利用Shodan来击溃勒索软件僵尸网络

Shodan是用于查找联网设备的搜索引擎。今年夏天，该引擎也被安全研究人员和执法部门用于击溃勒索软件僵尸网络。 10月初发布的一份报告指称：“加密机(Encryptor)”勒索软件即服务(RaaS)僵尸网络，可以为潜在罪犯提供勒索软件，让他们不用自己编写代码就能快速发起勒索软件攻击行动。 该勒索软件首次出现，是在2015年夏天。当时并没有引发太大影响——3月，Cylance公司报告称其只有1818名受害者，且其中只有8位受害者支付了赎金。不过，它有几个特性本可以让它大获成功的。 报告出品公司趋势科技的首席网络安全官艾德·卡布雷拉称，其最大卖点就是价格。其他RaaS提供商通常索要40%的佣金，但“加密机”RaaS折扣力度很大，只要5%。另外，它号称自己“完全不可检测”，利用合法证书和Tor匿名网络，具备相当程度的杀软检测规避成功率。 据顶级反病毒产品恶意软件查杀率检测服务NoDistribute宣称，发布1年之后，35种反病毒产品之中也仅有2种能检测出“加密机”勒索软件。然而，低价格可能影响到了客户服务质量。 “客户对提供的服务和产品颇有微词。你总得赚足够的钱来维持运转。” 但是，真正的死亡一击，来自Shodan。 安全研究人员发现，某台“加密机”RaaS服务器不小心忘了隐藏在Tor网络背后，暴露在了互联网上。然后在Shodan的帮助下，可以识别“加密机”RaaS托管状态，一旦发现，立即关停。 6月，执法部门介入关闭了其中一台，几天之后，又有3台服务器被纳入关停名单。“加密机”RaaS开发者很快洗手不干，不是因为怕被执法部门检测到，就是已无力维持其商业模式。如果开发的恶意软件有较高技术要求，就得有人进行开发并提供服务，这意味得有现金流。要知道，即便是在犯罪市场上，声誉也决定一切。 “如果客户认为你的产品或服务有缺陷，你将会被点评指责，关门大吉是最终结果。如果他们认为你已被执法部门盯上，你的生意也只能面临惨淡死亡。” 但是，勒索软件服务器的关停，对大家而言也并不都是好消息。其运营者关停“加密机”RaaS时，他们清除掉了主加密密钥，也就意味着文件被加密的受害者将再无机会找回失去的文件——即便支付了赎金。 这就是又一个公司企业不应该寄希望于支付赎金就找回数据的例子，企业应该花费更多的努力在防止感染上。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/