勒索病毒“wannaCry”在全球范围内扩散。
■本报记者 贡晓丽
近日,全球多个国家遭受勒索病毒软件“WannaCry”大范围袭击。这种病毒软件主要针对微软“视窗”操作系统的一个漏洞发起攻击,电脑被感染后文件会被加密锁定,用户会被勒索价值300或600美金的比特币。
媒体上对该勒索病毒有多个名称:“WannaCry”、“想哭”、“魔窟” ,影响Windows2000之后的所有Windows操作系统,而该病毒在我国的爆发正值“一带一路”国际合作高峰论坛开幕之际,负责网络安全保障的工程师们的压力和紧张可以想见。
幸运的是,在病毒大面积传播之前,一位英国网络安全人员通过分析,意外发现了病毒作者留下的病毒中止传播条件。他随手注册的域名,打开了病毒的“自毁开关”,阻止了整场网络风暴的继续传播,勒索病毒继续蔓延的势头被扼制。
5月16日,明升中国计算机学会青年计算机科技论坛(CCF YOCSEF)联合CCF计算机安全专业委员会共同举行了“勒索病毒:凭什么能绑架我们的系统?”特别论坛,邀请国内信息安全领域知名专家、学者一共揭开勒索软件的真面目,探讨其对网络安全应急处理体系的启示。
自动传播的勒索软件
在之前结束的2017信息安全大会(RSA2017)上,勒索软件的防御依然是一个热门话题。尽管勒索软件有愈演愈烈的趋势,危害也越来越大,但是无论个人用户还是企业用户,很多人并不是完全了解勒索软件,重视程度也不够,甚至还没有找到正确的防御方式。
“勒索软件是一种典型的恶意代码,当电脑被感染了这种恶意代码之后,电脑中的某些文件被加密处理,比如Office文档、图片、视频文件等,造成使用者无法访问这些文件。”北京神州绿盟信息安全科技股份有限公司安全研究部总监左磊首先介绍了勒索软件的定义。
勒索软件是恶意代码的一种类型,恶意代码通常是在系统后台偷偷地运行,比如窃取数据或者进行远程控制,使用者很难发觉,也没有发生明显的后果,很多时候都不去理睬。然而,发展了的勒索软件,直接造成了文件被加密,无法访问和使用,受害者遇到了这种情况,必须想办法解决。
“加密勒索软件的传播有多种方式,最常见的是通过钓鱼邮件包含恶意代码,或者利用网站的钓鱼链接,当用户点击了邮件或者链接后,恶意代码利用电脑系统本身存在的漏洞,侵入系统,并在后台开始运行。”左磊在分析传统加密勒索软件的特点时说。
传统勒索软件在对文件进行查找和加密过程中,用户往往没有感觉,只有当文件无法访问后才发现,很多文件已经被加密,无法访问了。WannaCry的不同之处在于,除了加密文件之外,它还利用一个漏洞自动传播。“这样的话就使这个勒索软件的影响范围急剧扩大。”左磊说。
这个漏洞被称为“永恒之蓝”(EternalBlue),影响微软Windows XP和Win7等多种操作系统。“这个漏洞已在Microsoft安全公告MS17-010中被修复”。左磊说。
WannaCry具备了一款超级病毒应有的特点:神秘、快速以及严重的破坏。终止这场病毒绑架是网络安全专家们的共同目标。
随着WannaCry变种的出现,安全专家们普遍建议用户应该及时安装系统补丁,打开主机防火墙,关闭不使用的服务和端口,及时升级病毒库。
勒索软件趋于复杂
随着时间推移,各种各样的加密勒索软件不断出现,如最新的WannaCry及其变种。伴随着勒索软件防御技术的发展,攻击者从加密技术到勒索金钱的支付方式,也在不断开发更加复杂的勒索软件。
加密勒索软件使用的加密方式,从最初的对称加密方式,发展到非对称加密,现在更多地采取了混合加密的方式,并且加密强度也越来越高。例如,2013年出现的Cryptolocker、2016年出现的Locky都采用了混合加密的方式,密钥长度达到了2048位。从加密原理来讲,除非拿到密钥,否则无法实现解密。
为了逃避追踪,攻击者从2008年开始采用数字货币的方式来索取赎金,比如比特币,这样做的目的,就是利用比特币难以追溯的特性,逃避执法部门的追踪,而且比特币方便支付,便于受害者快速支付赎金。"截至5月16日中午,WannaCry已经有三个比特币的账号,大概5.9万美金。但是,目前这些转账还没有人领取。"左磊说。
“WannaCry的攻击利用的漏洞编号是CVE-2017-0145。”左磊介绍说。攻击者与TCP协议的445端口建立请求连接,获得指定局域网内的各种共享信息,并对文件施行加密等破坏性攻击。
内外网隔离,是不是会更安全呢?在这次WannaCry勒索病毒事件中还是有公安网、政务网中招,所以答案是不会。
实际上,就算是安全要求最严格的物理隔离,内外网之间的通信在实际操作中也不可避免,只不过是通过指定端口,最常见的是通过USB来完成通信过程。而WannaCry勒索病毒无孔不入,任何漏洞和端口都会成为入侵入口。
据安天副总裁王小丰介绍,该公司的智甲终端防御系统在两年前已经具备针对勒索行为的分析和拦截模块,即使勒索者病毒绕过了主动防御,其加密文件的行为也会被阻断,使其无法达到勒索的目的。
网络威胁更隐蔽
王小丰以谨慎的态度分析了事件平息的偶然与警醒之处。“还好病毒大爆发在上周五晚8点的时间,大量的内网用户处于关机状态,给同行和我们自己有相对充分的时间应急处理,有两天时间来形成包括周一开机指南、免疫专杀工具等解决方案”。他提出,相比影响力巨大的安全事件,还有更多潜在的威胁更值得关注,“我们目前认为这是一起网络军火泄密后的非受控使用事件,超级大国的网络军火的攻击性、冲击性非常强。一旦网络军火流落到第三方,并且被大规模使用,肯定会造成大面积的安全事件”。
“我国整体信息安全水平的基础防御能力相对较低,虽然在威胁检测引擎、大数据安全分析等方面取得了一些单点突破,但信息安全防御体系性依然有待完善。我国长期网络安全投入不足的客观情况,叠加上武器级水准的网络攻击,就会产生灾难性的后果。”王小丰坦陈。
目前看来,在此前一系列大规模网络攻击,如红色代码、口令蠕虫、震荡波、冲击波和尼姆达病毒之后,如此大规模的病毒传播事件看起来好像已经很少发生,是因为网络环境更安全了吗?王小丰认为不是,“而是因为APT(高级持续性威胁)等网络威胁的隐蔽性强、可感知度低,通常采用高级漏洞利用工具的攻击,往往是一些深度的信息窃取,是穿透性强、但感知度低的方式。而勒索软件则一直是一种高感知度的威胁;这次事件恰恰是把基于高级漏洞攻击的穿透性和勒索的高感知度结合在一起,结果产生了较大的社会产生较大影响,也验证了我们防御体系的不足。但如果我们只是关注威胁的公开影响,而不去关注那些更隐蔽、更致命的威胁,就会面临更大的关键信息资产、关键基础设施和国家安全风险”。
另一个值得思考的结论是,“这次攻击者只是借助了超级大国失窃的网络军火中的漏洞利用工具,就像窃取到了先进导弹的导引和运载部分,装上了自己‘战斗部’,但对超级大国来说,其更大的网络攻击能力在于其庞大的工程体系和规模建制。而对其整个体系的威胁能力,我们还认知不足”。
习近平总书记在2月27日的国家安全工作座谈会上强调,要“实现全天候全方位感知和有效防护”。王小丰认为,当前业界很重视态势感知,但也存在表面化的倾向,难以达成“全天候、全方位”的深度、广度和持续性,在防御的有效性方面,功力不够扎实。从大规模机构信息系统建设规划来看,要做到架构安全、被动防御、积极防御和威胁情报各个层次协调并举,同时要解决轻响应、缺恢复手段的局面。
“我们过去过于依赖网络边界的隔离和边界防护,但内部节点的配置加固、补丁升级和安全软件的及时更新反而不能有效落实,安全规划的防御纵深和产品间协同联动没有有效达成。导致内部网络打入一点,就会全网沦陷,内部网络安全疏漏比较多,安全治理工作任重道远。”王小丰说。
《明升中国app报》 (2017-05-18 第5版 技术经济周刊)