导读

一封短短的邮件，却可以被不法分子用来远程加密受害者文件，敲诈比特币赎金。

本来用于自动运行操作方便用户的宏命令，却成为了木马的“帮凶”。

敲诈木马的背后，是成熟运转的黑色产业链。从恶意服务器的注册和建设，到木马的制作、邮件的发送，都能从受害者支付的赎金中分得一杯羹。

不法分子还会利用宏发动什么样的攻击？面对这样的木马又应该如何防范？本报告将带你了解以上内容，挖掘“敲诈者”及其背后的黑色产业。

 

一、愈演愈烈的敲诈风暴

只需一封邮件，便能锁定电脑重要文件进行敲诈

席卷全球的敲诈风暴，公司被迫支付赎金

北京的汪为（化名）周一上班后，和往常一样开始处理手头的工作。

汪为所在的公司是一家互联网企业，汪为日常的工作是在网上与客户进行联系，维护产品销售渠道。最近，公司准备出国参加一场展销会，汪为正跟几家快递公司通过邮件商量宣传物资的邮递事宜。汪为在未读邮件中挑出了与快递相关的部分，逐一阅读并打开其中的附件。他不知道的是，在这批邮件中，有一封主题为Delivery Notification的邮件，正悄悄地露出自己狰狞的爪牙。

一小时后，汪为看着自己电脑上被改成乱码无法打开的文件，以及被修改为敲诈内容的桌面背景，近乎绝望的心情占据了整个内心。

汪为的遭遇并非个例。自2014年起，陆续有人在打开邮件之后，发现自己电脑中的文件被修改，其中不乏公司核心数据、有重要意义的图片等内容，一旦丢失造成的损失难以估量。同时，这些受害者都发现，在显著位置上出现的敲诈文字，内容不外乎是“文件已被加密，如需恢复请按如下方式支付赎金……”云云。

哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系统。凭借每日对真实环境中捕获的海量样本进行自动化分析，哈勃分析系统在第一时间捕获到了这类木马。

据哈勃分析系统长时间跟踪发现，敲诈木马最初仅在国外传播，后来逐渐渗透到国内，敲诈使用的语言也从单一的英语逐渐发展到了包括中文在内的多种语言。受到木马影响的公司不乏医院、公交公司这样的大型企业。更为严重的是，除了一些自身含有漏洞的木马之外，还有很多木马并无有效的解决之道，如果事先防范措施没有做好，中招之后除了联系不法分子之外无计可施。虽然FBI曾经提示不要支付赎金，以免木马制作者尝到甜头，继续传播木马，然而对于一些重要的数据被加密的公司而言，这是无奈之中最后的办法，例如好莱坞某医院为了恢复患者病历，被迫支付了相当于数万美元的赎金。

二、木马的传播渠道

邮件附件是木马最常见的传播渠道

诱导用户开启并运行宏是文档木马的主要手段

这些破坏力强大、影响恶劣的木马，是如何传播到受害者电脑上的呢？经哈勃分析系统的调查，木马的常用传播渠道是通过邮件进行传播，将木马伪装成邮件附件，吸引受害者打开。其中，最常见的附件格式是微软的Office文档，木马使用文档中的宏功能执行恶意命令，再从网上下载真正的恶意程序，对受害者电脑进行攻击。

 

哈勃分析系统研究发现，在木马入侵受害者电脑的每一步，都有一些固定的套路和模式。

在木马传播的第一步，即发送带木马的邮件时，不法分子通常会使用一些正常的公务主题进行伪装，诱使受害者打开附件。此前汪为遇到的假冒邮件，是假称快递除了问题；除此之外，常见的主题还包括发票、费用确认等。一个明显的现象是，处于财务、会计、对外关系等职位的员工，每日收发的同类邮件较多，对于这类邮件容易降低警惕心，因此容易成为不法分子发送邮件的目标。

如果受害者打开了带木马的宏文档，由于高版本Office中，默认是不开启宏的，所以木马会在文档正文中诱导用户启用宏，使得恶意代码得以执行。

一个典型的宏木马，部分宏代码如下：

可以将木马传到哈勃分析系统，在安全的虚拟环境中查看木马将要执行的恶意行为：

 

可以看出，这个文档中的宏偷偷去下载了一个可执行文件并运行。除了直接从网络上进行下载之外，部分木马也会通过其它手法释放恶意文件，例如下面这个木马：

连起来看就是，通过复杂字符串拼接得到当前系统temp目录的绝对路径，再去执行系统temp目录中的sak33.exe这个文件，但是并没有发现下载或者释放这个文件的对应代码。邮件中只有这么一个附件，宏中只有拉起这个exe的操作，那么这个exe是从哪来？怎么释放到这个位置的呢？

通过在不同操作系统和Office版本上进行对比测试，最终发现Office文档中夹带的其他文件，会使用OLE Object来储存，而在XP和win7两个操作系统中OLE Object释放的方式和路径不同，该宏病毒写死了win7下释放的路径，所以在XP分析环境上无法成功执行。造成这种情况的原因有两个可能，一是作者只使用了win7环境对此宏病毒开发测试，没有考虑XP系统的问题；二是作者故意为之，来达到对抗目的。

在恶意可执行文件被运行起来之后，不法分子就可以任意操作受害者的电脑。比如下面这个木马，在检测虚拟机和两步注入后，最终在svchost里边进行实际恶意行为，将可执行文件添加至启动项并连接远程服务器：

在可执行程序与黑客的远程服务器保持通信之后，受害者的电脑已经被黑客占领，最重要的一步已经完成。当然，这个例子中木马的目的是在受害者的电脑中植入后门，不过同样的手法，在加密敲诈类木马中已经被证明同样有效。

除了在邮件附件中放置文档之外，还有一些其它的文件格式被用于木马的传播。这些格式有的是可以直接运行的脚本格式，例如Powershell、js、vbs等，有的是格式关联的可执行文件具有一定的任意执行能力，例如JAR、CHM等。哈勃分析系统此前捕获的“窃听狂魔”、“冥王”等木马，都是通过不同的格式执行恶意行为。

 

三、木马背后的威胁情报

恶意服务器位置以美国和俄罗斯数量最多

自建恶意网站或者入侵正规网站，具有较高的反跟踪意识

既然大部分文档木马中的宏运行起来后，会从网络上下载可执行文件，那么通过下载地址是否能找到有关木马作者的蛛丝马迹呢？

哈勃分析系统抓取了一段时间自动捕获的木马数据，对木马以及下载时用到的网址进行了统计分析。

下载网址对应的域名，有一些用的是通用域名，其中又以.com域名最多，占全部域名接近一半的比例。还有一些用的是国家域名，数量较多的是.cn（中国）和.ru（俄罗斯）。

同时，通过下载目标的命名可以看出，木马经常将恶意文件伪装成jpg、gif之类的图片文件，或者是访问php、cgi这样的动态网页，不直接提供文件格式信息，以躲避部分安全产品对exe可执行文件的检查。

下载网址对应的IP信息，来自33个不同国家，其中又以美国和俄罗斯的服务器数量最多。

下载网址又可以分为两种情况。有的类似如下网址：

http://robotforex[.]net/873nf3g
http://sayvir[.]com/087gbdv4
http://seyahatdanismani[.]net/878hf33f34f
http://sublimeshop[.]co[.]uk/87t34f

http://trehoada[.]org/878hf33f34f
http://thecodega[.]com/878hf33f34f
http://thermo[.]dk/087gbdv4
http://saintsraw[.]com/087gbdv4
http://sandat-bali[.]com/087gbdv4
http://trehoada[.]org/878hf33f34f
http://rechoboth[.]com/087gbdv4

这些网址绝大部分都是一个域名下放置一个恶意可执行文件供下载，域名之后部分的资源名称也比较接近。这样的网址有的是同一作者自己申请的一些小网站专门用于分发恶意文件，也有的是作者将木马转卖给了其他人，这些不同的不法分子各自申请了域名并在网站上放置恶意文件。

经过网络搜索查询发现，这些域名基本都由不同的人注册，并且很多域名带了反whois查询，难以从域名注册者这条线索入手继续追踪。这也说明，这些不法分子通常非常注重自身的隐蔽性。

还有一种情况，是正规网站遭到入侵后被黑客用于分发。比如位于上海的网站http://www.ty****er.com/，原本是某生产公司的官网，但是被哈勃分析系统监控到用于分发locky敲诈木马，其资源名称部分也与上面恶意网站的内容极为相似。

 

四、高度发达的产业链

木马交易、邮件传播等环节都已形成成熟的黑色产业

逐步发展起来的比特币市场为赎金交付提供了便利渠道

围绕着这类木马，已经形成了包括制作、传播、赎金交付在内的一整套黑色产业链。不同身份的黑客在这个链条中分工合作，互相交换资源和数据，其目的只有一个，那就是从受害者的损失之中分得一部分利益。

以传播木马这个环节为例，既然木马是通过邮件的方式进行广泛传播，那么向谁发送邮件，如何发送邮件，都包含资源或利益的交换。目前已经形成了“收集客户邮箱账户—>客户身份信息分类—>兜售客户邮箱账户—>专业发送邮件”的黑色产业链。只要用邮箱账号在BBS、论坛、聊天室等网站上注册过或者发表过言论，都有可以被黑产从业者使用爬虫工具在网上抓取到，并通过言论行为以及账号信息进行身份分类。被分类号的邮箱账号会出现在各类平台上进行兜售。

比如下图所示的兜售信息，邮箱账号被细分为多个行业类别，一个行业类别的邮箱账号信息的兜售价为9.90元。

购买邮箱账号信息后，如果使用正规邮箱大量发送垃圾邮件，很大概率会被封号，于是出现了“专业发送邮件”的产业环节。据调查，该环节从业者多采取自搭建邮箱服务器的方式，可以做到无限制的发送。比如下图所示是兜售代发邮件服务的信息，不仅提供了代发服务，而且还可以查看到发送总量、打开、点击人数等。

赎金交付是另一个重要的环节，它直接关系着整个黑色链条是否能从受害者那里攫取到足够的利益。

2014年兴起的这波敲诈木马，一个重要的特征就是在敲诈文字中要求受害者支付比特币作为赎金。比特币是一种点对点网络支付系统和虚拟计价工具，通俗的说法是数字货币。比特币的一个很重要的特点就是它的使用者具有匿名性，通过比特币收款地址很难追踪到对应的拥有者，因此很多地下交易者慢慢地开始采用比特币收款，这样既能通过互联网在全球范围内进行收付款，又避免了安全人员沿收款地址这个线索进行追踪。敲诈木马背后的众多恶意分子也逐渐加入了这一行列。

值得一提的是，在比特币的发展过程中，常常受到国家意志的影响。在中文互联网中，有几家网站面向公众提供比特币行情服务，除了展示比特币与其它货币的实时汇率之外，也基于比特币自身的规则，向用户提供交易服务。这部分业务一直受到严密地监管，数年前就已经关闭了支付宝、银行等渠道购买比特币的服务，而在今年受到监管部门约谈之后，更是不约而同地暂停了“比特币提现”（可以理解为比特币转账）业务。

虽然此行为更多地是针对资本外流、洗钱等目标，但不可否认的是，对受害者使用比特币支付赎金也会带来不小的影响。很多受害者即使想要使用比特币支付赎金，也会面临无法购买比特币、购买后不知如何转到对方账户等一系列的难题。

再加上很多人自身对比特币就不是很了解，这就出现了比特币代付、代购、充值以及兑换服务的产业，一般会收取当前比特币交易价格的10%~20%作为手续费。这种服务虽然严格说来不能算是黑色产业，但是无疑也从此类木马的爆发中获益。

 

五、矛与盾的对抗

安全人员希望找到更多木马的漏洞

木马不停变种，补充更多恶意能力，针对目标更广泛

通过邮件传播的敲诈木马自从被安全人员发现以来，安全行业从业人员始终没有放弃对其进行查杀的努力。到目前为止，已经为部分CryptXXX、TeslaCrypt、Jigsaw等木马变种开发了对应的解密工具，受害者只需要根据工具的指示进行操作，无需支付赎金即可恢复被这些木马加密的文件。哈勃分析系统也发布了数个解密工具。与此同时，很多安全厂商与政府部门联合起来，推出了www.nomoreransom.org网站，希望为敲诈木马的受害者提供一站式解决方案。

不过，受到木马算法原理的制约，没有一个工具能够一劳永逸地解决所有问题。同时，木马作者也在不断变换自己的手法，希望从文档木马中榨取更多的价值。据哈勃分析系统观察，木马有如下的发展趋势。

首先是在敲诈木马之外拓展新的作恶手法。由于大部分文档木马的功能是从网络上下载文件并执行，不法分子可以轻松地变换下载内容，给受害者造成其它的损失。比如，劫持受害者的浏览器访问广告网站或钓鱼网站，或者在受害者的电脑上安装后门木马，实时监控电脑行为并上传隐私信息，等等。去年哈勃分析系统捕获的“盗神”木马即是文档木马与后门木马进行绑定的一个典型的例子。

其次是以更多不同种类的人群为目标，开发针对性的木马。例如最近出现的一类文档木马，在宏中调用了Mac操作系统特有的动态链接库函数，同时使用系统内置的Python运行环境执行恶意行为。Mac操作系统由于市场占有率的问题，以前很少见木马爆发的消息，但是近几年来，也有不法分子盯上了使用Mac操作系统的这部分人群，编写在Mac电脑上也能作恶的木马，对于此类趋势也不能掉以轻心。

除此之外，在一些针对政府、军队等敏感目标的高等级、强对抗的网络攻击中，也出现了文档木马的身影。有的木马以地缘政治为主题，向政府外交、科研等机构发送邮件，有的木马以战争进展为主题，向NATO等军事组织发送邮件。甚至曾经出现过以中国经济主题，且针对WPS漏洞进行攻击的恶意邮件。

在这场矛与盾的对抗之中，可以肯定的是，如果事前对这类攻击手段有所防范，则可以有效降低损失。哈勃分析系统提出了如下的防范措施：

六、后记

汪为依然在努力恢复被木马加密的文件。他找遍了各个备份位置以及同事的聊天记录，但仍然没有办法百分之百地找回所有文件。有传言他需要赔偿公司一定的经济损失，有可能是几个月的工资，汪为的眼神中又多了一点落寞。

在网络这个虚拟世界里，每天不知道有多少像汪为这样的人，由于一时的大意，被邮件中的文档木马侵入成功，造成不同程度的损失。

“天下无贼”也许短时间内无法实现，不过提高自身的防范意识，让身边其他人了解防范措施，是每一个人都能做到的，也是我们联起手来对抗木马背后的黑色产业的最合适的行动。