勒索軟件這門生(shēng)意

發布日期:2017-05-22首頁 > 安全資(zī)訊

在數字世界裏,勒索這門生(shēng)意,這幾年卻正蓬勃興起。勒索軟件的概念可以追溯到 1989 年,那時人們通過人工(gōng)投遞的軟盤,将 PC 鎖定惡意代碼發送給受害者,但自 2014 年以來,随着比特币等加密數字貨币在全球的廣泛使用,這類業務有了令人側目的增長。

微信圖片_20170522111155.jpg

  緣起 

  勒索從來就是一(yī)門生(shēng)意,大(dà)生(shēng)意,隻是,很不招人待見。 

  原理上,勒索屬于一(yī)種雙方或多方博弈,曆史很久遠,比如《史記·刺客列傳》裏,曹沫劫齊桓公,就是爲了挽回打敗仗輸掉的城池,雖然當時曹沫勒索成功,但最終魯國還是滅亡了。還有更不着調的,南(nán)梁蕭衍信佛,爲了給佛寺籌款修建,三次稱自己被菩薩綁架,強迫群臣湊錢來贖。民間糾紛,也時有發生(shēng),但人人都知(zhī)道,這是違法的。 

  在數字世界裏,勒索這門生(shēng)意,這幾年卻正蓬勃興起。勒索軟件的概念可以追溯到 1989 年,那時人們通過人工(gōng)投遞的軟盤,将 PC 鎖定惡意代碼發送給受害者,但自 2014 年以來,随着比特币等加密數字貨币在全球的廣泛使用,這類業務有了令人側目的增長。 

  勒索軟件生(shēng)意的市場有多大(dà)?

  看看數據,根據 CybersecurityVentures 2016 年的報告,“2017-2021 未來 5 年,全球網絡安全産品及服務的支出,累計将超過 1 萬億美元;而全球網絡犯罪造成的經濟損失,2015 年當年就達到約 3 萬億美元,到 2021 年,預計将增長到每年 6 萬億美元。” 

  勒索軟件隻是數字犯罪中(zhōng)的一(yī)種形式,但因其特殊性,自 2016 年起,勒索軟件開(kāi)始成爲企業和消費(fèi)者面臨的最大(dà)網絡安全威脅之一(yī)。美國政府的統計數據表明,勒索軟件攻擊在 2016 年增長了 4 倍,平均每天發生(shēng)4,000 次。 

  爲什麽會有人從事勒索軟件?因爲有市場。

  勒索軟件的主角們大(dà)都有着強烈的經濟動機。FBI(聯邦調查局)和國際執法部門一(yī)直在就這一(yī)威脅發出警報。聯邦調查局估計,2016 年,勒索軟件将爲網絡犯罪分(fēn)子帶來約 10 億美元的收入,在 2016 年的前 3 個月,網絡犯罪分(fēn)子就獲得了據稱 2.09 億美元的收入,與 2015 年相比,勒索軟件在 2015 年全年僅帶來了 2400 百萬美元的收入,因此,從 2015 到 2016 年,出現了驚人的 771% 的增長。典型勒索贖金金額介于 200 到 10,000 美元之間,平均高達 500 美元,最常采用的支付方法是加密貨币形式,而企業的服務器和網絡勒索金額高達 4 到 5 位數,有時甚至達到數百萬美元。

  以本次爆發的 WannaCry 爲例,據當中(zhōng)一(yī)份報告統計,有超過 130,000 個端點報告遭到感染,因持續發作,最終實際受損終端可能遠遠超過這個數量。每個受害者被要求支付約 300 美元來解鎖設備,假如所有受害者均願意支付贖金,則僅本次勒索而言,贖金将超過3,900 萬美元。當然,WannaCry 最終黑客所獲取的收益,遠遠沒有這麽多,據分(fēn)析隻有 100 多筆付款(IBMX-Force 研究所推測,大(dà)部分(fēn)支付贖金的人是被感染的個人用戶),但這類勒索軟件給客戶帶來的損失,卻是不可估量的,有媒體(tǐ)報道,全球總損失大(dà)約 80 億美金。  

  所有官方機構及媒體(tǐ),都不鼓勵人們支付贖金,因爲支付後無法保證受害者能重獲其數據的訪問權,而且這會助長網絡罪犯的持續犯罪。FBI 網絡部門助理總監 James Trainor 說:“支付贖金無法讓組織保證它能找回數據 – 我(wǒ)們看到過組織在支付贖金後從未獲得解密密鑰的情況。支付贖金不僅會助長現有網絡罪犯繼續攻擊更多組織;還會刺激其他罪犯參與此類非法活動。最後,由于支付了贖金,組織可能非故意地資(zī)助了其他與犯罪相關的非法活動。”

  但現實是,相當一(yī)部分(fēn)用戶,願意支付贖金,來換回他們的數據。這就是市場。  

  根據 IBMXForce 調查顯示:

  70% 的企業高管受到勒索軟件影響的企業向網絡犯罪分(fēn)子支付了贖金,以便重新獲得對業務數據和系統的訪問權;而且這些企業中(zhōng)超過一(yī)半支付了 10,000 美元以上的贖金,更有 20% 的企業支付了超過 40,000 美元。

  所有企業高管中(zhōng)有近 60% 表示願意支付贖金以恢複數據。

  25% 的企業高管表示,根據數據類型的不同,他們願意支付 20,000 到 50,000 美元,以重新獲取對數據的訪問權。

  在高管最可能爲其支付贖金的數據類型列表中(zhōng),财務和銷售記錄位居榜首,盡管各類數據之間的差别通常很小(xiǎo)。

–  财務記錄– 62%

–  客戶和銷售記錄– 62%

–  企業電(diàn)子郵件系統/服務器– 61%

–  知(zhī)識産權– 60%

–  人力資(zī)源檔案– 60%

–  企業雲系統訪問權– 60%

–  商(shāng)業計劃– 58%

–  研發計劃– 58%

–  源代碼– 58%

  消費(fèi)者在其财務信息、數字家庭回憶信息等受到威脅時有支付贖金的動機。

  雖然超過 50% 的消費(fèi)者最初表示他們不會支付贖金,但當被問及具體(tǐ)數據類型時,他們的支付意願開(kāi)始上升:

  –  54% 的消費(fèi)者表示,他們有可能支付贖金,以取回财務數據。

–  43% 的消費(fèi)者表示,他們願意支付贖金,以重新獲得對其移動設備的訪問權。

–  超過一(yī)半(55%)的父母願意支付贖金,以重新訪問其數字家庭照片;相比之下(xià),無子女的受訪者中(zhōng)隻有 39% 願意這樣做。

  父母們更願意支付贖金:IBM 的分(fēn)析發現,由于涉及到情感價值以及子女幸福,父母們更有動力支付贖金。

–  39% 的家長有處理勒索軟件方面的經驗,而總體(tǐ)上 29% 的非父母表示具有某些相關經驗。

–  71% 的家長最擔心其家庭數碼照片和視頻(pín)受到威脅,而隻有 54% 的非父母表示出這種擔憂。

–  總的來說,55% 的家長會支付贖金以便能夠重新訪問他們的照片,而隻有 39% 的非父母會支付贖金。

  勒索軟件生(shēng)意的模型及問題

  有了明确的市場,生(shēng)意便有了土壤,剩下(xià)的,就是執行策略和成本收益分(fēn)析。勒索軟件的技術很先進,但業務邏輯并不複雜(zá),無需動用許多艱深的市場營銷學模型,比如 4Ps-4Cs-4Rs/波士頓矩陣/STP 戰略/PEST 分(fēn)析/波特的五力分(fēn)析架構/RFM 模型/RATER 指數,可以簡化如下(xià):

66372-20170522135703335-1177808635.jpg

  把勒索軟件當作一(yī)門生(shēng)意來觀察,許多問題就清晰起來:

  核心技術研發:

  WannaCry 之所以成立,涉及到兩個核心技術,有一(yī)個失效,業務都無法成立:

  1. Eternal Blue 永恒之藍(lán)漏洞:解決了如何進入用戶電(diàn)腦的問題

  2. 加密算法:解決了如何給用戶制造麻煩的問題

  這兩項核心技術的研發成本是多少呢?近乎于零。

  爲什麽?

1. 永恒之藍(lán)漏洞:由 NSA 研發,被 ShadowBroker 盜取。ShadowBroker 想要批發變現,報價太高沒人買得起,于是放(fàng)出部分(fēn)樣本示例,也許是想展示實力,試圖零售吧。其中(zhōng)一(yī)個樣本就是 EternalBlue 永恒之藍(lán),對于任何人爲免費(fèi)。

2. 加密算法:RSA+AES,公開(kāi)算法,免費(fèi),且當下(xià)尚不可破解。

  生(shēng)産:

  解決了核心技術問題,下(xià)一(yī)步就是軟件工(gōng)程,将核心技術,編寫爲一(yī)個正式商(shāng)業軟件,産品化。這點上,WannaCry 做的不過不失。 

  軟件生(shēng)産部分(fēn)的成本,雖然并不爲零,需要一(yī)個團隊完成,但是按許多技術文章的分(fēn)析,畢竟場景固定,編寫難度不算很高,如果由一(yī)個日常工(gōng)作就是熟練編寫木馬等軟件的“專業團隊”來完成,相對于巨大(dà)的市場容量,軟件開(kāi)發費(fèi)用,依然幾乎可以忽略。

  市場推廣:

  這部分(fēn)是非常有趣的。所謂酒香也怕巷子深,再好的病毒軟件,沒有人中(zhōng)毒,就沒有實際意義。因此,病毒的傳播方式是否有效,是病毒一(yī)大(dà)特性。 

  過往的勒索軟件,在編寫好之後,都需要用某種方式,欺騙客戶上鈎,因此需要社交工(gōng)程手法介入(釣魚網頁,釣魚郵件,廣告遊戲推廣等等,都屬于病毒推廣手段),但制作這些推廣手段,與任何正常商(shāng)品的市場推廣一(yī)樣,需要付出成本,而且伴随試圖覆蓋的人群上升,成本随之增加。IBM X-Force 研究人員(yuán)已經确定,勒索軟件出現在 2016 年發送的全部垃圾郵件的近 40% 之中(zhōng),而在 2015 年僅占微不足道的 0.6%,這一(yī)敲詐勒索工(gōng)具的傳播速度顯著提高了6,000%。這些,都是産品推廣成本。 

  因此,過往有些勒索軟件,是有針對性的攻擊,比如針對一(yī)些大(dà)型金融機構,足夠支付能力的目标客戶,才足以支撐推廣成本。在 SANS 的一(yī)項調查報告中(zhōng)顯示,超過 32% 的金融機構,表明他們由于組織受到勒索軟件攻擊而損失了 10 萬到 50 萬美元。 

  而永恒之藍(lán)的技術太特殊了,這個漏洞不僅解決了如何進入用戶電(diàn)腦的問題,還賦予了一(yī)個額外(wài)的特點:病毒可以以蠕蟲方式傳播,即無需全部依賴賣家推廣,中(zhōng)毒者自動感染,自動執行,自動傳播,比傳銷還有效。這個特性,造就了本次 WannaCry 的大(dà)規模傳播,同時,也大(dà)大(dà)降低了病毒制造者的推廣傳播成本。

  銷售& 服務:

  客戶拿到貨,就應該付款,收不回錢來,那就是白(bái)忙活。

  但現實總是太多可能,一(yī)個正常的軟件,在銷售過程中(zhōng),也會有許多意想不到的問題發生(shēng),何況勒索軟件這麽奇特。比如這次 WannaCry,按其他媒體(tǐ)報道,預計造成全球約 80 億美金的直接損失,而黑客隻收到幾萬美金的比特币收入,就是這個環節,沒有做好。 

  1. 軟件失效:預設開(kāi)關,如送去(qù)了錯誤的客戶家裏,則關閉病毒。開(kāi)關被破。

  2. 商(shāng)品損耗:1000 瓶啤酒,運輸到達目的地,50 瓶破損或被運輸司機偷走,隻有 950 瓶可以正常銷售,稱爲損耗。内網,甚至絕大(dà)多數國内設備,都屬于商(shāng)品損耗,因爲連不到 Tor 後台的服務器。
  3. 付款心理:因爲比特币的匿名性,按過往色情網站等的勒索方式,黑客會采取差異化收費(fèi)的方式,來區分(fēn)究竟是哪個用戶已完成付款。本次 WannaCry 采取了統一(yī)定價策略,雖然有公司分(fēn)析,可以從技術上保障區分(fēn),但考慮到用戶受衆,依然有許多用戶懷疑,同樣金額下(xià),是否會因無法區分(fēn),而得不到解密。抛開(kāi)技術原理不談,客戶付款心理激勵不足,未建立足夠的商(shāng)家信譽描述,無客服,無第三方協助平台,無售後評價。

  4. 付款難度:比特币操作确實有難度,用戶已被日常簡捷的電(diàn)子支付手段慣壞了。 

  總結一(yī)下(xià),以商(shāng)業的角度,WannaCry 病毒目标是 Windows 終端,這個終端的特性與零售相同,比如飲料,快餐,服裝等等,與人口基數正相關,因此理論上說,中(zhōng)國應該是很大(dà)的市場,軟件的多國語言支持,也包含了中(zhōng)文。但最終,因軟件設計未充分(fēn)考慮中(zhōng)國網絡和用戶群體(tǐ)的特殊性,雖已大(dà)量安裝,但銷售損耗率奇高,收款通道和售後服務完全無法保障,水土不服。在全球來看,也因商(shāng)業閉環不完備,用戶付費(fèi)不足。同時,勒索軟件已非初次出現,前後叠代過多次,每次均遭到詳細剖析,技術特性暴露,用戶痛點被預警,提升了安全意識,一(yī)定程度上阻礙了未來類似軟件業務的拓展,隻是市場太過龐大(dà),過往業務基數又(yòu)很低,因此目前還能保持高速增長。商(shāng)業上講,WannaCry 本身是一(yī)個失敗的案例,但勒索軟件業務模式,有巨大(dà)的市場前景,在全球,尤其在中(zhōng)國。 

  想必,同樣,勒索軟件制作者也意識到了這些問題,在尋求改進。一(yī)個單一(yī)版本軟件,一(yī)周左右的生(shēng)命周期,開(kāi)發成本接近于零,面對約 80 億美金的市場,來進行博弈,這也是股無比強大(dà)的改良驅動力。勒索軟件,必将加倍升級,卷土重來。

  作爲受害者的我(wǒ)們,如何應對

  那,應該如何應對? 

  寫這篇文,不是爲了增長敵人氣焰,滅自己威風的。雖然,截至目前,防守一(yī)方,無論是甲方,還是解決方案供應商(shāng),都沒覺得有什麽可以威風的地方,本質上,解不開(kāi)病毒,抓不到壞人。今天,我(wǒ)們隻能應對。 

  當然,有些安全公司,趁這次事件的機會,教育了大(dà)衆的安全意識,提升了甲方高層的安全觀念,順便做了些業務,賺了些錢。賺錢并不丢人,也不應諱言,但防守方同樣是在這 80 億美金的市場裏,與勒索軟件方進行同台博弈,博弈得當,或許可以賺更多的錢,即,爲客戶提供更多價值。

  一(yī)個完整的交易,應該如同流水一(yī)般順暢,有任何一(yī)環斷裂,都無法完成。因此,從這個角度上,攻擊方需要提供全部業務閉環,而防守方隻需考慮擊垮其一(yī)個環節,就能給對方造成打擊。我(wǒ)們依然按照上面的生(shēng)意模型,再多考慮兩個前提措施,來反思下(xià) WannaCry,同時,借這個思路,也能更好的分(fēn)類理解,市場上各類解決方案的定位,和可能帶來的價值。

  前提1:縮小(xiǎo)市場:

  商(shāng)業上,如果市場不存在,商(shāng)業行爲就不存在了,非商(shāng)業活動另當别論。因此,如果勒索的目标不存在了,勒索軟件就沒有價值。 

  如何縮減目标市場的容量?建議是:備份。

  這個措施的價值有多大(dà)?答案是:整個市場容量。WannaCry 爲例,約 80 億美金。 

  當然,新聞上還提到一(yī)種策略,是放(fàng)棄使用 Windows,國内國外(wài)都有,轉型到其他平台,其思路核心,也是縮小(xiǎo)或重新定義市場。這個,不評論。

  前提2:風險打包:

  如果采用技術防護手段,都需要費(fèi)用投入,而投入的費(fèi)用是企業運營成本。成本的峰值邊界在哪裏?不知(zhī)道,沒關系,問下(xià)保險公司。

  有些企業,數據沒有長久的生(shēng)命周期,或業務有獨特的特殊性,這些數據的價值是可以衡量的,甚至整個企業的安全風險都是可以衡量的,如果能精算出來,保險不失爲一(yī)條最簡潔的解決方案。

  就如同,買台 PC 就是爲了看新聞,PC 被鎖了,這兩天都看不了新聞,又(yòu)怎麽樣呢? 

  請參考各家公有雲公衆号文章。 

  外(wài)包托管逐步成爲一(yī)種趨勢,再好的技術手段,也需要人來完成,專業人才的供應,已經落後于技術叠代,成爲短闆。出路隻有兩個,AI 替代,或外(wài)包服務托管。

  但大(dà)多數企業和個人,錯過了前提1,又(yòu)因各種原因,無法接受前提 2 的類型。那麽,就隻有寄希望于在勒索生(shēng)意模型的四個環節中(zhōng),尋求應對策略。我(wǒ)們仍然用 WannaCry 爲例,分(fēn)析一(yī)下(xià):

  核心技術研發:

  1. Eternal Blue 永恒之藍(lán)漏洞:

  2. 加密算法:

  生(shēng)産:

  如前所述,這個軟件開(kāi)發的不過不失,将幾個獨特的技術手段,整合在一(yī)起,實現了一(yī)個業務軟件。但正因爲這個特性,軟件模式及其單一(yī)固定,易于分(fēn)析,因此,在這個環節,應對的商(shāng)業解決方案,十分(fēn)集中(zhōng)。 

  威脅情報預警:從統計意義上,在事态剛起之時,如果能夠及時獲取,可以盡早通知(zhī)其他客戶,遏制擴散。

  終端安全管理:終端行爲異常,可模式識别及阻斷。

  UBA 行爲識别:有的是兩個安全模塊的聯動(如 SIEM+EndPoint,或 TI+EndPoint),有的是 SIEM 協調多模塊的全局互動。本質上,因爲勒索軟件的行爲模式很固定,因此 UBA 也很容易識别,區别就是,有的方案是自動識别,有的則要人工(gōng)設置規則。

  林林總總,大(dà)道萬變,能提升未來的事前防範能力,事中(zhōng)響應能力,但事後均束手無策。

  但這些思路和體(tǐ)系,價值并不局限于應對當前的一(yī)次問題,而在于提供了一(yī)個思路和方法,應對未來多種可能的安全威脅,這才是這些方案真正的價值。

  這些方案或産品,要回答幾個問題: 

  1. 時效性:設計多級聯動,整體(tǐ)協調,是否能在病毒發作前生(shēng)效?

  2. 有效性:安全體(tǐ)系建設和專殺工(gōng)具,如同建議一(yī)個人健身,長遠雖然有好處,但他現在感冒了,迫切需要感冒藥,等感冒好了,又(yòu)很可能好了傷疤忘了疼。

  3. 實用性:思路是思路,現實是現實。現實中(zhōng),聯動是否僅限于自家産品?A品牌的終端安全工(gōng)具能否與B品牌的 SIEM 聯動?西藥和中(zhōng)藥能否一(yī)起服?誰負責協調和對接?

  市場推廣:

  從勒索軟件的業務思路,條條大(dà)路通羅馬,Routeto Market 模型,甚至可以采用經典市場分(fēn)析理論來調研分(fēn)析,最差也就是一(yī)條一(yī)條試過來,最多是代價高低,而最傳統有效的,依然是釣魚和垃圾郵件。用這個思路來看,所有通道檢測/攔截/過濾的技術,都是馬其頓防線,無法确保有效。如同那句著名的廣告語: 總有一(yī)款适合你。 

  但從防守者思路,從源頭到終端,層層加碼,處處封堵,是一(yī)個漏鬥管理體(tǐ)系,拼的不是個别系統的成功,而是概率和方案間的互補性。各類網絡設備,web 防護設備,層層過濾,最終到達客戶内部的,希望成爲概率最小(xiǎo)值,則縮小(xiǎo)總體(tǐ)市場,同時對比同業,延緩爆發時間點,取得應對時間。在森(sēn)林裏,跑赢同伴,而不是熊。 

  産品技術和方案就不再贅言,各種解決方案可以自行歸類.

  銷售& 服務:

  這一(yī)環,敵方做的不好,我(wǒ)方做的更差。

  如果說對方業務是閉環,防守方隻需擊破其中(zhōng)一(yī)個環節即可,則之前三個分(fēn)類,都有人在嘗試,且都取得了不同程度的進展,而最後找一(yī)個,有點束手無策的感覺。因爲比特币和 Tor,解決了資(zī)金流動的匿名性和流動隐蔽性。 

  從媒體(tǐ)可以注意到,全球各國針對這兩個問題,均在進行不同程度的法規制定和監管,如同治水,有的在堵(交易非法),有的在疏(監管認證下(xià)交易),新事物(wù),都在摸索。 

  如不陽謀,就隻有陰謀了,那就不是商(shāng)業範疇,我(wǒ)也不懂了。 

  這問題,沒有答案,也并未結束,讓我(wǒ)再想想看。

  最後

  有人說未來勒索軟件走勢是走向移動端,也有人說會走向 IOT,都有可能,反正黑客的腦洞是無限大(dà)的,再加上每個市場都很大(dà),都有驅動,什麽都有可能。

  但還是想說,有技術,卻做勒索這個生(shēng)意,真的,很不受人待見。

  紀曉岚《閱微草堂筆記∙卷一(yī)∙灤陽消夏錄》裏,有這樣一(yī)個故事,“南(nán)皮瘍醫某,藝頗精,然好陰用毒藥,勒索重赀,不餍所欲,則必死。蓋其術詭秘,他醫不能解也。”醫者無德,技者無良,商(shāng)賈無仁,這跟勒索軟件,有異曲同工(gōng)之處。 

  後來,故事裏說,“一(yī)日,其子雷震死。”

  嗯,雷還在路上,各位仍需努力。