编者按:本期专题对5月12日爆发的勒索蠕虫这一席卷全球的事件做了技术方面的回顾和总结。本刊特别邀请三六零科技高级副总裁谭晓生做特邀编辑,邀请了360公司、安天实验室、绿盟科技和北京市公安局各位专家在极短的时间内为本期专题撰写精彩深刻的文章,从专业角度全面剖析勒索病毒的前世今生和在反制斗争中的刀光剑影。就在本期专题即将付印之际,又有新一轮勒索病毒席卷欧洲。知己知彼,百战百胜。面对严峻的网络安全挑战,《中国计算机学会通讯》希望通过此次组织特殊专题的形式,帮助业界相关人士和大众更好地了解相关背景和深入知识。
WannaCry勒索蠕虫爆发无疑是2017年最重大的网络安全事件之一。该蠕虫在5月12日开始的数天之内横扫150多个国家,感染50多万台电脑(另一说法有200万~300万台电脑被感染),并对电脑中的文件加密,造成许多系统瘫痪。如英国医疗服务系统完全瘫痪;国内某能源企业超过1000家加油站网络甚至包括部分加油机被感染;国内某政府部门内网被感染,部分公众服务中断……初步估计,全球范围内的经济损失高达数十亿美元。
WannaCry勒索蠕虫的爆发引起政府和安全行业高度重视。一是蠕虫这种古老的恶意代码在2003年冲击波蠕虫事件后多年来相对沉寂,本次快速、大范围的爆发,使得安全行业对蠕虫的危害性重新认识;二是使勒索软件这种堪称完美的网络犯罪模式进入了大众的视野,而事实上,勒索软件的感染数量在过去两年内以每年一个数量级的速度在快速增长,已经成为现在和未来最重要的网络威胁之一;三是勒索蠕虫作者利用了美国网络战武器库中泄露的武器——“永恒之蓝”作为蠕虫的传播与感染工具,“大规模杀伤性武器散落民间”是否会造成网络犯罪、网络恐怖主义升级值得注意;四是防护更加严密的隔离网络本次成为重灾区,政府及重要基础设施网络安全管理的理念、架构的有效性需要重新检讨;五是勒索蠕虫的爆发检验了我们的网络安全应急响应机制,在相对成功应对的同时也发现了诸多问题,我们的网络安全管理组织结构、响应流程都有很多不足,亟待改进。
1990年之前出生的朋友或许还记得2003年8月冲击波蠕虫爆发的场景:电脑不断重启,如果没有断网,即使重装操作系统,新装的电脑也会陷入不断重复启动的循环,不得不断网进行查杀。冲击波蠕虫利用一个分布式组件对象模型(DCOM)远程过程调用(RPC)的缓冲区溢位漏洞,在Windows XP、Windows 2000操作系统上感染和传播。本次WannaCry勒索蠕虫利用的则是微软基于445 端口传播扩散的MS17-010 SMB漏洞。SMB(微软服务器消息块)协议是微软Windows系统中广泛使用的一项网络文件共享协议,在大部分Windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。与冲击波蠕虫类似,WannaCry勒索蠕虫的传播也是不需要用户介入的,感染了蠕虫的计算机会自动扫描网络上的其他计算机,存在相同漏洞的计算机被扫中后即被感染,然后也会开始对外扫描、感染。无须用户介入,通过网络扫描即可传播是网络蠕虫能够快速、大范围爆发的原因。
勒索软件已有20多年的历史,但比特币之类匿名电子货币的诞生,使得勒索者更难被追踪到,而数字资产价值的提升又使得被勒索者更愿意花钱消灾,因此,网络勒索成为一门投入小、收获大、风险小的生意。勒索软件普遍采用非对称密钥对文件加密密钥进行保护,除非勒索软件在代码实现上有重大缺陷,否则暴力破解被加密的文件基本不可行,那是挑战密码学的根本问题。勒索软件已经从PC互联网蔓延到了手机,预计未来还会蔓延到物联网、工业控制系统,将是网络安全行业未来很长时间要对抗的一种重大威胁。
WannaCry勒索蠕虫作者利用了被泄露的网络战武器“永恒之蓝”。黑客组织“影子经纪人”(The Shadow Brokers)攻破了美国国家安全局(NSA)的网络并获得了其旗下方程式组织(Equation Group)的网络战武器库。据说方程式组织是NSA旗下的黑客组织,2015年初因为在硬盘固件中植入木马事情被曝光而引起大众的广泛关注,而影子经纪人所曝光的网络战武器库中则包含了许多武器,在试图高价拍卖武器库与众筹公开武器库均失败后,影子经纪人公开了武器库中的23件武器,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查等,号称可以远程攻破70%的运行Windows操作系统的电脑。微软在今年三月发布补丁,修复了永恒之蓝所利用的MS17-010漏洞;在五月WannaCry勒索蠕虫爆发后,微软还打破惯例发布了针对Windows XP和Windows 2003的漏洞补丁以降低勒索蠕虫感染的成功率;六月发布的补丁程序一口气修复了95个漏洞,有渠道说包括不少NSA武器库所利用的漏洞,其中的CVE-2017-8464漏洞被称为100%稳定利用的“神洞”,该漏洞是微软Windows操作系统处理LNK文件过程中发生的远程代码执行漏洞。当存在漏洞的电脑被插上包含漏洞利用工具的U盘时,不需要任何额外操作,漏洞攻击程序就可以借此完全控制用户的电脑系统。这个漏洞被部分安全研究人员称为“震网三代”,与2010年针对伊朗核设施的“震网病毒”所利用的漏洞非常相似。针对永恒之蓝所利用的漏洞进行分析,有研究者认为这个漏洞比较“蹊跷”,怀疑是被故意植入的后门,研究者对CVE-2017-8464也有类似的怀疑。抛开漏洞的成因不谈,单单是已经公开的NSA武器库已经让人们感受到美国网络战武器的强大。在明显的网络战力量失衡之下,各国是否会进入一场网络空间军备竞赛高潮,令人担忧。
从勒索蠕虫的代码分析来看,WannaCry勒索蠕虫的制作还是相当粗糙,例如预留了一个Kill Switch域名但自己并没有注册;又如对文件的加密操作采用的方式是重新生成一个加密文件然后删除原文件,而不是在原文件上覆盖写,这样就存在通过文件修复工具恢复被删除的文件来获得加密前文件的可能。事实上360公司以及四川效率源信息安全技术股份有限公司所开发的勒索软件恢复工具,其实都是利用删除文件恢复方法进行文件恢复的,虽不能保证百分之百地恢复文件,但毕竟有可能恢复一部分不是很大的文件,以减小损失。而更专业的勒索软件往往会采用覆盖写的方式来破坏原文件,基本上没有恢复可能。勒索蠕虫的网络扫描模块也没有考虑针对隔离网的攻击效率的优化,即使进入隔离网络,也还在傻傻地扫描整个互联网的IP地址,如果加入隔离网检测逻辑,优先针对隔离网IP地址范围进行扫描,本次勒索蠕虫对隔离网络的破坏还会大很多。但即使如此,因为其所利用的永恒之蓝的威力,依然造成了巨大的破坏,这犹如一件先进武器落到街头小毛贼手里,虽然没有用来精确打击战略目标,也能造成巨大损失,让人不得不担心类似的网络战武器是否会被恐怖组织以及网络犯罪团伙所利用。影子经纪人组织已经宣布,从今年六月开始采用订阅模式逐月公布一些NSA武器库中的武器。有了WannaCry勒索蠕虫的启发,可以想象,恐怖组织与网络犯罪团伙一定会利用这些网络战武器进行破坏,因此,网络反恐与网络犯罪打击面临新的挑战。
我国政府部门对重要基础设施多年来秉承“隔离”的网络防御思想,尤其强调物理隔离,但本次勒索蠕虫事件中的重灾区恰恰是隔离网络。如拥有上百万台电脑的某政府部门,其隔离网中有大量电脑中招,以至于影响到对公众的服务;某能源企业有超过1000个加油站的电脑中招,POS机不能用,发票不能打,被迫退回到收现金、手工加油时代。而互联网用户感染量并不大,这不得不让人思考为何本应更安全的隔离网络反倒不堪一击?从这次蠕虫的感染方式看,不存在U盘摆渡、光盘摆渡等攻击方式,隔离网络被感染,一是隔离网络并没有彻底隔离,有终端违规连入了互联网,从互联网感染了勒索蠕虫后在隔离网中传播;二是隔离网中的终端没有及时安装操作系统补丁。甚至事件发生后有的隔离网络中补丁分发程序都不能正常工作,不得不依次对这些电脑的补丁程序进行手工安装;三是隔离网络中没有对不同功能的网络进行进一步的隔离,勒索蠕虫突破网络边界后在隔离网内部的传播畅行无阻;四是隔离网络的安全管理制度存在组织结构上的缺陷。因为预算模型的问题,网络是分级投资、分级建设、分级管理的,上百万台终端的内网没有一个部门能够有效进行协同,而各个地市网络又缺乏足够数量的、具备足够技能的安全运维人员,甚至在应急处置中发生了防火墙规则配置错误导致二次灾害的问题。此事对有关部门的启示是,隔离网络不能一“隔”了之,隔离网络的规划、建设、管理维护、应急处置体系需要重新考虑。
本次勒索蠕虫爆发时间是北京时间周五的晚上,我国部分安全公司通宵监测事件的发展,从互联网上监测到的感染情况尚属可控,到周六上午有公司意外接到某政府部门和能源企业的求助电话,才得知他们的隔离网络中有大量电脑被感染。公安部网络安全保卫局局长坐镇公安部指挥中心进行调度,各网络安全公司也开始应急处置工作。应急处置又分预防感染与恢复业务两条线进行,因为周一上班才是开机高峰,周一上班开机时预防蠕虫爆发是重点。以360公司为首的安全公司周末连续作战,72小时内共发出9个版本安全预警通告,制作了7个安全修复指南文档和6个安全软件修补工具。公安部网络安全保卫局、国家网络与信息安全信息通报中心在周末三次通报勒索蠕虫感染情况及应对指南。各政府机关与企业在周末已经为周一开机做了充分准备,包括封锁445端口、断网安装补丁程序、分批次开机等举措,确保了周一政府与企业单位的开机高峰平安度过。各安全公司也派出了大量人员奔赴用户现场进行被感染系统修复、打补丁、网络隔离等工作。所有这些工作保证了整个事件被快速平息,也保证一带一路高峰论坛会议的顺利进行。政府和安全企业的共同努力使得这次的蠕虫传播趋势很快得到了遏制。
《中国计算机学会通讯》(CCCF)分别邀请了来自四家参与本次勒索蠕虫事件应急处置的网络安全公司的多位安全专家以及公安局警官,分别从蠕虫的技术分析、蠕虫传播特性分析、事件应急处置分析、管理反思几个角度来对本次事件做一个复盘,试图让读者更多地了解这次蠕虫事件的方方面面。
长期追踪分析高级威胁的安天实验室安全研究与应急处理中心研究员白淳升的文章聚焦在“蠕虫”这种恶意软件本身,介绍了WannaCry勒索蠕虫的运行流程,系统介绍了网络蠕虫与普通病毒的区别、网络蠕虫的分类、网络蠕虫的传播特点。介绍了从1988年第一个网络蠕虫“莫里斯蠕虫”开始以来的历次重大蠕虫爆发事件,以及勒索软件的历史沿革,提出本次事件给我国的网络空间安全带来的经验教训以及启示。360企业安全集团汪列军、三六零科技宋申雷等专家从代码级详细分析了WannaCry勒索蠕虫的工作原理以及文件修复的思路。三六零科技网络安全研究院李丰沛研究员则从DNS解析数据、sinkhole数据来分析该蠕虫的时间传播特性以及各变种的传播情况,视角颇为新颖,而这两类数据也是本次事件处置中安全管理部门所依赖的主要数据。绿盟科技是本次勒索蠕虫应急处置中的主力之一,叶晓虎高级副总裁、王延华总监从应急处置角度分析了勒索蠕虫的全球感染情况、赎金支付情况、国内用户感染及预防情况,提出了系统安全开发与运维体系的建议。北京交通大学在读博士、北京市公安局的周永战警官则从网络空间安全管理部门的视角,讨论如何通过管理手段解决类似的网络安全事件,提出落实等级保护、增强监测预警技术、建设完善应急处置联动机制、建立漏洞管控机制、推进网络信息技术自主创新、贯彻落实相关法律法规的多方治理理念。
“没有网络安全就没有国家安全”言犹在耳,网络空间是下一个战场,WannaCry勒索蠕虫可以算作是一次网络战预演,总结经验教训,改进我们的网络防御工作,把坏事变成好事,是我们现在应该做的事情。 ■
所有评论仅代表网友意见