蠕虫与勒索软件的结合体

最近发生的“魔窟”电脑病毒（WannaCry勒索蠕虫）事件传播迅速，受害范围广泛，主要原因是这次事件完全使用了蠕虫式的传播手法，利用影子经纪人(The Shadow Brokers)泄露的美国国家安全局(NSA)漏洞“永恒之蓝”，在互联网上掀起蠕虫式的传播攻击，短短数小时内就在全球内造成大规模的影响。这是近几年来继“心脏出血”、“破壳”和“Mirai”之后最严重的大规模网络安全事件，不禁让我们再次感叹蠕虫病毒的传播能力。“魔窟”事件用事实证明，蠕虫病毒并没有消亡，一旦有符合条件的可利用环境，蠕虫式的攻击便会回潮。且经“魔窟”事件的示范效应，未来发生蠕虫事件不仅仅会造成网络瘫痪或主机异常，还将伴随着以获利为目的的对信息系统造成的直接破坏。

“魔窟”样本是蠕虫与勒索软件的结合体（见图1），蠕虫模块负责传播自身并释放勒索程序，勒索程序负责加密用户数据进行勒索，二者“强强”联合发挥各自作用，达到了大规模传播与破坏的效果。这两类恶意代码并非新生之物，蠕虫与勒索软件都是既有的恶意代码类型。如果不是“魔窟”事件，可能很多人都已淡忘了蠕虫类的恶意代码。回顾蠕虫与勒索软件的发展历史，可以发现蠕虫发展与逐渐衰亡的原因，以及勒索软件兴起的背景，使我们更加全面解析“魔窟”事件。

蠕虫历史回顾

计算机蠕虫与计算机病毒（感染式病毒）类似，是一种能够自我复制的计算机程序。与计算机病毒不同的是，计算机蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行。

蠕虫是计算机恶意代码史上非常重要的一部分，由于其传播速度快，影响范围广，网络危害大，在恶意代码命名上，多数厂家都为蠕虫单独设置一级前缀来标示。从蠕虫演进历史可以看出，蠕虫的出现与传播都伴随着相关漏洞或技术的产生。早期的大多数蠕虫本身并没有恶意行为，仅作为测试或炫耀目的。但由于蠕虫的传播特性，多数通过网络传播的蠕虫都会给网络造成压力，甚至使网络瘫痪。随着网络攻击技术的发展和黑色产业链的利益驱使，蠕虫已经不再只是单纯地传播，大规模传播的蠕虫事件相对减少，取而代之的是更多的恶意代码对蠕虫传播技术的借鉴使用。因此，传统时代的计算机蠕虫将会很少有新的家族产生，但计算机蠕虫永远不会消亡，只是以另一种形态结合其他恶意代码共存。

蠕虫的关键字是传播，因此蠕虫的分类主要是以传播载体、技术、手段来区分的，如我们通常所说的“口令蠕虫”、“邮件蠕虫”、“共享蠕虫”等。图2是早期蠕虫的流行样本和使用的传播技术，目前来看，很多蠕虫已经失去了传播环境，不再具有威胁，但也有相当一大部分的蠕虫在政府企业内网之间利用内网的脆弱点“顽强”地生存。蠕虫在网络安全历史上留下了很多影响深远的事件（见表1）。回顾这些历史事件，有助于我们深刻理解蠕虫本质，客观地了解蠕虫在不同时代的发展与传播技术的使用，进一步更好地防范和预防蠕虫类恶意代码。

从上述蠕虫发展的历史可以看出，一种蠕虫的流行都伴随着相关系统、软件应用、网络环境的“适配”。随着安全产品的针对性防护和传播条件的消失，相对应的蠕虫影响也随之减少。但这并不代表我们的网络变得安全了，一旦有了类似“永恒之蓝”的可利用条件，相应的蠕虫就可能会再次出现。而更多基于蠕虫式的传播技术，尤其是一些0day漏洞传播技术逐渐被应用于更隐蔽的针对性攻击，不再是全网的大面积感染，这种传播使得传统的基于网络的检测不容易被发现。因此，对蠕虫防护不能掉以轻心，既有的网络流量异常检测仍然是网络侧的主要检测手段。而面对定向传播蠕虫，需要我们建立新的有效监测与防护机制，在关键信息系统的防护中精准式打击蠕虫，谨防“震网”事件重演。

勒索软件演进史

勒索软件(Ransomware)是一种流行的木马程序，它通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。有关的用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其他虚拟货币。一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，甚至无法还原被加密的文件。

勒索软件主要有以下三类：

1.影响用户系统的正常使用：比如PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等，会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用；

2.恐吓用户：比如FakeAV(Trojan[Ransom]/
Win32.FakeAV)等，会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。又如Reveton(Trojan[Ransom]/
Win32.Foreign)，会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金；

3.绑架用户数据：这是近期比较常见的一种勒索方式，最典型的是CTB-Locker家族(Trojan[Ransom]/Win32.CTBLocker)，采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法。

其中第三种形式危害最大，也是流行最为广泛的类型。表2对当前流行的勒索软件按类别进行了梳理。

蠕虫与勒索软件的结合体

最近发生的“魔窟”电脑病毒（WannaCry勒索蠕虫）事件传播迅速，受害范围广泛，主要原因是这次事件完全使用了蠕虫式的传播手法，利用影子经纪人(The Shadow Brokers)泄露的美国国家安全局(NSA)漏洞“永恒之蓝”，在互联网上掀起蠕虫式的传播攻击，短短数小时内就在全球内造成大规模的影响。这是近几年来继“心脏出血”、“破壳”和“Mirai”之后最严重的大规模网络安全事件，不禁让我们再次感叹蠕虫病毒的传播能力。“魔窟”事件用事实证明，蠕虫病毒并没有消亡，一旦有符合条件的可利用环境，蠕虫式的攻击便会回潮。且经“魔窟”事件的示范效应，未来发生蠕虫事件不仅仅会造成网络瘫痪或主机异常，还将伴随着以获利为目的的对信息系统造成的直接破坏。

“魔窟”样本是蠕虫与勒索软件的结合体（见图1），蠕虫模块负责传播自身并释放勒索程序，勒索程序负责加密用户数据进行勒索，二者“强强”联合发挥各自作用，达到了大规模传播与破坏的效果。这两类恶意代码并非新生之物，蠕虫与勒索软件都是既有的恶意代码类型。如果不是“魔窟”事件，可能很多人都已淡忘了蠕虫类的恶意代码。回顾蠕虫与勒索软件的发展历史，可以发现蠕虫发展与逐渐衰亡的原因，以及勒索软件兴起的背景，使我们更加全面解析“魔窟”事件。

图1 “魔窟”勒索蠕虫运行流程

蠕虫历史回顾

计算机蠕虫与计算机病毒（感染式病毒）类似，是一种能够自我复制的计算机程序。与计算机病毒不同的是，计算机蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行。

蠕虫是计算机恶意代码史上非常重要的一部分，由于其传播速度快，影响范围广，网络危害大，在恶意代码命名上，多数厂家都为蠕虫单独设置一级前缀来标示。从蠕虫演进历史可以看出，蠕虫的出现与传播都伴随着相关漏洞或技术的产生。早期的大多数蠕虫本身并没有恶意行为，仅作为测试或炫耀目的。但由于蠕虫的传播特性，多数通过网络传播的蠕虫都会给网络造成压力，甚至使网络瘫痪。随着网络攻击技术的发展和黑色产业链的利益驱使，蠕虫已经不再只是单纯地传播，大规模传播的蠕虫事件相对减少，取而代之的是更多的恶意代码对蠕虫传播技术的借鉴使用。因此，传统时代的计算机蠕虫将会很少有新的家族产生，但计算机蠕虫永远不会消亡，只是以另一种形态结合其他恶意代码共存。

蠕虫的关键字是传播，因此蠕虫的分类主要是以传播载体、技术、手段来区分的，如我们通常所说的“口令蠕虫”、“邮件蠕虫”、“共享蠕虫”等。图2是早期蠕虫的流行样本和使用的传播技术，目前来看，很多蠕虫已经失去了传播环境，不再具有威胁，但也有相当一大部分的蠕虫在政府企业内网之间利用内网的脆弱点“顽强”地生存。

图2 典型蠕虫和传播途径

蠕虫在网络安全历史上留下了很多影响深远的事件（见表1）。回顾这些历史事件，有助于我们深刻理解蠕虫本质，客观地了解蠕虫在不同时代的发展与传播技术的使用，进一步更好地防范和预防蠕虫类恶意代码。

表1 　蠕虫在网络安全历史上影响深远的事件

从上述蠕虫发展的历史可以看出，一种蠕虫的流行都伴随着相关系统、软件应用、网络环境的“适配”。随着安全产品的针对性防护和传播条件的消失，相对应的蠕虫影响也随之减少。但这并不代表我们的网络变得安全了，一旦有了类似“永恒之蓝”的可利用条件，相应的蠕虫就可能会再次出现。而更多基于蠕虫式的传播技术，尤其是一些0day漏洞传播技术逐渐被应用于更隐蔽的针对性攻击，不再是全网的大面积感染，这种传播使得传统的基于网络的检测不容易被发现。因此，对蠕虫防护不能掉以轻心，既有的网络流量异常检测仍然是网络侧的主要检测手段。而面对定向传播蠕虫，需要我们建立新的有效监测与防护机制，在关键信息系统的防护中精准式打击蠕虫，谨防“震网”事件重演。

勒索软件演进史

勒索软件(Ransomware)是一种流行的木马程序，它通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。有关的用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其他虚拟货币。一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，甚至无法还原被加密的文件。

勒索软件主要有以下三类：

1.影响用户系统的正常使用：比如PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等，会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用；

2.恐吓用户：比如FakeAV(Trojan[Ransom]/
Win32.FakeAV)等，会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。又如Reveton(Trojan[Ransom]/
Win32.Foreign)，会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金；

3.绑架用户数据：这是近期比较常见的一种勒索方式，最典型的是CTB-Locker家族(Trojan[Ransom]/Win32.CTBLocker)，采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法。

其中第三种形式危害最大，也是流行最为广泛的类型。表2对当前流行的勒索软件按类别进行了梳理。

表2 当前流行勒索软件分类

二十多年的时间里，虽然勒索软件的新家族层出不穷，但主要的勒索方式仍以绑架用户数据为主。图3展示了1989~2015年勒索软件的演进史。在图3的左侧标明了几个重要的时间点，从图中可以看出，随着安卓(Android)平台的日益普及，面向移动终端的勒索软件也日渐增多；随着比特币的出现，以比特币代为赎金的勒索软件也逐渐多了起来。

图3 勒索软件的演进史

早期的勒索软件采用传统的邮寄方式接收赎金（比如Trojan/DOS.AidsInfo），会要求受害者向指定的邮箱邮寄一定数量的赎金。我们也发现了要求受害者向指定银行账号汇款（比如Trojan/Win32.Pluder）和向指定号码发送可以产生高额费用的短信（比如Trojan[rog,sys,fra]/Android.Koler）的勒索软件。直到比特币支付形式出现后，由于它可以为勒索软件提供更为隐蔽的赎金获取方式，因此2013年以来，勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。也可以说，虚拟货币的出现，加速了勒索软件的泛滥。

总体来看，虽然勒索软件的技术含量不高，但却可以对用户的数据安全造成严重危害，其威胁不可小觑。勒索软件的出现给我国政府、企业网络安全带来了新的挑战。在较长时间内，国内部分政府、企业机构把安全的重心放在诸如网站是否被篡改或DDoS等比较容易被感知和发现的安全事件上，但对网络内部的窃密威胁和资产侵害则往往不够重视，对恶意代码的治理更是投入不足。因为多数恶意代码感染事件难以被直观地发现，但“敲诈者”以端点为侵害目标，其威胁后果则粗暴可见。同时，对于类似威胁，仅仅依靠网络拦截是不够的，必须强化端点的最后一道防线，强调终端防御的有效回归。

希腊战士跳出木马，杀死睡梦中的守军，打开城门。城外隐藏的军队如潮水般涌入特洛伊城，将城市烧成一片灰烬。此时的特洛伊人懊悔没有听从拉奥孔的劝告，但为时已晚……对于一般的感染式病毒或木马，即使用户在遭受安全威胁之后再安装反病毒软件，依然可以亡羊补牢，让系统重新处于安全状态。但对于绑架用户数据的勒索软件而言，如果没有可靠的事前防御和检测能力，面对已经被勒索软件加密的用户数据，侧重于保护系统安全的反病毒软件也无能为力。只有安装侧重于保护数据安全的工具或部署针对企业安全特点的安全产品，才能尽量避免给勒索软件以可乘之机。

“魔窟”事件整个响应过程的经验教训

在过去几年，类似“红色代码”、“震荡波”、“冲击波”等大规模蠕虫感染带来的网络拥塞、系统大面积异常等事件日趋减少。而对基于PC节点的大规模僵尸网络的关注也开始不断下降，类似Mirai等物联网僵尸网络开始成为注意力的焦点，这使传统IT网络开始陷入一种假想的“平静”当中。由于Windows自身在数据执行保护(DEP)、地址空间布局随机化(ASLR)等方面的改善，使一击必杀的系统漏洞在日趋减少，主流的攻击面也开始向应用转移。在这种表面上的平静之中，以窃密、预制为目的的APT攻击，则由于它是一种高度隐秘的、很难被IT资产的管理者感知到的攻击，始终未能得到足够的重视。而黑客产业犯罪的长尾化、针对性的特点，也使其并不依赖庞大的受害人群分布，即可获得稳定的黑色收益。因此在过去几年，内网安全风险是围绕高度隐蔽性和定向性展开的，这种风险难以感知的特点，导致内网安全未得到有效的投入和重视，这也是导致今天的大规模安全灾难的根源。勒索软件的一大特点是，其威胁后果是直接可见的。这种极为惨烈的损失，昭示了内网安全的“欠账”，也说明我们长期在简单的边界防护、物理隔离和内部的好人假定的基础上经营出的安全图景，是一种“眼不见为净”式的自欺，无法通过攻击者的检验。

“魔窟”事件充分暴露了我国在内网安全体系上的能力缺陷，一方面是安全产品未能得到全面部署和有效使用，另一方面则首先是其规划建设中没有落实“三同步”的原则，缺少基础的安全架构。国内能力型安全厂商共同认同的滑动标尺模型，认为安全能力可以划分成架构安全、被动防御、积极防御、威胁情报等层次。各层次构成一个有机的整体，网络安全规划以基础的安全架构和可靠的被动防御手段为基础，叠加有效的积极防御和威胁情报手段。如果没有架构安全和被动防御的基础支撑，那么上层能力难以有效发挥；如果没有积极防御和威胁情报的有效引入，仅靠基础设施也无法有效对抗深度的威胁。每个安全层次解决不同的问题，有不同的价值。相对更低的层次付出的成本更低，但解决的问题更基础广泛。从网络安全投入上看，越是网络建设初期越要做好底层的工作。而为了保障高等级的资产，就需要在积极防御和威胁情报层面扩大投入。

综合“魔窟”事件的影响范围和应急处置经验教训，我们建议网络和IT环境复杂的大中型机构对后续的安全防护体系考虑进行如下优化：

1. 当前专有终端防护能力相对不足，本次事件中有相当数量的专有终端受害，因此建议对ATM、各类闸机等专用终端，部署专用终端防护版以增强防护能力；

2. 本次事件中大量受害用户为隔离内网，进一步体现出“过于依赖网络边界防护和物理隔离的安全体系，反而可能使得内部网络安全疏漏较多，安全治理工作也任重道远”，建议重视内网安全能力提升，建设内网纵深防御体系；

3. 在这次的应急工作中，我们每每感叹“缺乏有效的基于资产的安全管理、感知和响应平台支撑时，在复杂网络的应急工作中应急人员往往有力使不出”。目前，很多用户正在规划或建设网络安全态势感知和监控预警平台，针对安全事件的汇聚、研判、以及呈现固然要重点考虑，但建议更应加强对“基于资产的安全分析、处置响应、处置进展监控”等能力的规划。

“魔窟”事件给我们带来的启示

“魔窟”事件的严重后果缘自NSA的网络军火失窃，这些网络军火攻击的穿透性很强，在非战争条件下，网络军火通常是在情报作业中高度定向、谨慎使用的。一旦网络军火流失到第三方并且被大规模使用，就会造成大面积安全灾难。此外，此次攻击遇到了中国的整体信息系统基础防御水平较低、不成体系、长期投入不足的客观情况，几种条件相叠加，产生了灾难性的后果。

这次事件是两种网络攻击趋势的结合点。在此前一系列大规模网络攻击，如红色代码、口令蠕虫、震荡波、冲击波和尼姆达病毒之后，人们仿佛看不到此类事件了。但并不是因为网络变得更加安全了，而是因为APT等网络威胁的隐蔽性增加，可感知度在下降，这种利用高级漏洞并采用工具的攻击，往往是一些深度的信息窃取，是一种穿透性强且感知度低的方式。而勒索软件是一种高感知度的威胁，这次事件恰恰是把基于高级漏洞攻击的穿透性和勒索的高感知度结合在一起，于是对社会产生较大影响。

从这一事件可以看出，超级大国确实拥有非常强的网络攻击能力。这次失窃的网络军火，只是美国网络攻击能力中的一部分。美方更大的能力是支撑网络攻击的工程体系与装备体系，以及其建制化的人员团队。用一枚导弹来形容，此次泄露的只是其运载部分，但支撑导弹的预警雷达、数据链等其他部分我们知之甚少。目前国际上普遍认为，“震网事件”是与美国相关的。2013年，美国曾利用“震网”蠕虫攻击伊朗的铀浓缩设备。

自“棱镜事件”以来，先后出现了“影子经纪人”爆料 NSA装备事件、维基解密曝光美国中央情报局网络攻击装备等事件。在有效保管自身网络攻击装备和能力方面，美方已经出现破窗效应。但同时可以看出，美方整体的网络攻击能力是远远超出其他国家的。从这一系列事件也可以看出，美国一方面无节制地提升网络攻击能力，但另一方面并没有有效履行相应的妥善管理相关武器的国际义务，导致其军火级攻击平台、漏洞利用工具和恶意代码以及攻击思路泄露。这些泄露的网络军火，已经开始危害全球基础互联网的安全。相对于传统武器而言，网络空间武器的复制成本几乎为零，也更容易失窃。因此，超级大国需要承担妥善保管其网络军火的国际责任。

通过这一事件，中国需要意识到我们整体网络防御能力的薄弱性。在未来的大国竞争中，网络空间防御能力的差距是当前网络安全的根本差距。中国当前在威胁检测引擎、大数据安全分析等领域已经有一些国际级的单点成果，但整个信息化中基础规划和治理能力差距巨大。此次事件利用的漏洞，尽管是NSA所使用的漏洞，但微软在2017年3月已经发布了相关补丁。这意味着国内大量被感染的用户都没有及时安装补丁。我国当前在一些行业企业信息系统中，包括IT基础设施的安全规划、主机的安全策略加固、按时打补丁、按时升级安全产品在内的大量规定动作还没有有效落实。如果这些规定动作没有做到位，先进安全技术的进一步突破和进步是无法有效落地的。

对于中国网络安全而言，现在需要做的是抓住云计算、大数据和物联网的机会，在新的IT建设中有效融入安全设计，同时在原有的存量信息系统上“补上之前的欠账”。

任何新技术都会带来相应的挑战，但整体而言，安全和威胁永远是处于一个动态平衡、渐进向好的过程。在威胁增强时，防御能力也应增强。中国的IT从业者和用户既要对安全风险保持警惕，也要对安全与发展的同步推进保持信心。 ■