WannaCry蠕虫事件概况
2017年5月12日,一款名为“WannaCry”的勒索蠕虫病毒席卷全球,此次病毒涉及的地区和行业都非常广泛。根据MalwareTech1的统计,截至6月12日,全球已有53万多台计算机被感染(见图1)。
图1 WannaCry在全球的感染地区
从感染主机的地理分布上看,中国、东南亚地区、欧洲和美国都是重灾区。根据新闻和媒体的报道,在全球范围内,医疗、教育、金融、能源、制造行业的企业和机构都受到一定程度的影响。
WannaCry病毒是一款蠕虫型勒索软件,主要攻击对象是企业、机构和政府部门。截至6月11日17时5分,勒索病毒的三个赎金账户分别收到14.36比特币、17.25比特币和19.74比特币的赎金,共计341笔汇款,累计赎金为51.35比特币,折合人民币约102.6万元2。根据硅谷网络风险建模公司Cyence统计,WannaCry病毒构成的网络攻击造成的经济损失约为80亿美元(550亿元人民币)。根据国家互联网应急中心(CNCERT)发布的《关于防范Windows操作系统勒索软件WannaCry的情况通报》,在我国,包括高校、能源等多个国内用户受到攻击,已对我国互联网络构成较为严重的安全威胁。
在此次蠕虫病毒爆发期间,绿盟科技为202家企业和组织机构提供了应急响应支撑服务,具体如图2所示。在202家单位中,有171家单位通过网络隔离,入侵监测与防护系统的升级,对服务器漏洞扫描与加固,对终端隔离查杀升级等方式,有效地阻止了蠕虫病毒的感染;另外31家企业和单位虽然组织了应急响应,但仍然受到病毒的侵害。在31家受灾单位中,服务器系统被病毒感染的有17家;个人终端被感染的有14家。从此次应急响应的过程和结果来看,当前中国企业和组织机构在预防和阻止大规模安全灾害事件上仍然面临较多的问题,需要逐步加强和完善企业和组织机构的安全运维与管理体系。
图2 WannaCry蠕虫病毒爆发期间绿盟安全应急响应服务情况
大多数企业机构没能及时采取有效措施消除风险
通过对CVE-2017-0145漏洞扫描插件的升级包及EternalBlue攻击工具的检测规则升级包的单日下载量进行统计和分析,我们可以对企业对蠕虫病毒相关的漏洞处置情况和对攻击工具的防护情况做出大致的判断。通过分析,我们发现近半数的企业客户都是在蠕虫爆发后开始下载扫描设备和防护设备规则升级包的,没有在病毒爆发前采取措施及时消除漏洞和威胁带来的风险。在4月14日~5月12日的一个月时间里,CVE-2017-0145漏洞扫描插件升级包共被下载15507次,而在5月12日蠕虫病毒爆发的一周时间内,插件升级包下载次数达到了13386次,与病毒爆发前的下载总量大体一致(见图3)。同样,针对EternalBlue攻击工具的检测规则升级包,在病毒爆发前一个月被下载10471次,而对EternalBlue和WannaCry病毒检测规则升级包在病毒爆发后的一周内被下载了10676次(见图4)。通过两组数据的统计和分析,有近一半企业用户是在病毒爆发后才开始检测病毒相关的漏洞与攻击。
图3 CVE-2017-0145漏洞检测插件升级包单日下载情况
图4 EternalBlue和WannaCry检测规则升级包单日下载情况
企业安全应急响应体系的反思
从此次对蠕虫病毒事件的应急响应过程和结果来看,企业单纯依赖安全应急响应体系已无法有效阻止安全损失的产生。
从应急响应过程来看,企业可能会在启动应急响应前遭受蠕虫病毒的攻击并被感染。以某受灾企业为例,通过调查感染主机加密文件的创建时间,我们推断出该企业感染蠕虫病毒的时间大约发生在2017年5月12日晚21时左右,而在这个时间点之前,没有厂商和主管机构能对WannaCry病毒进行预警和通告,提醒企业和机构启动应急响应机制。此次WannaCry蠕虫病毒传播方式多样化、传播速度快是导致大部分受灾企业和机构无法通过应急响应及时阻止蠕虫病毒感染的主要原因。通过病毒样本分析和应急响应工作,我们发现此次的WannaCry蠕虫病毒除了采用钓鱼邮件和网页在互联网上感染个人主机外,还通过在广域网和局域网进行随机扫描和攻击存在SMB漏洞的主机的方式来传播。通过自动化扫描和攻击进行跨广域网传播,是此次受灾企业被攻击和感染的主要原因之一。
从应急响应的结果来看,有相当多的企业业务受到病毒影响。202家单位中,有58家单位的服务器受到影响,其中17家被蠕虫病毒感染,41家被迫暂停业务,对服务器升级。
通过日常安全运维可降低安全风险
WannaCry爆发之前,大部分企业和单位可以通过个人终端补丁的自动分发、服务器漏洞扫描与修复、EternalBlue攻击监测与防护、网络隔离等日常的安全运维手段提前消除或大幅降低被蠕虫病毒感染的风险。
根据WannaCry蠕虫病毒传播的特性,我们将相关漏洞的公开和相关攻击代码的公开作为重要的里程碑,把此次蠕虫事件划分为三个阶段。
第一阶段:2017年3月14日至4月14日。WannaCry病毒传播时利用的漏洞被公开,但攻击工具没有公开。微软3月14日曾发布蠕虫病毒传播所利用的漏洞MS17-010(包括CVE-2017-0145漏洞)并提供了相关补丁,随后安全厂商提供漏洞扫描插件升级包,并提醒客户对扫描器升级并进行漏洞扫描。
第二阶段:2017年4月14日至5月12日。WannaCry传播时利用的攻击工具被公开,但病毒还没有开始传播。CNCERT主办的国家信息安全漏洞共享平台(CNVD) 4月16日发布了《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对黑客组织影子纪经人(The Shadow Brokers)披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报,并对有可能产生的大规模攻击进行了预警。随后,各安全厂商相继发布了针对EternalBlue攻击工具进行检测的规则升级包。然而,这并没有引起企业等的广泛关注。
第三阶段:2017年5月12日以后WannaCry蠕虫病毒爆发。5月13日,CNCERT发布了《关于防范Windows操作系统勒索软件WannaCry的情况通报》。
在第一阶段,企业和单位可以通过漏洞扫描和漏洞修复降低和消除蠕虫病毒大面积感染和爆发的风险。针对个人主机,企业可以采用补丁分发系统对个人终端进行升级,通过对个人终端打补丁的方式降低个人终端被WannaCry病毒感染的风险。针对服务器,企业可以先对扫描器的漏洞插件库进行升级,通过扫描器扫描内网服务器发现所有存在WannaCry蠕虫病毒传播时利用的漏洞(CVE-2017-0145),然后通过对服务器采取加固措施或配置变更方式关闭445端口的访问,确保蠕虫病毒不会感染服务器系统。
在第二阶段,企业可以对入侵监测与防护设备或下一代防火墙进行升级,使其能对WannaCry病毒传播中采用的攻击行为进行检测和拦截,大幅降低蠕虫传播的几率。
绿盟科技应用系统安全开发与运维体系
为了能更好地降低和消除业务上的安全风险,未来企业可以考虑从承载业务的应用系统着手,逐步完善安全运维与管理体系,提升应用系统的安全属性和安全风险对抗能力。图5展示的是绿盟科技实践过的应用系统安全开发与运维体系,供广大企业和机构参考。
图5 安全运维体系示意图
绿盟科技应用系统安全开发与运维体系分为两大部分,第一部分是系统开发阶段的安全管理,第二部分是运维阶段的安全运维管理。
安全开发包括:
● 需求阶段:对业务安全需求、主管机构和企业合规要求进行分析,完成应用系统开发的安全需求导入。
● 设计阶段:完成安全设计规范的定制并对安全设计进行评审,根据威胁模型识别业务面临的安全威胁。
● 编码阶段:制定安全开发规范,完成安全开发培训,对项目组开发人员完成安全工具使用说明和培训,协助开发人员做代码静态分析和测试。
● 测试阶段:对源代码进行安全审计,完成上线前检查,对系统存在的系统漏洞、Web漏洞、配置漏洞、业务逻辑漏洞进行全面测试,并在分析后进行修复与处置。
● 发布阶段:制定应急响应预案,针对可能发生的安全灾害事件设计处置预案。
安全运维包括:
● 周期性检查:对应用系统进行周期性测试,包括渗透测试、扫描、配置核查,发现因外部威胁变化和业务变更产生的新漏洞,并针对漏洞进行验证分析,最后采取处置修复与处置措施。
● 安全监控:在日常工作中,对IDS、WAF等各类安全设备的告警及应用系统的日志进行分析,发现高风险的安全事件并且发起应急响应工作。 ■
脚注:
1 MalwareTech是英国信息安全研究员马库斯·哈钦斯(Marcus Hutchins)的网名,他在病毒爆发后找到病毒中隐藏的“删除开关”,成功阻止了该病毒在全球的传播扩散,MalwareTech对WannaCry病毒的统计数据具有较高的权威性。
2以比特币与美元汇率(1BTC=2939.68$)及美元与人民币汇率(1$=6.797¥)计算。
所有评论仅代表网友意见