勒索病毒當道的時代
UPDATE:文章內容不打算更新,這起勒索蠕蟲事件動態可以關注我的微博:@餘弦
-----------------
昨天的 WannaCry 勒索蠕蟲席捲了全球,即使像我們這樣遊走在邊界的人,也還是嚇了一跳。
無數沒打 MS-17010 補丁的 Win 電腦或伺服器中招,尤其是不少學校、相關單位有各種大內網的,這一波就可能直接導致這些機構工作癱瘓...
全世界鋪天蓋地的,充斥著下面這個勒索病毒界面:
不用贅述這個過程,說一些這大半年來的一些觀點吧,有些大觀點在年初開篇時已經提了,摘錄如下:
黑客技能的分支領域確實很多很多
黑客攻擊無時無刻不在發生,比你想像的可能還要激烈
除了大規模撒網攻擊,你幾乎沒被黑的價值
安全的本質是信任,「緊內聚松耦合」是偉大的思想
黑客攻擊里存在上帝視角,防禦也一樣
任何黑客攻擊都不會讓互聯網毀滅
黑客可以只是一種身份,除此之外,黑客和正常人沒什麼區別
成本是任何人都需要考慮的重要因素,包括黑客
...
這次已經載入史冊的 WannaCry 勒索蠕蟲事件,應該更能引起大眾的安全意識吧?雖然我相信,很快會淡忘。無論怎樣,下面這幾點觀點或建議,來自我們這些長期遊走在邊界的安全人員,希望能觸動到你。
1. 匿名之惡
匿名貨幣如比特幣,幾乎所有的勒索病毒,都只接收比特幣,原因很簡單,比特幣可以做到匿名,這正是這些犯罪分子最好的擋箭牌。
雖然這並不能否定匿名貨幣的價值,但這殘酷的「惡」事實,你我有目共睹。不說匿名貨幣,只要是匿名的,總會有一個角度淋漓盡致地暴露人性的醜惡。
我曾經開玩笑說:比特幣這麼兇猛,真應該感謝這些勒索病毒。
2. 勒索尾隨大漏洞
一般一個大漏洞爆發後,由於匿名之惡及巨大的產業利益,隨之而來的就是勒索病毒了。這個間隔時間目前來看,一周到一個月幾個月的都有可能,而現在應該會越來越快。
從去年進入我們視野的n Redis、MongoDB、ElasticSearch 勒索病毒,到後來只要是個大漏洞(如上個月 Struts2 的 S2-045 n漏洞)都來個勒索,這次方程式被泄露的 Eternalblue 漏洞,不到一個月就被尾隨來了個震驚全球的 WannaCry...
這個現象應該給我們一個很透徹的教訓,一旦一個漏洞爆發,為了不被黑,我們的應急黃金周期需要在 24 小時之內,甚至應該更短。無論業務大還是業務小,都應該不斷優化自家的應急黃金周期及應急策略。而如果真的由於各種原因應急滯後一周,那就不得不面對至少可能被勒索蠕蟲感染到的風險。
對於我們這些在甲方做安全防禦的人來說,這真是內憂外患。外患是要麼可能被黑偷走數據要麼可能被勒索;內憂嘛,各家有各家的難處,有時候應急快慢得是一場有組織的戰役,沒有順暢的內部溝通環境,難。
3. 蠕蟲傳播可以打破隔離「神話」
當下,國內還是無數單位靠著內網隔離來對抗攻擊者,這種方式早被證明非常之脆弱。就比如這次的勒索蠕蟲傳播,怎麼進入大內網的?可以這樣:
1) 感染掉一台邊界上的 Win 伺服器,這台伺服器可通內網,於是內網遭殃;
2) 在某個場景下感染了某個人的 Win 電腦,這人跑到其他大內網去上網,於是內網遭殃;
蠕蟲嘛,就是這樣肆無忌憚地傳播,如果再來個感染n U n盤方式,那麼傳播途徑就又多了一條。當年我在大學期間,身處校網路管理團隊,並靠著寫各種病毒專殺而入這行,後來自己也寫了不少各類型的「良性」蠕蟲,對蠕蟲算是真的情有獨鍾。現在回頭來看看,這麼多年過去了,大學網路的脆弱性改善得太慢。
4. 成本考慮
其實這次n WannaCry 勒索蠕蟲,截至我發文,才收到不到 17 枚比特幣,差不多人民幣 17 萬。這 17 n萬,對於這起「震驚全球」來看,確實太少,反而因為這樣,導致這個勒索團隊不得不優先考慮「跑路」問題,事情搞大了,絕對首當其衝被盯上,17 n萬夠跑一次路。
對於我們來說,我給出一條最中肯的建議:無論電腦手機伺服器還是其他任何機器中招了,盡量不要支付任何勒索需要的費用。讓一個產業沉寂最好的方式使其虧損。
5. 一些好習慣
除了上面提到的「應急黃金周期」,針對這個事件,還有個好習慣必須養成,那就是:勤備份。個人應該養成重要程度不同的文件的不同周期備份習慣,比如一天、一周的備份策略。
然後,警惕心一定要有。有個有趣現象,前年n iPhone 上的 XcodeGhost 事件,很多用戶就喊了「還好我不用 iPhone」,現在這次 WannaCry n事件,又很多用戶喊著「還好我不用 nWin」。不要僥倖,無論你用什麼不用什麼,被黑與沒被黑不完全由你意識決定,對絕大多數人來說,其實根本輪不到由個人意識來決定是否被黑。
要真黑你,你能躲哪去?:)
最後,這次n WannaCry n勒索蠕蟲,如果中招了,確實會有個聰明的但不完備的解決方案,昨晚「懶人在思考」的讀者「瘦子風吹不倒」就給我留言說可以通過恢復文件方式來恢復一些文件,原因是因為n WannaCry 沒「做得」太狠,感謝這位讀者。對如何恢復文件不了解的用戶倒是可以參考 360 今天凌晨 2 點發布的恢復工具:
https://media.weibo.cn/article?id=2309404107129664487886這一點「變通」,360 真是完敗了其他安全廠家了。但要注意的是,這是「文件恢復」,並不是解密了被勒索加密的文件,這種加密方式,如果直接硬碰硬,本就可以認為是無解。
對於僥倖還沒被黑,且沒打補丁的 Win 用戶,請參考微軟的官方解決方案:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/這個解決方案,微軟破天方地居然支持了古董 XP,可想而知這次蠕蟲事件影響有多麼的大。
如果 445 等埠對你來說沒特別意義,建議關閉,Win 上自帶的防火牆可以設置,自己查查怎麼做吧,不再贅述。
在勒索病毒當道的時代,我們要麼成為有能力與之對抗的安全人員,要麼養成如上所述的好習慣。
而本懶號,平時懶是懶,但關鍵時候發的消息,你既然是我們的讀者,那還是保持及時閱讀的習慣吧,畢竟我們是職業安全人員:-)
-----------------
微信公眾號「Lazy-Thought」幾個黑客在維護,都很懶,都想改變點什麼推薦閱讀:
※URP教務系統改成績,這樣是不是騙子?
※代號為 『BadUSB』 的 USB 漏洞具體是何情況,有多大危害?
※初學者自學SQL有什麼好書推薦嗎?
※Shellshock的破壞性有多大?有哪些潛在的攻擊方式?
※如何評價 2016 年 3 月 1 日公布的 HTTPS DROWN Attack 漏洞?