网络安全的“极端天气”:DarkSide
星期一, 五月 24, 2021
瘫痪半个美国的输油管道,“倒逼”拜登政府总统行政命令,没有人能想到,勒索软件组织DarkSide在5月份的一次“赎金风暴”,对全球网络安全产业的影响力堪比斯诺登和震网病毒等里程碑事件。
在预防和预测类似DarkSide这样的“极端天气”网络攻击之前,业界迫切需要对DarkSide的运营方式和赎金流向进行深入研究。DarkSide如何短时间(不到一年时间内)通过勒索软件攻击获取并洗白数千万美元?如何在攻击得手后不留痕迹,逍遥法外?
近日,Anchain.AI创始人兼首席执行官方春生(Victor Fang)博士、Law&Forensics LLC联合创始人丹尼尔·加里(Daniel Garrie,福布斯专家委员会成员,国际权威的网络安全律师),联合撰文解密了DarkSide鲜为人知的“赎金漂洗流程”,并授权安全牛独家中文报道,内容如下:
总部位于旧金山的区块链网络安全公司AnChain.AI一直在追踪臭名昭著的Darkside勒索软件,该软件2021年5月破坏了Colonial Pipeline公司5500英里的输油管道,导致整个美国东南部的燃料短缺,并宣布进入紧急状态(State of emergency)。AnChain.AI与领先的网络安全法律专家以及法律技术公司Law&Forensics LLC的联合创始人Daniel Garrie Esq合作,独家披露了迄今最深入的DarkSide勒索软件攻击区块链取证时间表,以及DarkSide如何使用Coinjoin混合策略来混淆比特币赎金。
众所周知,加密货币是勒索软件的理想支付工具,并且在未来的攻击中依然如此。本文阐明了企业,个人,VASP(加密货币交易平台)和政府如何更好地为下一波勒索软件攻击做好准备。
DarkSide如何“漂洗”比特币
下面的时间轴复盘了DarkSide黑客组织如何利用大约30个比特币地址的钱包集群启动了针对输油管道商Colonial Pipeline勒索软件活动,该集群其实在2021年3月4日就已经启用,至5月13日持续活跃了70天,收割赎金总额超过300个比特币,价值超过1600万美元。这些赎金来自Colonial Pipeline(美国最大的成品油管道系统公司)、Brenntag(德国大型化工公司)以及其他未具名受害者。
图1:DarkSide勒索软件比特币流程时间表
该比特币钱包集群当前余额为0,疑似已被放弃。自5月13日以来,大多数勒索软件都处于休眠状态。自5月1日以来,黑客一直通过一种称为Coinjoin的复杂混合技术来清洗从勒索软件活动中获得的比特币。
Coinjoin是一种加密货币混淆(mixing)算法系统,通过混淆大量UTXO交易提高追踪复杂度,让传统的货币反洗钱追踪方法完全失效。通过AnChain.AI独立研发的自动跟踪人工智能技术,我们得以揭示Coinjoin的策略并追踪其复杂的洗钱途径,其中一条途径如下所示。
图2:从2021年5月1日开始的,DarkSide的比特币Coinjoin混合路径
图3:5月1日与DarkSide黑客洗钱相关的一项比特币Coinjoin混合交易,如图所示,在该操作中混淆了14多个比特币。
如何防御DarkSide勒索软件?
对于不同角色,我们建议采取以下对策:
1.企业和个人用户:
防病毒软件仍然是防御DarkSide勒索软件的最有效方法, 检测率在87%。VirusTotal(谷歌Google旗下公司)平台的69个AV杀毒软件终端供应商中,有60个都可以检测到Darkside恶意软件,包括FireEye、Symantec、McAfee和Microsoft。但是,截至本文撰写时(5月19日),百度、腾讯、奇虎360和Yandex(基于俄罗斯)的杀毒软件仍然无法检测DarkSide。AnChain.AI敦促所有网络安全供应商尽快更新DarkSide勒索软件检测,保护企业和个人用户。
FireEye Mandiant刚刚发布了有关DarkSide恶意软件分析博客。
除防病毒软件外,对于企业而言,拥有定期测试的书面网络安全事件响应计划也很重要。一个好的事件响应计划将制定协议,以在事件响应团队,业务利益相关者,内部和外部顾问以及其他相关利益相关者之间进行协调。许多组织使用特定于勒索软件的事件响应计划来解决勒索软件攻击的独特技术,业务和法律方面。任何组织的关键是制定一个与人员和技术环境相适应的事件响应计划。此外,必须使用桌面练习或勒索软件模拟定期测试事件响应计划。
图4: DarkSide勒索病毒检测结果汇总,来源: VirusTotal (谷歌)。
2. 虚拟货币服务商 VASP:
虚拟货币服务商VASP在打击加密货币洗钱方面需要完善AML反洗钱系统,保护平台用户。正如AnChain.AI报告指出,DarkSide黑客组织一直在清洗从Colonial Pipeline勒索软件活动中获得的千万美金比特币。VASP需要确保链上AML过滤引擎的完整性和预防性,以便完全符合您所在监管辖区的要求,例如美国的OFAC,FinCEN,SEC和OCC;新加坡的新加坡金融管理局;和欧盟的5AMLS等。
3.政府与监管机构:
世界各国的司法管辖区仍然在探索提高其加密货币AML法规的效率。 加密货币很难监管,但并非不可能。UTXO和基于智能合约的混币器方法,以及不断增长的上亿级别的匿名加密货币地址空间,使得政府和监管机构无法有效执法。
譬如,美国财政部旗下的外国资产控制办公室 OFAC,目前采用OFAC制裁名单(sanction list)对于使用加密货币作为支付工具的复杂网络犯罪分子和恐怖分子来说总是迟到一步, 目前难以有效防御这种新兴的网络威胁。
在5月12日的DarkSide攻击爆发期间,美国总统拜登签署了关于改善国家网络安全性的白宫行政命令。该行政命令明确定义了网络安全周期和响应贡献(CCCC)中的不同阶段,在这些阶段中,特别强调了入侵防御、检测和响应对于勒索软件防御至关重要。
本次DarkSide 勒索软件极端天气事件堪称2021年网络安全行业黑天鹅,希望敲响警钟,提高世界各国采取更加有效的防御措施。
参考资料:
有关Coinjoin混合的更多信息:
https://anchainai.medium.com/cryptocurrency-mixers-pt-1-from-privacy-tool-to-billion-dollar-laundering-machine-80140e14aeb5
关于DarkSide勒索软件的运营:
https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html
拜登政府《改善美国网络安全的行政命令》原文:
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/