來(lái)源:科普中國(guó)微信公眾號(hào)
投資界巨擘巴菲特在2017年股東大會(huì)上表示:人類(lèi)面臨的最大威脅是網(wǎng)絡(luò)攻擊,發(fā)生核戰(zhàn)爭(zhēng)的可能性要低于生化武器與網(wǎng)絡(luò)攻擊。
話音未落,2017年5月12日晚上20時(shí),WannaCry蠕蟲(chóng)席卷全球,這是一起大規(guī)模勒索軟件感染事件,并在持續(xù)。據(jù)BBC報(bào)道,截至當(dāng)前,全球超過(guò)150個(gè)國(guó)家至少20萬(wàn)名用戶中招。目前至少有美國(guó)、英國(guó)、中國(guó)、俄羅斯、西班牙、意大利、越南等上百個(gè)國(guó)家和地區(qū)受到嚴(yán)重影響。英國(guó)數(shù)十家醫(yī)院被攻擊,中國(guó)教育網(wǎng)內(nèi)多所大學(xué)紛紛中招,不少畢業(yè)生的畢業(yè)設(shè)計(jì)文件被鎖。在國(guó)內(nèi),很多的企業(yè)內(nèi)網(wǎng)甚至是專(zhuān)網(wǎng)也未能幸免。醫(yī)療、企業(yè)、電力、能源、銀行、交通等多個(gè)行業(yè)均遭受不同程度的影響。
世界各地感染W(wǎng)annaCry的實(shí)時(shí)監(jiān)控圖,圖片來(lái)自網(wǎng)絡(luò)
WannaCry勒索蠕蟲(chóng)感染的電腦將被鎖定,包括照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等多種類(lèi)型的文件被加密,被加密后的文件后綴名改為“。WNCRY”,勒索軟件運(yùn)用了高強(qiáng)度的加密算法使得目前難以破解,暴力破解需要極高的運(yùn)算量,基本不可能成功解密。受害者目前只能乖乖付錢(qián)消災(zāi)。攻擊者甚至叫囂,如果在規(guī)定時(shí)間不付錢(qián),金額翻倍,甚至刪除文件。
被勒索軟件感染的電腦截屏,攻擊者索要300美元來(lái)解鎖,圖片來(lái)自網(wǎng)絡(luò)
莫慌,這到底是怎么回事?用最簡(jiǎn)單的話解釋?zhuān)褪请娔X沒(méi)有及時(shí)安裝補(bǔ)丁更新,被漏洞利用程序攻擊,成功后,攻擊者將電腦上的文件加密,彈出勒索頁(yè)面,索要贖金。進(jìn)而,攻擊者會(huì)植入遠(yuǎn)程控制木馬、虛擬貨幣挖礦等惡意程序。
WannaCry蠕蟲(chóng)是什么?
我們仔細(xì)地講講來(lái)龍去脈吧。WannaCry也被稱(chēng)為WannaCrypt/WannaCrypt0r,目前還沒(méi)有統(tǒng)一的中文名稱(chēng),目前很多媒體按照字面翻譯為“想哭”。此病毒文件的大小3.3MB,是一款蠕蟲(chóng)勒索式惡意軟件。除 Windows 10系統(tǒng)外,所有未及時(shí)安裝 MS17-010 補(bǔ)丁的 Windows 系統(tǒng)都可能被攻擊。WannaCry 通過(guò) MS17-010 漏洞進(jìn)行快速感染和擴(kuò)散,使用 RSA+AES 加密算法對(duì)文件進(jìn)行加密。也就是說(shuō),一旦某個(gè)電腦被感染,同一網(wǎng)絡(luò)內(nèi)存在漏洞的主機(jī)都會(huì)被它主動(dòng)攻擊,因此受感染的主機(jī)數(shù)量飛速增長(zhǎng)。同時(shí),WannaCry 包含28個(gè)國(guó)家語(yǔ)言,可謂細(xì)致。
WannaCry 支持全球化語(yǔ)言,圖片來(lái)自網(wǎng)絡(luò)
問(wèn)題的根源在于 Windows 系統(tǒng)的 MS17-010 漏洞。2017年3月14日,微軟發(fā)布安全公告 MS17-010,Microsoft Windows SMB 服務(wù)器安全更新 (4013389),等級(jí)為嚴(yán)重。漏洞說(shuō)明是:如果攻擊者向 Windows SMBv1 服務(wù)器發(fā)送特殊設(shè)計(jì)的消息,那么其中最嚴(yán)重的漏洞可能允許遠(yuǎn)程執(zhí)行代碼。
4月,黑客組織 Shadow Brokers 對(duì)外公布了從美國(guó)國(guó)家安全局(NSA)盜取的多個(gè) Windows 攻擊工具。WannaCry 勒索蠕蟲(chóng)攻擊代碼部分即基于這些攻擊工具庫(kù)中的EtenalBlue(永恒之藍(lán))。
如果3月份的安全公告和4月份的攻擊工具泄漏還沒(méi)有被引起重視的話,僅僅1個(gè)月后,基于EtenalBlue(永恒之藍(lán))的勒索蠕蟲(chóng)肆虐,不再存在于預(yù)測(cè)和想象里,而是真實(shí)的發(fā)生在我們身邊,嚴(yán)重影響了工作與生活。
利用Windows系統(tǒng)遠(yuǎn)程安全漏洞進(jìn)行傳播,WannaCry 會(huì)掃描開(kāi)放445文件共享端口的Windows機(jī)器,無(wú)需用戶任何操作,只要開(kāi)機(jī)上網(wǎng),就能在存在漏洞的計(jì)算機(jī)或服務(wù)器中植入惡意程序。當(dāng)侵入組織或機(jī)構(gòu)內(nèi)部時(shí),它會(huì)不停的探測(cè)脆弱的電腦設(shè)備,并感染它們,因此受感染的主機(jī)數(shù)量飛速增長(zhǎng)。
圖片來(lái)自網(wǎng)絡(luò)
目光回到多年前的沖擊波病毒
讓我們把目光回到多年之前,2003年8月,沖擊波病毒(W32.Blaster.Worm)肆虐全球,病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2000或XP的計(jì)算機(jī),找到后利用DCOM/RPC緩沖區(qū)漏洞攻擊該系統(tǒng),一旦攻擊成功,病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染,使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。另外,該病毒還會(huì)對(duì)系統(tǒng)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊,導(dǎo)致該網(wǎng)站堵塞,使用戶無(wú)法通過(guò)該網(wǎng)站升級(jí)系統(tǒng)。
當(dāng)時(shí),為了控制蠕蟲(chóng)病毒的擴(kuò)散,部分運(yùn)營(yíng)商在主干網(wǎng)絡(luò)上封禁了445端口,但是當(dāng)前教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒(méi)有此安全策略的部署與端口限制而且并未及時(shí)安裝補(bǔ)丁,仍然存在大量暴露445端口且存在漏洞的電腦,因此導(dǎo)致了此次勒索蠕蟲(chóng)病毒的嚴(yán)重泛濫。
鑒于 WannaCry 勒索蠕蟲(chóng)的肆虐,微軟公司決定為已經(jīng)不再提供更新支持的 XP、Windows Server 2003 發(fā)布了補(bǔ)丁,下載地址:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,并發(fā)布了《勒索病毒 Ransom:Win32/WannaCrypt 防范及修復(fù)指南》。
在分析和處置 WannaCry 勒索蠕蟲(chóng)病毒時(shí),發(fā)生了一個(gè)意外的事情。英國(guó)安全研究人員 MalwareTech 在分析病毒代碼時(shí)發(fā)現(xiàn)了一個(gè)很長(zhǎng)的域名 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,而此域名并未被注冊(cè)。當(dāng)他注冊(cè)了此域名后,才發(fā)現(xiàn)這個(gè)域名看起來(lái)像是病毒作者給自己留的一個(gè)緊急停止開(kāi)關(guān),防止事情失去控制。每一個(gè)感染了病毒的機(jī)器,在發(fā)作之前都會(huì)事先訪問(wèn)一下這個(gè)域名,如果這個(gè)域名不存在,就繼續(xù)傳播。如果訪問(wèn)成功,就停止傳播。無(wú)意之間,這位研究人員阻止了蠕蟲(chóng)病毒進(jìn)一步大范圍爆發(fā)的可能。
但是不容松懈的是,WannaCry 勒索蠕蟲(chóng)持續(xù)感染狀況不會(huì)馬上停止,未來(lái)幾周會(huì)更具挑戰(zhàn)。隨著工作日更多的電腦開(kāi)機(jī),將會(huì)出現(xiàn)更多的感染。而逐漸出現(xiàn)的改進(jìn)型無(wú)關(guān)鍵開(kāi)關(guān)的病毒變種、改進(jìn)型更換 payload 的病毒變種,也會(huì)對(duì)安全防范和處理提出新的挑戰(zhàn)。
圖片來(lái)自網(wǎng)絡(luò)
為什么那么多電腦沒(méi)及時(shí)安裝補(bǔ)丁?
每次重大的安全事件,都會(huì)給人們一些嚴(yán)厲的警示,也推動(dòng)了安全的進(jìn)步。我們都知道,計(jì)算機(jī)系統(tǒng)保持更新是多么的重要,但是為什么還有那么多的電腦沒(méi)有及時(shí)安裝補(bǔ)丁呢?主要是以下幾種原因:
1、業(yè)務(wù)系統(tǒng)太古老,無(wú)法兼容最新的操作系統(tǒng),只能使用陳舊的操作系統(tǒng),如 Windows XP、Windows Server 2003,而微軟公司已經(jīng)不再對(duì)這些陳舊的操作系統(tǒng)提供補(bǔ)丁更新支持。也就是說(shuō),如果不對(duì)這些陳舊的操作系統(tǒng)進(jìn)行全面的安全防護(hù),不將業(yè)務(wù)系統(tǒng)更新部署到最新的操作系統(tǒng)上,今天會(huì)被 WannaCry 蠕蟲(chóng)攻擊,明天可能就會(huì)被另外的蠕蟲(chóng)病毒攻擊。
2、懶惰和得過(guò)且過(guò)的態(tài)度是安全的最大敵人,安全保護(hù)是一項(xiàng)嚴(yán)謹(jǐn)、勤奮的工作,任何的疏忽和大意都會(huì)造成嚴(yán)重的損失。等到不得不乖乖給勒索者交錢(qián)時(shí),才會(huì)想到不應(yīng)該。
3、認(rèn)為打補(bǔ)丁會(huì)對(duì)穩(wěn)定性造成影響。給操作系統(tǒng)打補(bǔ)丁是一種變更操作,會(huì)對(duì)原環(huán)境造成影響,但經(jīng)過(guò)嚴(yán)格測(cè)試的補(bǔ)丁和在測(cè)試環(huán)境中的驗(yàn)證,都能消除這些疑慮。以穩(wěn)定為名忽視安全,是最得不償失的。
很多人出于安全習(xí)慣的考慮,在計(jì)算機(jī)上安裝了各種第三方安全助手,這些安全助手往往綜合了多種自動(dòng)化操作,給用戶帶來(lái)了便捷。但使用這些第三方安全助手一定注意:微軟公司在3月份已經(jīng)對(duì) Win 7 以上版本推送了補(bǔ)丁更新。但第三方安全助手會(huì)關(guān)閉 Windows 自動(dòng)更新。所以從某種程度上來(lái)說(shuō),需要改變認(rèn)識(shí),第三方安全助手并不是最終的安全保障。
圖片來(lái)自網(wǎng)絡(luò)
備份,對(duì)抗勒索惡意軟件才有效
對(duì)抗勒索惡意軟件最有效的辦法是備份、備份、備份,一定要定期在不同的存儲(chǔ)介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù),一定不能懶惰,一定不能有僥幸心理。
勒索惡意軟件給國(guó)內(nèi)網(wǎng)絡(luò)安全也帶來(lái)了新的挑戰(zhàn)。在過(guò)去的多年里,國(guó)內(nèi)很多組織和機(jī)構(gòu)把安全的重點(diǎn)放在了網(wǎng)站是否被篡改、網(wǎng)站是否被拒絕服務(wù)攻擊等“見(jiàn)得著”的方面,而對(duì)于數(shù)據(jù)被竊取、高級(jí)持續(xù)性威脅不夠重視。對(duì)于針對(duì)終端計(jì)算機(jī)進(jìn)行的勒索程序,僅僅在網(wǎng)絡(luò)層攔截是不足的,需要網(wǎng)絡(luò)層與端點(diǎn)設(shè)備的聯(lián)動(dòng)才能有效防御。在此次勒索蠕蟲(chóng)事件中,很多的專(zhuān)有終端也被攻陷和感染,如 ATM 機(jī)、閘機(jī)等,這暴露了專(zhuān)用終端安全防護(hù)的不足,需要進(jìn)行全面的安全防護(hù)。
同時(shí),此次勒索蠕蟲(chóng)病毒事件中大量的受害用戶是隔離內(nèi)網(wǎng)。很多人樂(lè)觀的認(rèn)為隔離內(nèi)網(wǎng)是安全的,但事實(shí)是內(nèi)部網(wǎng)絡(luò)安全疏漏較多,防御不足,很容易從內(nèi)部發(fā)起攻擊。內(nèi)網(wǎng)的資產(chǎn)和數(shù)據(jù)價(jià)值更大,發(fā)生事件后影響將非常嚴(yán)重!
隨著6月1日《網(wǎng)絡(luò)安全法》的實(shí)施,安全將提到非常重要的高度。習(xí)總書(shū)記在4.19網(wǎng)絡(luò)安全與信息化工作座談會(huì)上已經(jīng)告誡我們“網(wǎng)絡(luò)安全的威脅來(lái)源和攻擊手段不斷變化,那種依靠裝幾個(gè)安全設(shè)備和安全軟件就想永保安全的想法已不合時(shí)宜,需要樹(shù)立動(dòng)態(tài)、綜合的防護(hù)理念”。何況還有很多并沒(méi)有安裝安全設(shè)備、安全軟件的計(jì)算機(jī)在承載著事關(guān)國(guó)際民生的業(yè)務(wù)。我們一定要提高安全認(rèn)識(shí),保持安全警覺(jué),從一次次的安全事件中吸取教訓(xùn),承擔(dān)起安全職責(zé),擔(dān)負(fù)起安全責(zé)任,建設(shè)”主動(dòng)保護(hù)、持續(xù)監(jiān)測(cè)、積極防御、快速響應(yīng)“的安全態(tài)勢(shì)感知體系,才能化被動(dòng)為主動(dòng),提高國(guó)家的信息化安全水平。