解密WannaCry勒索病毒
2017年5月12日晚上20时,WannaCry蠕虫席卷全球,这是一起大规模勒索软件感染事件,并在持续。据BBC报道,截至当前,全球超过150个国家至少20万名用户中招。目前至少有美国、英国、中国、俄罗斯、巴西等上百个国家和地区受到严重影响。英国数十家医院被攻击,中国教育网内多所大学纷纷中招,不少毕业生的毕业设计文件被锁。在国内,很多的企业内网甚至是专网也未能幸免。医疗、企业、电力、能源、银行、交通等多个行业均遭受不同程度的影响。
病毒针对的是早期版本的微软操作系统,只有Win10和打过补丁的其他版本的Windows操作系统才能幸免。WannaCry勒索蠕虫针对Windows中的MS17-010 漏洞进行攻击,受攻击电脑中的文档、压缩包、音频、视频、可执行程序等多种类型的文件被加密,用户需支付比特币赎金才能取回文件,否则赎金翻倍,或者文件被彻底删除。勒索软件运用了高强度的RSA+AES加密算法,暴力破解需要极高的运算量,解密几乎“束手无策”。
被感染电脑的弹窗提示,左边是倒计时
众所周知,市面上大部分电脑都使用微软操作系统。WannaCry无需任何操作,只要用户开机上网,就能扫描开放445文件共享端口的Windows机器,在存在漏洞的计算机或服务器中植入恶意程序。同时当侵入组织或机构内部时,会不停地探测脆弱的电脑设备,并感染它们,因此受感染的主机数量飞速增长。也就是说,一旦某个电脑被感染,同一网络内存在漏洞的主机都会被它主动攻击。因此受感染的主机数量指数级增长。同时,WannaCry 包含28个国家语言,可谓细致。自发作开始,由于其罕见的传播速度以及严重的破坏性,勒索病毒WannaCry已经成为全球关注的焦点。尽管英国安全研究人员在分析病毒代码时发现了病毒的紧急停止开关,WannaCry 勒索蠕虫持续感染状况不会止步,未来几周会更具挑战。随着工作日更多的电脑开机,将会出现更多的感染。而逐渐出现的改进型无关键开关的病毒变种、改进型更换 payload 的病毒变种,对安全防范和处理提出新的挑战。
漏洞早已有之,谁是幕后推手?
事实上,十多年前就曾有过一次蠕虫病毒冲击波——2003年8月,冲击波病毒(W32.Blaster.Worm)肆虐全球。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。但是,当时的病毒仅仅是影响操作系统可用性,并没有与利益相关。
为了控制蠕虫病毒的扩散,部分运营商在主干网络上封禁了445端口,但是当前教育网及大量企业内网并没有此安全策略的部署与端口限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,因此导致了此次勒索蠕虫病毒的严重泛滥。
首轮受到WannaCry病毒攻击的国家及地区
肆虐全球的512网络攻击并不“先进”,甚至是完全可以预防的。问题的根源在于 Windows 系统的 MS17-010 漏洞。2017年3月14日,微软发布安全公告 MS17-010,Microsoft Windows SMB 服务器安全更新 (4013389),等级为严重。漏洞说明是:如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。McAfee等安全公司也预测过此严重漏洞有可能被用来勒索微软操作系统的用户。
早在2017年3月14日,微软就发布了MS170-010安全更新
4月,黑客组织Shadow Brokers 对外公布了从美国国家安全局(NSA)盗取的多个 Windows 攻击工具。WannaCry 勒索蠕虫攻击代码部分即基于这些攻击工具库中的Eternal Blue(永恒之蓝)。
如果3月份的安全公告和4月份的攻击工具泄漏还没有被引起重视的话,仅仅1个月后,基于永恒之蓝的勒索蠕虫肆虐,使得网络安全危机不再存在于预测和想象里,而是真实的发生在我们身边,严重影响人们的工作与生活。正如投资界巨擘巴菲特在2017年股东大会上表示:人类面临的最大威胁是网络攻击,发生核战争的可能性要低于生化武器与网络攻击。
从网络安全的体系来看,网络安全包括攻击和防御两个部分,是一体两面的事情。有媒体报道,NSA早就掌握了微软的这个漏洞,并制作了用于网络攻击的利用程序。同时我们也注意到了微软对NSA没有及时向社会报告有关漏洞颇有埋怨。但在网络安全问题上,政府和企业的关系比较微妙和复杂。在此次的勒索病毒爆发事件上,到底谁要担负起主要的责任,我们需要进一步的观察,才能得出具体的结论。
网络安全威胁对中美网络安全合作之启示
对任何一个安全组织而言,安全两个字并不是绝对的。NSA也不例外,一旦特定的漏洞信息和针对此漏洞的利用程序流出,不仅仅对美国造成影响,也会对全世界的其他国家产生影响。针对这种网络安全威胁,中美应该展开深入合作。如有可能的话,合作应该从四个方面着手:
第一,情报共享。情报对于抑制安全威胁的作用越来越大,在此次事件处理过程中,对病毒紧急开关的合理处置就使得蠕虫的蔓延从指数级降落到线性级。通过全球安全态势数据共享,相关机构和组织一起进行数据分析,将大数据安全分析能力共同应用在双方的合作上,一定能在最快的响应时间内抑制病毒的影响。
第二,技术合作。在防御领域,技术合作和防御技术细节共享也是非常重要的,能够使得防御方更快更及时的找到关键点,从而有效的处置安全事件。
第三,代码开放。产品的源代码对特定机构开放,尤其是安全产品的源代码,对于分析是否预留后门漏洞、是否存在安全隐患都是非常有必要的,提前降低风险,给用户更大的信心。
第四,事件通报。在安全事件处置过程中,信息安全通报共享机制是非常重要的。为有效应对日益严峻的网络安全威胁和挑战,保护关键基础设施的安全,通过安全通报共享机制,开展安全信息通报预警工作,更有助于提升网络安全防范能力和水平。
WannaCry带来的反思
勒索恶意软件给国内网络安全也带来了新的挑战。在过去的多年里,国内很多组织和机构把安全的重点放在了网站是否被篡改、网站是否被拒绝服务攻击等“见得着”的方面,而对于数据被窃取、高级持续性威胁不够重视。对于针对终端计算机进行的勒索程序,仅仅在网络层拦截是不足的,需要网络层与端点设备的联动才能有效防御。在此次勒索蠕虫事件中,很多的专有终端也被攻陷和感染,如 ATM 机、闸机等,这暴露了专用终端安全防护的不足,需要进行全面的安全防护。
同时,此次勒索蠕虫病毒事件中大量的受害用户是隔离内网。很多人乐观的认为隔离内网是安全的,但事实是内部网络安全疏漏较多,防御不足,很容易从内部发起攻击。内网的资产和数据价值更大,发生事件后影响将非常严重!
随着6月1日《网络安全法》的实施,安全将提到非常重要的高度。习总书记在“4·19网络安全与信息化工作座谈会”上已经告诫我们“网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念”。何况还有很多并没有安装安全设备、安全软件的计算机在承载着事关国际民生的业务。我们一定要提高安全认识,保持安全警觉,从一次次的安全事件中吸取教训,承担起安全职责,担负起安全责任,建设“主动保护、持续监测、积极防御、快速响应”的安全态势感知体系,才能化被动为主动,提高国家的信息化安全水平。(谈剑峰系上海市信息安全行业协会会长)
第一财经获授权转载自“中美友好互信合作计划”
责任编辑:陈琰 SN225
