[Sophos News] SamSam：得手近六百万美元的勒索软体

经过 SophosLabs 数百小时的广泛研究，包括原始分析、访谈、研究等等，并与加密货币监控组织 Neutrino 密切合作，我们发现恶名昭彰的 SamSam 勒索软体造成的危害比想像的要大得多 – 总计达 600 万美元。

SophosLabs 发现了大量关于此勒索软体的信息，其使用的是隐密的目标式攻击手法，与大规模勒索软体攻击高调、凌乱但有效的方法不同。

SamSam 并非靠大量受害者的许多小额交易来窃取金钱，而是经由技巧熟练的团队或个人来发动目标式攻击，透过为每个受害者量身打造的攻击造成最大伤害，并要求高达数万美元的赎金。

相较于过度高调的其他勒索软体攻击，SamSam 一直难以捉摸，攻击鬼祟又谨慎，并且已经经历了数次关键演变。这是一种非常不同的勒索软体，通常每天会被手动发动毁灭性攻击。

以下文章揭示 SamSam 的许多最新信息，探讨它如何运作、如何散布、传播范围有多广，以及为什么我们到目前为止还不知道 SamSam 造成的影响有多大。我们还追踪了金钱流向，发现了先前未知的受害者和付款。最后，我们也将讨论您和贵组织应该如何防御这种量身订制的目标式攻击。

简介

2016 年开始时，有一个勒索软体威胁开始对受害者展开攻击，而且手法与先前任何勒索软体攻击不同。SamSam 是以我们最早发现的样本档案名称所命名，它使用极简 (但残酷)的手动方式锁定并攻击受害者。

攻击者使用各种 Windows 内建工具提升自己的权限，然后扫描网路，寻找有价值的目标。他们想取得高权限的凭证，以便复制勒索软体装载到每一部电脑 (伺服器、端点或任何可染指的电脑)。

一旦进入电脑，攻击者就会在网路上横向散播装载；亦即一个等待指令便会开始加密的潜伏细胞。攻击者如同狩猎者般，会一直等到午夜，当目标组织最没有能力处理攻击时才吹响进攻号角。当目标还在睡梦中，SamSam 便展开偷袭。首先，它会先加密第一批最优先的档案与目录，然后再加密其他所有内容。

与绝大多数所有勒索软体攻击不同的是，整个攻击过程是手动的。罪魁祸首并不是带附件且语带威胁的垃圾电子邮件。攻击者以老式方式闯入：使用可以像远端桌面通讯协定一样快速进行多次登入的工具，并利用作业系统弱点 (尽管没有您想像的那么多)。当受害者选择强度不够且容易猜到的密码时，SamSam 往往就能得逞。

重要发现

• 自 2015 年底以来，SamSam 已为其开发者赚到超过 590 万美元。
• 74% 的已知受害者都在美国。其他已知遭受攻击的地区包括加拿大、英国和中东。
• 到目前为止，个人受害者支付的最大赎金为 64,000 美元，与大多数勒索软体家族相比，这是一个相当庞大的数字。
• 医疗服务、教育和政府中的中大型公部门组织已遭到 SamSam 锁定，不过，我们研究发现这些组织只占确定受害者总数约 50%，其馀包括私人企业等，在其攻击中一反常态地保持噤声。
• 攻击者小心翼翼地选择目标，而且攻击准备工作一丝不苟。SamSam 会等候适当时机，通常会在受害者当地时区的午夜或凌晨时分，也就是大多数使用者与系统管理员应该都在睡觉时启动加密命令。
• 与其他大多数勒索软体不同的是，SamSam 不只加密文件档案、图片及其他个人或工作资料，还会加密应用程式 (例如 Microsoft Office) 执行所需的设定与资料档案。如果受害者的备份策略只是保护使用者的文件与档案，则必须重新安装映像才能复原电脑。
• 每个后续攻击都显示出它越来越复杂，而且控制 SamSam 操作安全性的实体的警觉性也越来越高。
• 受害者遭勒赎的赎金成本大幅增加，而攻击的节奏也没有显示出趋缓迹象。

剖析SamSam 攻击

SamSam 攻击遵循相对可预测的模式，通常包括以下六个阶段。

1.目标识别及获取

2.穿透网路

3.提升权限

4.扫描网路以寻找目标电脑

5.部署及执行勒索软体

6.等候付款

SamSam 自出现以来已发展出三个主要版本，以及一些较小的变化 (大部分是实务上的程序)：支付网站、勒索信，以及新增到加密档案的副档名。

例如，虽然攻击者一直使用网站来安排支付赎金，但在 beta 测试阶段，SamSam 攻击者使用了 anonyme.com 上托管的网站，该网站 (当时) 是一个匿名托管服务。当他们发布第一版时，攻击者转而使用免费且匿名的 WordPress 网站，但在几个月后，他们就移到黑暗网站并在 Tor .onion 位址上托管支付网站。

自从最早版本的 SamSam 以来，攻击后留在每一个受害者网路上的勒索注记都是独一无二的。大部分勒索信内容都一样，但是在 2016 年全年和 2017 年大部分时间，受害者都会收到一个唯一的支付网站 URL，以及传送赎金的比特币位址。

当第三版 SamSam 出现时，一切又变了。第三版的功能最多，目的是保护软体完整性并模糊攻击者的身分。

第三版还有一些小变动，例如勒索信的档案名称，以及加密档案的副档名。加密档案本来一律采用相同的命名惯例，也就是在加密档案尾端附加新的副档名。但是在 SamSam 第三版中，攻击者用更怀著歉意、悔意的语气撰写勒索信。

我们认为2018 年有越来越多媒体报导 SamSam 的一部份原因是由于这些变化以及 SamSam 攻击的档案命名更加一致。研究人员现在能更容易将攻击追溯回 SamSam。

自 2015 年底起，SamSam 的发展锁定两大主要目标：第一，改进部署方法，以便对受害者造成更大影响；第二，让攻击更难分析，以便进一步协助保护攻击者身分。

识别受害者？

SamSam 因为对医疗服务组织、政府和教育部门的攻击而跃上媒体版面。不可否认的是，SamSam 攻击了一些我们认为已是 SamSam 受害者且非常引人注目的目标组织，而遭受最多危害 (但披露最少) 的却是私人企业。医疗服务、政府及教育部门之所以能占据媒体版面，只是因为到目前为止，这些组织比任何私人企业更有可能公开有关 SamSam 攻击的消息。

根据我们对勒索信中比特币位址的研究，估计已约有 233 个受害者支付赎金给攻击者，但我们并不知道所有受害者的身分。在本文中，我们不会提供选择不公开攻击信息的那些受害者详细资料，只会提及他们所在的国家，及其概略的产业别。

Sophos 确定 74% 的受害组织在美国。就产业方面：

•私人企业：50%

•医疗服务：26%

•政府：13%

•教育：11%

以这些受害者为基准，我们就能知道有多少攻击是已经公开的。值得注意的是，其中许多选择公开的组织并未明确提到 SamSam，甚至连勒索软体都不提。许多组织往往将攻击说成「事件」或说成一般「电脑问题」，而没有指明其根本原因。只有透过我们的研究，并与其他安全厂商合作，我们才得以确认其为 SamSam。

公开承认是 SamSam 受害者的百分比 (依产业别)：

•政府：100%

•医疗服务：78%

•教育：38%

•私人企业：0%

追踪金钱流向

在 Sophos 对 SamSam 的调查过程中，我们找出勒索信和样本档案中提供的几个比特币位址,藉此我们得以追踪流入这些位址的所有赎金。

但是为了进一步调查，Sophos 与 Neutrino 合作；该公司专门开发「用于监控、分析及追踪跨多个区块链的加密货币金流，并针对整个加密货币生态系统提供深入见解的解决方案」。在他们协助下，我们已能够进一步识别 SamSam 勒索软体攻击中使用的比特币位址。

总体而言，我们现在已找出 157 个已收到赎金的个别位址，以及 89 个勒索信与样本档案中用到，但迄今尚未收到付款的位址。根据 Neutrino，已收到付款的位址分成三个比特币钱包，每个钱包由一个拥有者控制。自从 SamSam 攻击开始以来，这三个相同的钱包都是攻击者使用的。

自 2016 年起，多家安全厂商已发布过许多 SamSam 主题的文章，而且也估计过攻击者已获取的赎金- 最高的估计是 850,000 美元。不幸的是，迄今所有估计都与事实有很大差距。由于 Sophos 和 Neutrino 的研究，我们现已确认真实数字超过 590 万美元，即每月平均获得约 30 万美元。

找出 SamSam 的开发者/操作者

截至本文章发布之日，SamSam 背后的创造者身分仍然未知。与一些网路犯罪分子不同，SamSam 创造者并没有在 Twitter 或黑暗网路论坛上吹嘘他们的功绩。正如本文的「技术详细信息」部分所述，他们投入了

大量精力来掩盖踪迹并保持匿名。根据 Sophos 的研究，并结合其他厂商提供的信息，我们可以得到以下观察结果：

根据勒索信、付款网站和样本档案之间的语言一致性，加上其犯罪知识似乎随著时间而发展，显示出攻击者似乎是一个人独自作业。而且攻击者能够一直不泄漏信息并维持匿名，也进一步支持这一个论点，因为当工作牵涉多人时就很难达成隐密。

攻击者的语言、拼字和文法显示出他们英文程度中上，但常犯错误；

从文法方面也看得出来。例如，攻击者经常将逗点后的第一个字字首大写，彷佛逗点是句点。这个特有的错误出现在勒索信和攻击者在付款网站聊天功能中内的评论中，以及「SamSam」可能是单人独立作业的假设中。

事半功倍的时机

几乎每一次攻击，攻击者都选择在受害者时区的深夜或凌晨开始加密档案。这种策略有点狡猾，因为此时正是受害者最容易遭受攻击的时刻，也可能是最少使用者与系统管理员在线上会留意到攻击的时刻。这一点对于美国东岸与西岸的受害者来说确实如此，对英国之类的其他国家受害者也是。

我们检视了约 200 个攻击使用的可执行档样本的原资料，更具体地说，在检视了这些档案的时间戳记之后，我们可以获得有关攻击者运作模式的深入见解。当然，时间戳记可以伪造。不过我们相信此处情况并非如此。

我们发现，94% 的样本是在早上 9 点到凌晨 1 点间的 16 小时期间编译的，剩下的 8 小时，我们认为是攻击者的睡眠时间。

我们可以看到，攻击者有入侵应用程式的工具套件和随时可用于攻击的恶意档案。攻击者似乎会提前几周建立恶意软体装载的库存，因此，如果防毒软体阻挡了一个样本，攻击者就可以快速改用较新的样本并继续发动攻击。

就大部分攻击而言，攻击者会使用先前成功攻击中用过的工具和恶意档案。

在发动攻击时，如果有运作中的防毒软体侦测到某些档案，攻击就可能中断。如果第一波攻击失败了，攻击者会改用其库存中的不同工具和较新的恶意档案来发动第二波攻击。

此第二波攻击可能会在几小时，甚至几天后发动。虽然这种手动的方法似乎很老旧，但确实会增加攻击成功的机会。不过，它也为受害者提供了识别攻击发生的机会。如果受害者透过人为干预或自动安全系统而可以对此信息采取行动，则可能会在第二波攻击发动之前删除攻击者对网路的存取权限。

总而言之，虽然我们对攻击者作业方式多有了解并可得到一些有意思的观察，但很清楚的是，他们已经保持匿名超过两年半，并且有让攻击变得更加复杂的迹象。

如何持续受到保护

对抗这些有能力、持久又有耐心的人类敌手，与防御企业环境中更常见的半自动化、由社交引擎推动的传统威胁有点不同。而 SamSam 本身特别具有破坏力的行为，又让它与其他众多勒索软体不同。

为了防御 SamSam，您应该立即采取以下四个具体步骤：

1.       限制连接埠 3389 (RDP) 的存取权，仅允许使用 VPN 的人员能够远端存取任何系统。针对 VPN 存取采用多因素验证。
2.       完成整个网路的一般弱点扫描和渗透测试。如果您尚未仔细阅读最新的渗透测试报告，请立即阅读。
3.       对敏感的内部系统使用多因素验证，即使针对 LAN 或 VPN 上的员工也一样。
4.       建立离机备份并保存在异地，并制定包含还原资料与整个系统的灾难复原计画。

即时网路与事件监控也是预防措施的重要一环，因为这些类型的防护网有可能捕获并阻止进行中的入侵 (也就是可能不会立即显示为恶意的行为)。根据我们的经验，端点保护也很重要，但不应该是第一道防线；因为一个有反应的人类敌手会随时准备好部署最新、独特且专门用来绕过端点防毒的恶意软体，这是很难突破的难题。

我们建议您也应该遵循以下这些较常见的提示以确保安全：

减少组织的威胁状况，避免成为容易攻击的目标。努力让电脑维持更新，使用强式密码、双因素验证，并定期安装修补程式。

遵循最低权限原则，只赋予使用者和系统管理员完成任务所需的最低存取权限。

具备适当的安全解决方案，以便侦测进阶型威胁并与您的防火墙进行通讯，以限制对受感染电脑的存取。

遵循基本安全措施，例如确定您是否希望使用者能执行 JavaScript 和 Powershell；是否需要网域管理员帐户；锁定每部电脑上 c$ 及其他共用的存取权；适当限制部门存取权；确认每部电脑上都没有授权强大的系统管理工具。

监控网路并寻找异常情形。 由于 SamSam 攻击方法采取手动的非传统特性，表示背后有一个技巧熟练的威胁敌手对抗您的防御措施，因此即时监控异常事件或许是真正防止伤害的唯一方式。

发生攻击后，执行回溯分析以学习「攻击者如何入侵」、「我有什么损失」以及「如何确保未来不再发生」等问题的解答。 如果您现在没有收集可能导致这些问题的信息，将无法知道这些问题的解答。

总结

虽然到目前为止大多数受害者都在美国，但是 SamSam 的确对全球组织构成严重但可控制的威胁。虽然媒体报导了许多针对医院和政府部门的备受瞩目攻击，但事实上，私人企业才是最主要目标。自从首次攻击以来，SamSam 越来越复杂，而且越来越多产。SophosLabs 估计，攻击者的赎金收入现在平均每月约为 30 万美元。

SamSam 获得空前成功的其中一个原因是攻击者使用的工具和策略组合。透过使用 RDP 之类的合法服务和 PsExec 之类的工具，可让攻击者利用组织环境内的弱点，而无需建立较容易侦测到的恶意档案。此外，攻击者 (我们认为是一个人，但尚未证实) 在掩盖踪迹并使分析难以进行的方面，心思周密且非常一致。

虽然针对目标特制的攻击比常见的射后不理恶意软体更难防范，但我们仍有可能防御这类攻击。

Sophos 建议组织对网路和装置采用多层式安全方法，既可减少组织的受攻击面，也可减少对攻击者的吸引力，而且在发生攻击时，可以掌握每次机会阻挡攻击者。安全解决方案包含会自动相互通讯以识别及回应目前威胁的系统，是保护组织的最佳方法。