法百分之百地找回所有文件。有傳言他需要賠償公司一定的經濟損失，有可能是幾個月的工資，汪為的眼神中又多了一點落寞。

在網路這個虛擬世界里，每天不知道有多少像汪為這樣的人，由於一時的大意，被郵件中的文檔木馬侵入成功，造成不同程度的損失。

「天下無賊」也許短時間內無法實現，不過提高自身的防範意識，讓身邊其他人了解防範措施，是每一個人都能做到的，也是我們聯起手來對抗木馬背後的黑色產業的最合適的行動。