肆虐各國的WannaCry,如果重新來過,會有不同嗎?

過去的一周,註定是可以載入網路安全史的不平凡的一周。

  • 5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。受害者電腦被黑客鎖定後,病毒會提示支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。

  • 5月13日晚間,一名英國研究員於無意間發現WannaCry隱藏開關(Kill Switch)域名,意外的遏制了病毒的進一步大規模擴散。

  • 5月14日,監測發現,WannaCry 勒索病毒出現了變種:WannaCry 2.0, 與之前版本的不同是,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。

截至目前,有近150個國家受害,產生數二十萬例感染報告,尤其是教育、交通、醫療、能源等行業也在本輪攻擊中有所感染,醫院癱瘓,運輸網路被擾亂,加油站無法運轉等,一些關鍵基礎設施都無法提供服務,影響了人們正常的工作和生活。

此次病毒攻擊是針對Windows操作系統,其擴散速度之快、影響範圍之廣、破壞性之大,引起了全球的廣泛關注。

萬物互聯時代,終端設備將迎來爆炸式的增長。如果再次遇到類似「Wannacry」病毒,後果不堪設想。

物聯網安全該如何守護?有專家預測,「WannaCry」侵襲為物聯網安全現狀敲響了警鐘。未來受到攻擊的很可能是嵌入式系統,這將會波及到整個物聯網領域,危害之大不可估量。

當前,網路空間已經成為繼陸、海、空、天之後的第五大主權領域空間,「Wannacry」 病毒的大規模侵襲已經給用戶終端及關鍵基礎設施安全防護一擊重拳,物聯網安全需要多方力量去守護。

1

WannaCry緣起和幕後

針對本次WannaCry勒索病毒事件,大家基本上達成了共識:WannaCry勒索病毒發行者利用了去年被盜的美國國家安全局(NSA)設計的 Windows系統黑客工具 Eternal Blue(永恆之藍),進行升級後之後就成了WannaCry。而盜取永恆之藍的是一個名為「影子經紀人」的黑客組織。

影子經紀人是誰?

今年4月14日,影子經紀人黑客組織曾經進入NSA網路,曝光了該局一批檔案文件,同時公開了該局旗下的「方程式黑客組織」使用的部分網路武器。實際上早在去年,影子經紀人就已經竊取了美國國家安全局的網路武器。2016年8月13日,黑客組織影子經紀人通過社交平台稱,已攻入美國國家安全局(NSA)的網路「武器庫」——「方程式組織」,並泄露了其中部分黑客工具和數據。

方程式組織隸屬於NSA,被稱為NSA的網路「武器庫」。有業內人士表示,方程式組織是全球最頂尖的黑客團隊,這個團隊的加密程度無人能及。2010年毀掉伊朗核設備的震網病毒和火焰病毒,也被廣泛認為出自方程式組織之手。

據說方程式組織使用的網路武器有十款工具最容易影響Windows個人用戶,包括永恆之藍、永恆王者、永恆浪漫、永恆協作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學者、日食之翼和尊重審查。

這其中的網路武器,包括可以遠程攻破全球約70%Windows機器的漏洞利用工具。這次事件就是永恆之藍實現的,實現方法是加密重要文件,這個加密演算法以目前的科技水平基本上沒法破解。無需任何操作,只要聯網就可以入侵電腦,瞬間血洗互聯網。

影子經紀人目的何在?

歷史資料顯示,影子經紀人在互聯網上初露鋒芒是在2016年8月。這個神秘黑客組織宣布自己攻破了NSA的防火牆,並且公布了思科ASA系列防火牆、思科PIX防火牆的漏洞。

據《連線》報道,當時影子經紀人明目張胆地在推特上表示,他們將免費提供一些網路攻擊和黑客工具的下載,而這些攻擊武器均來自另一黑客團隊方程式組織。

影子經紀人公布的文件

在聲稱盜取了方程式組織的攻擊武器之後,影子經紀人開始在網上拍賣這些文件。影子經紀人表示,如果他們收到超過100萬比特幣,他們就會釋放他們已經擁有的更多的黑客工具。但那次拍賣最終只獲得了價值25美元的比特幣。

2016年10月,影子經紀人停止了銷售,並開通了類似眾籌的活動。他們表示,如果最終他們完成10000比特幣的眾籌目標,就將提供給參與眾籌的人每人一份黑客工具。當兩個月後,該組織的眾籌嘗試再次宣告失敗。

但影子經紀人並沒有因此放棄利用這批文件賺錢的努力。他們之後開始在ZeroBin上小批量地銷售黑客工具。2017年1月,該組織以750比特幣的價格出售一批能夠繞過殺毒軟體的Windows黑客工具。

有媒體評價稱,影子經紀人好像黑客中的軍火商。他們時常會販賣高級的攻擊武器,有時也販賣重要的世界軍政信息。他們喜歡在競爭對手之間販賣武器,客戶在發現對手的攻擊能力和本人一樣後,很自然就會成為影子經紀人的回頭客,以求購更新的「武器」配備。

繼2016年的拍賣失敗以後,影子經紀人最重要的發布發生在今年4月中旬,該組織聲稱獲得了NSA黑客工具的詳細信息,據說美國政府正是利用這些工具入侵國際銀行系統,偵查各國間資金流向,監控中東和拉美國家銀行間的資金往來。

影子經紀人從方程式組織獲取的這份300M的泄密文檔顯示,其中的黑客工具主要針對微軟的Windows系統和裝載環球銀行間金融通信協會(SWIFT)系統的銀行。這些惡意攻擊工具中,包括惡意軟體、私有的攻擊框架及其他攻擊工具。根據已知資料,其中至少有涉及微軟23個系統漏洞的12種攻擊工具,而這次造成勒索病毒的永恆之藍,不過12種的其中之一。

不過,隨後SWIFT否認了曾被黑客攻入。按照英國廣播公司的說法,如果4月曝光的資料和工具被確認來自NSA,這將是「稜鏡」事件後,NSA遭遇的最嚴重「爆料」。

2

幕後黑手究竟是誰?

本次勒索病毒事件發生後,受到波及的多國開始採取應對措施,歐洲刑警組織也對「幕後黑手」展開調查。

5月13日,歐洲刑警組織在其官網上發布消息稱,歐洲刑警組織已經成立網路安全專家小組,對發動本輪網路攻擊的「幕後黑手」展開調查。但「幕後黑手」究竟是誰?這一問題一直困繞著各方,各種猜測風靡網路。俄羅斯、朝鮮和黑客組織都成為懷疑對象。

俄羅斯

網上盛傳的「幕後黑手」有的劍指俄羅斯,認為俄羅斯就是本次勒索病毒事件的幕後黑手,但也有人認為不可能是俄羅斯。

先前俄羅斯常常是不少黑客攻擊活動的發起地,如俄羅斯黑客被指控侵入美國民主黨全國委員會的網站,欲暗助共和黨候選人特朗普當選美國總統,以及最近的法國總統選舉以來影響最大的計算機攻擊事件。

雖然,俄羅斯政府已再三否認俄方涉及法國總統大選黑客入侵事件。但是,俄羅斯依然被懷疑與此次勒索病毒「WannaCry」有關,且最近數年,一個俄羅斯黑客集團利用Gameover Zeus病毒發布一款被稱作Cryptolocker的勒索件。

由於黑客攻擊「美國大選」與「法國大選」事件,俄羅斯成為了發布「WannaCry」這款勒索軟體的被懷疑對象。

據英國《每日電訊報》網站5月12日報道,一個可能與俄羅斯有關的網路團伙被指與全世界範圍內的電腦安全漏洞有關,他們或許是為了報復美國在敘利亞的空襲行動。不過目前並沒有證據表明他們與WannaCry存在聯繫。

據5月16日俄羅斯衛星通訊社莫斯科報道,俄羅斯國防部發布消息稱,勒索病毒(WannaCry)對該部網路信息基礎設施的攻擊都及時被發現並成功被攔截。俄國防部一名高官透露:「勒索病毒對國防部互聯網上的信息基礎設施的攻擊都及時被發現,並立即被阻止。利用易受攻擊的Windows系統的勒索病毒,完全無法對軍隊作戰管理進程進行破壞。」他還說,至於國防部那些上網的電腦,都由現代和不斷更新的國產軟體系統加以保護,成功抵禦現有的以及可能出現的網路威脅。

由此可見俄羅斯不僅「前科累累」,俄軍方還具備抵禦並攔截勒索病毒的能力,這次事件中,俄鐵路、銀行醫院等單位的內網並未受影響。

當然一切都沒有被證實,也僅僅是猜測而已。

朝鮮

WannaCry勒索病毒攻擊分布圖中,全球有互聯網基礎的國家幾乎都被淪陷,但朝鮮卻幸免於難。朝鮮周圍的韓國、中國等均被藍點密集覆蓋(表示該地區受到了勒索病毒的影響),唯有朝鮮地區一片空白。各種猜測說朝鮮是此次WannaCry攻擊的幕後黑手,當然也有人表示懷疑。

據《福布斯》5月16日報道,世界各地的政府和安全專家都開始調查誰是「WannaCry」勒索軟體大規模爆發背後的推手,他們發現了一個線索,本次勒索事件的幕後黑手或來自朝鮮。

線索在於代碼。谷歌安全研究員梅赫塔(Neel Mehta)發布了一條神秘的推文,提到了兩款惡意軟體的樣本:一個是WannaCry,另一個樣本,是一個名為拉撒路機構(Lazarus Group)的黑客團伙的創作,後者與2014年對索尼的災難性攻擊相關聯,事件起因於索尼公司發行的「以刺殺朝鮮最高領導人金正恩」為主題的電影。並且拉撒路機構還被認為攻擊了SWIFT 銀行系統導致孟加拉國的一家銀行遭受網路盜竊,盜竊金額達到了創紀錄的8100萬美元。根據許多安全公司的以前的分析,拉撒路集團也屬於朝鮮。

在梅赫塔發推文之後,卡巴斯基實驗室檢測了代碼,安全軟體開發商Proofpoint安全研究員達里恩·哈斯(Darien Huss)和安全公司Comae Technologies的創始人、安全專家馬特·蘇徹也進行了代碼監測。所有人一直在積極調查和捍衛網路安全,對抗WannaCry,並都發現了勒索軟體與朝鮮之間可能的關聯。

梅赫塔和研究人員在這款勒索軟體中發現,一大塊WannaCry的代碼100%與Contopee的代碼相同,而Contopee是拉撒路集團使用的惡意軟體。WannaCry從2017年2月出現,而Contopee是從2015年2月開始。

在兩個惡意軟體樣本中,黑客都使用了明顯相同的代碼,用於隨機代碼生成;勒索軟體會生成0到75之間的隨機數,並將其用於數據編碼,對惡意軟體的操作進行混淆,以躲過安全工具的檢測。

卡巴斯基實驗室基於複製的代碼表示,這是「目前為止,WannaCry起源最重要的線索」。卡巴斯基實驗室全球研究和分析團隊主管CostinRaiu認為,梅赫塔正在調查的惡意軟體似乎與英國BAE系統公司的發現一樣,即將孟加拉國銀行失竊與拉撒路集團聯繫起來。「當然,目前還需要更多的研究,但是梅赫塔可能會發現關於WannaCry有啟示作用的發現。」Raiu補充道。

蘇徹對此表示同意:「關於拉撒路集團的敘述,是對的,這個集團以攻擊如銀行這類金融機構而臭名遠播,他們以勒索軟體的方式,藉助口令貨幣竊取資金的事實,將被視為同樣的勒索手法。」

讓這條線索特別引人注意的是,代碼似乎是獨一無二的,只與拉撒路集團有聯繫,與其他任何方面都沒有關係。一位要求匿名的研究人員表示,在可以訪問的大型病毒庫中,將代碼與惡意軟體進行比較,卻幾乎沒有匹配的已知惡意軟體。他說,使用WannaCry的黑客,很有可能只是從拉撒路集團所使用的工具中借用了非常有限的一部分,沒有其他惡意軟體的代碼,這使得兩者相關聯的可能性更大。

對於認為朝鮮是WannaCry攻擊的幕後黑手,也有人認為還是要保持懷疑。有安全專家表示,現在就下定論,還為時尚早。這些信息可能本身就是用來誤導研究人員和執法機構的。

所有人都相信,梅赫塔的發現可以為找出WannaCry的可能創造者提供線索。他們也都注意到,代碼中雖然出現了相似之處,但是代碼中的信息可能也只是一個虛假的標誌,黑客有意地將其提供在代碼中,引導大家找錯方向。所以,這並不意味著勒索軟體就是由同一個黑客擁有。

正如哈斯所指出的那樣,拉撒路集團就是以基於開源代碼製作工具而出名。他補充說:「我的主要擔憂是,這些重疊的代碼可能本身就是竊取而來的。我們應該謹慎,因為這是一個真正的可能性,這只是兩個不同的組織複製的代碼,恰好重疊而已。」

黑客也會經常借用別人的代碼。事實上,也可能是一個黑客集團發現了拉撒路集團的工具,並重新使用了這些工具。或者,正如塔庫爾指出的那樣,可能有二千個惡意軟體樣本在一些地下論壇上被秘密分享,而犯罪分子則正在共享工具。在幾乎沒有線索的情況下,WannaCry的受害者共支付了價值7萬美元的比特幣,尚未追溯到任何犯罪者,至少目前是這樣。

朝鮮紅星操作系統

有網友認為,朝鮮用的是自主研發的操作系統!而此次WannaCry針對的是Windows系統。朝鮮自主研發的操作系統名為紅星,屬於Linux的朝鮮深度定製版。所以朝鮮的電腦沒有受到攻擊很正常。

雖然目前判斷誰發動了此次攻擊還為時過早。不過,朝鮮作為可疑的始作俑者不能被排除在外。

360核心安全團隊負責人鄭文彬認為:勒索病毒的溯源一直是比較困難的問題。曾經FBI懸賞300萬美元找勒索病毒的作者,但沒有結果。目前全球都沒有發現本次WanaCry勒索病毒的作者來自哪裡。但從勒索的方式看,電腦感染病毒之後會出現包括中文在內十五種語言的勒索提示,且整個支付通過比特幣和匿名網路這樣極難追蹤的方式進行,很有可能是黑色產業鏈下的組織行為。

3

誇大的輿論和瘋狂的A股

在中國,高校以及公安系統成了「WannaCry」的重災區;目前全國有數十所高校網站感染此病毒;北京、上海、江蘇等地的出入境、公安路網也遭到病毒的攻擊。類似的事情發生在了鹽城某出入境管理大隊,大隊一度暫停了業務辦理,好在通過搶修,系統已基本恢復。

但在媒體鋪天蓋地的報道中,也不乏誇大其詞,將影響面不斷擴大的的言論,火絨安全創始人馬剛才在接受採訪時對安在舉例:病毒只攻擊Windows系統的電腦,手機等終端不會被攻擊,包括Unix、Linux、Android等系統都不會受影響。例如下圖,明顯是假的,是造謠者PS的。

詭異的比特幣

比「熊貓燒香」勢頭還猛的「WannaCry「病毒,其背後的比特幣勒索」陰謀論「是真的嗎?

事件發生後,原本以為幕後組織會因此大撈一筆的時候,黑客當前卻只收到約合34萬元人民幣的贖金,原因是多數用戶不懂比特幣的操作。

(圖片來源:比特幣交易網)

自5月後,比特幣的價值就呈上漲趨勢,5月13日成交量為975568,收盤價格是10455.12人民幣。

黑客為了隱藏自己的身份,會選擇具有匿名特質的比特幣,其次比特幣無國界,跨境的匯款方式,只需要等待P2P網路確認交易後,資金就可以會給對方了,說得直白點就是交易的過程不經過任何管制機構,所以也不會留下任何交易記錄,對於黑客而言,不被發現蹤跡的交易是保護他們不被發現的首要條件。

比特幣勒索事件發生後,雖然其價值下跌10%的,但長期的走高趨勢還是吸引了比特幣投資者購入一部分比特幣;然而比特幣的數量是有限的,投資者數量多,購入多會導致比特幣的價值會上漲;除了用比特幣勒索,毒品交易、洗錢等違法行為都被不法分子利用,目前來看還未有一個國家對比特幣交易出台有效的監管政策。

暴漲的安全股

受此事件的影響,5月15日,A股網路安全板塊全面爆發,相關指數漲幅超過5%,一扭今年以來的頹勢,龍頭股啟明星辰(002439.SZ)、藍盾股份(300297.SZ)等「一字板」開盤。截至5月18日,網路安全板塊上漲超過3%。而隨各家公司緊急推出應對措施,恐慌情緒得到遏制。網路安全板塊吐回部分漲幅。

值得注意的是: 年初至今,信息安全板塊表現一直乏力,事件發生前,估值已下降到板塊新低。計算機板塊年初至今下跌5.76%,2016年以來,網路安全指數跌幅超過 40%,在計算機行業概念板塊中領跌。

專業人士分析,此次事件將給信息安全產業帶來深遠影響,會極大的促進整個網路安全市場,如信息產業安全政策將加速落地,整個社會的信息安全意識將全面提升,各級安全部門、政府部門、企業組織都將加大自身網路安全建設,由此引發的後續的網路安全需求將會快速增加

而在事件不斷發酵的同時,一些陰謀論的聲音也異常喧鬧, 有腦洞大的人認為,這次的病毒入侵或許是微軟,蘋果搞出來的。微軟或許在這場攻擊中走向兩個極端,一個就是全面走向Win10,另一個就是用戶可能放棄微軟,走向蘋果,這樣看來,蘋果似乎是漁翁得利了,但這背後又突然符合了那個「陰謀論」了。

「WannaCry」牽出了錯綜複雜的互聯網、政治關係,隨著事態愈演愈烈,到最後只能斷網,好在現在手機支付系統還未被入侵,否則全球支付系統估計都得崩潰。

4

對中國的網路安全影響意義,大咖們怎麼看?

「永恆之藍」勒索病毒事件則讓人們意識到,今後互聯網或將成為恐怖主義肆虐的新戰場。

今天,在解讀上周末爆發的勒索病毒事件時,360公司董事長周鴻禕提醒:「此次「永恆之藍」病毒攻擊堪稱是一個里程碑事件,網路安全將進入新常態,『高危漏洞+網路武器』會成為標配,漏洞將會變成研究重點。而今後隨著更多設備的聯網,網路攻擊也將向各種智能終端蔓延。

周鴻禕舉例稱,今天每個人都離不開手機,如果病毒進攻用戶手機,就可能導致用戶寸步難行或者傾家蕩產。雖然此次勒索病毒並未蔓延至個人手機,但周鴻禕認為這只是時間問題,一定會蔓延至手機。除手機外,其他智能設備如攝像頭,智能音響、智能電視、電視盒子、智能汽車所有的東西都可能成為攻擊的入口,都可能成為漏洞。」

「這次勒索病毒利用的系統漏洞實際上來自於美國國家安全局。武器很先進,但這次的武器落到了一幫有點搞笑的毛賊手裡,相當於他們搞到了一枚網路核彈,但他們卻用來幹了一件很低俗的敲詐勒索的事情。」

周鴻禕認為,網路攻擊的新時代已經被開啟了。互聯網已經非常深入的與每個人的工作、生活緊密結合在一起。未來,整個國家和社會都將運轉在互聯網之上,如果遭受大規模的互聯網攻擊,對整個社會秩序、社會穩定,對每個人的日常生活都將帶來巨大影響。

周鴻禕認為,企業應該提高安全意識。這次勒索病毒的爆發會成為一個里程碑事件,網路安全進入新常態,「高危漏洞+網路武器」會成為標配,漏洞將會變成研究重點。「很多企業有認識誤區,總說裝了一個安全軟體就能高枕無憂。漏洞是網路安全中最致命的,很多企業卻認為,有漏洞又不會死人,就不修補漏洞。」

周鴻禕同時建議,企業應該在平時多注意修補漏洞,及時打補丁。「內網」已經被證明落後,並不安全。「之前很多企業認為,內網和外網隔離開就安全了,這種思想是落後的。從這次勒索病毒的傳播來看,內網這次成為重災區。原來所謂的內網隔離,由於目前移動辦公的需求,內網的邊界已經被打破了。」另外,內網不連接互聯網,操作系統和軟體不能升級,這也讓安全問題難以得到解決。

安天實驗室的主要創始人兼首席技術架構師肖新光表示:從傳統的病毒類型來看,此次勒索病毒(WannaCry)屬於蠕蟲病毒。蠕蟲病毒就是一種能夠跨節點主動自我傳播複製的惡意代碼。從勒索病毒的樣本來看,它沒有明確的攻擊國家,是隨機,只要這個病毒掃描到了有漏洞的計算機就會發動攻擊。至於這次具體發動機攻擊地點,對蠕蟲病毒來源的確定是一個世界性的難題,過去有找到過蠕蟲作者的案例,但都付出了巨大的社會成本。而此次的勒索病毒,業內在查找攻擊初始起點上還沒有相應的進展。

騰訊反病毒實驗室負責人馬勁松認為,WannaCry勒索病毒和十幾年前的蠕蟲原理一樣,並不涉及太高精尖的技術,只是利用了微軟的「永恆之藍」漏洞。對抗這個病毒啟示也簡單,用戶只要及時在安全環境下打上系統補丁就可以防禦。但非常不幸的是,這次WannaCry勒索病毒給中國網民及企業機構帶來了極大衝擊,其深層次原因在於大家的安全意識想對薄弱。

知道創宇CEO趙偉在接受採訪時表示,他認為在中國做互聯網安全創業是一件非常「苦逼」的事情,雖然上到中央下到媒體都一直在宣導網路安全建設的重要性,但真正願意投入建設安全能力及體系的企業並不多,網路安全變成了「看上去很美」的產業。而此次WannaCry勒索病毒對中國尤其是企業客戶的衝擊,或許將成為中國網路安全的分水嶺。

WannaCry勒索病毒或許這是新時期網路威脅的一個序曲,隨著互聯網+時代的來臨,應對「WannaCry」式攻擊或將成為常態。

漏洞銀行技術總監張雪松表示: 無論是轟動一時的各大網站用戶信息泄露事件,還是此次WannaCry 勒索病毒的事件,其本質都關乎用戶的數據安全。隨著互聯網的發展,數據的價值對用戶越來越高,目前安全產業已從系統安全發展到了數據安全,這也是留給安全界的課題,如果不能有效的保護用戶數據,那此類事件還會繼續發生。

華泰證券CSO張嵩在談到如何處理這一危機的時候表示

1、蠕蟲爆發時,比拼的就是速度。一旦一個漏洞爆發,為了不被黑,我們的應急黃金周期需要在 24 小時之內,甚至應該更短。無論業務大還是業務小,都應該不斷優化自家的應急黃金周期及應急策略。而如果真的由於各種原因應急滯後一周,那就不得不面對至少可能被勒索蠕蟲感染到的風險。

2、在勒索病毒當道的時代,我們要麼成為有能力與之對抗的安全人員,要麼養成好習慣。這次 WannaCry 事件,又很多用戶喊著「還好我不用 Win」。不要僥倖,無論你用什麼不用什麼,被黑與沒被黑不完全由你意識決定,對絕大多數人來說,其實根本輪不到由個人意識來決定是否被黑。要真黑你,你能躲哪去?

3、這次是實實在在的實戰,公司和團隊每個人都下海游泳了一把。樂觀的是:高層領導支持力度很大,IT夥伴們基本功很紮實。藉此機會,總結經驗教訓,該改進改進,該打屁股打屁股,該投入投入,切莫輕易錯過這個營養寶庫。

人生最美好的莫過於各種經歷和難忘的體驗,過程比較痛苦的,結果都還比較好。如果大家在企業做安全中遇到各種頗為「痛苦」的體歷,過後你一定會感謝和懷念這份體歷的。
推薦閱讀:

貌似有很多教育網內電腦報告說中了Wana decrypt0r勒索病毒,剛剛發生,是否有解決方法了?
全球100國淪陷,勒索病毒席捲全球:巨大的利益驅動是罪魁禍首!
如何評價『內江效率源科技成功攻克勒索病毒,發布感染數據免費恢復工具 』這個消息?
WannaCry 勒索軟體事件對微軟的業務會產生正面還是負面影響?

TAG:WanaDecrypt0r20计算机病毒 | 勒索病毒 | 网络安全 |