5月12日晚,全球爆發大規模“勒索”病毒(WannaCry)感染事件,只有繳納高額贖金(有的要比特幣)才能解密被病毒鎖定的資料和數據。英國多家醫院中招,病人資料受到外泄威脅,同時俄羅斯、意大利等多個歐洲國家,我國大量企業內網也大規模受到感染,有的甚至癱瘓。
那么這個“勒索”病毒怎么來的,為什么這么厲害?被加密的數據還能夠解開嗎?“勒索”的比特幣從哪來、怎么支付?教育網聲明其不是重災區,這次的安全應急響應是否過度?5月16日下午,中國計算機學會青年科技論壇(CCF YOCSEF)聯合CCF計算機安全專業委員會共同舉行一次“勒索病毒:憑什么能綁架我們的系統?”特別技術論壇,邀請國內信息安全領域內的知名專家、學者進行相關探討。
勒索到的235個比特幣還未被領取
“這是第一例蠕蟲型‘勒索’病毒軟件。”左磊是北京神州綠盟信息安全公司安全研究部總監,他先給這次爆發的“勒索”軟件進行了定義,“蠕蟲病毒主要是利用網絡進行復制和傳播,傳染途徑一般是通過電子郵件引導用戶點擊,但這次勒索軟件又多了一步,利用漏洞快速傳播,加密文件以進行勒索”。
左磊介紹,今年2月就有人在網上宣稱發現了這一惡意軟件,3月也有人宣布發現。當時還是1.0版本,不具備蠕蟲的性質。微軟曾經在3月發布過針對漏洞的6個補丁,但一個月之后這一病毒軟件2.0版本出現。左磊從技術角度分析了微軟操作系統的漏洞是如何被“勒索”軟件攻擊的。這一軟件攻擊范圍很廣,許多系統可以傳播。
左磊也看到報道,英國一個年輕的IT專家通過分析“想哭”軟件發現,它預設如果訪問某個域名就自我刪除,而這個域名尚未注冊,他通過注冊這個域名并進行相關操作,成功阻止了“想哭”軟件蔓延。
“這個軟件5月14日出現變種,目前已經發現兩個變種,第一個變種改動簡單已經失效。”左磊說,“勒索”軟件影響范圍很大,他們監測到,截至5月16日13時有237筆被勒索的支付,包括235個比特幣,約5.9萬美元,折合41萬元人民幣,但目前沒有人領取。
北京理工大學計算機學院教授祝烈煌則給大家展示了被勒索的比特幣是如何形成的,以及它與傳統貨幣的區別、資金流向。他提出,要根據已經查明的3個資金流向地址,在網絡世界中建立相應的反制措施。
這是大規模“網絡軍火”擴散失控事件
安天科技公司副總裁王小豐則把這款新型蠕蟲式“勒索”軟件稱為“魔窟”:“安全從業人員這幾天一直都很緊張,進行分析、應對,我們認為這是一起全球大規模‘網絡軍火’擴散失控事件。”
他說,一個月前,安天就曾發布有關提示:“網絡軍火”擴散會在全球降低攻擊者成本,會帶來“蠕蟲”回潮。此預警不幸言中。好在,此次國內的網絡安全企業反應相對迅速。安天在5月12日晚就拿出了分析報告,并發出相關應對預案。并在隨后針對“勒索”軟件的防范發布指南,發布了免疫工具。
“‘網絡軍火’攻擊性強、穿透性強,會造成大規模災難;我們的基礎防御水平還很低;要舉一反三,現在不是網絡更安全了,而是隱蔽性增加了,難以被發現了。”針對此次攻擊事件,王小豐有許多思考,他認為今后我們會面臨更多“網絡軍火”攻擊和失控的危險,“此次暴露出隔離網內漏洞比較多。過于依賴網絡邊界防護和物理隔離的安全體系,反而內部網絡安全可能疏漏較多,系統安全治理工作也任重道遠。”
中標軟件副總經理李震寧在論壇上也代表國產操作系統廠商發表了看法:“雖然這次攻擊只是針對windows系統而不會影響到Linux,但這個漏洞是被美國國家安全局掌控,被黑客泄露后發動攻擊。還有更多沒有被公開的漏洞,這才是這個事件中透射的最可怕問題。我們大量的設備是基于這樣的系統構建,系統還有多少漏洞后門不得而知。我國提出要在實施信息領域核心技術設備攻堅戰略、在操作系統等研發和應用取得重大突破,就是希望能夠構建真正安全、可控的信息技術體系。”
此次事件應急處理成功有運氣成分
360副總裁、首席安全官譚曉生出示了一張數據監測圖,顯示5月12日的下午3點開始出現大量感染,晚上進入了高發期,有很多機構中招,包括某石油系統和政府某機構網站。“到了5月13日12點以后,無論是政府企業還是機構個人都開始進行相關處置,病毒感染開始得到控制。從5月14日早上7點到現在,一直平穩,沒有出現大規模的感染。”
由于15日是病毒出現后的第一個工作日,上午11點到12點一個小時中,是過去這些時間段里的最高峰,共有5389次攻擊,一共105個用戶中招。而在16日下午一個小時內則只有幾十個。
“現在用戶中病毒會繼續傳播但不會加密文件,損害基本不存在了。”譚曉生說,這是因為那個英國小伙子注冊了域名,把它的危害控制住了。
360的實時監測數據也證明了“教育網不是此次事件的重災區”。截至5月16日零點,360安全衛士監測到的數據顯示,教育網只占國內全部受感染的0.63%。此前的報道,很大程度是由于媒體的數據誤讀和錯誤解讀。
“我們接近6萬臺設備,到目前為止沒有接到一個學生電腦中毒的報告,也沒有接到一個教師受到這次‘勒索’軟件影響的報告。全校只是有幾臺在教室中播放PPT的設備受到感染。”在論壇上,從事信息安全研究的北京大學教授陳鐘提供了北京大學目前的數據,以此證明“教育網在此次‘勒索’軟件傳播中背了黑鍋”。
譚曉生認為這次“勒索”軟件的傳播得到及時控制,有運氣成分在其中。“首先是安全產品廠家反映迅速,因為是在‘一帶一路’峰會期間,各個部門溝通及時,政府連下3個通告,運營商對端口進行封閉,很多企事業單位、機構迅速關閉了445端口,也阻礙了傳播。微軟也特例給XP和2003系統出了補丁,雖然晚了一點點,但是還是解決了不少的問題。”
“雖然說應急比較成功,但還是有不少需要改進的地方。”譚曉生進行了逐一分析,第一,谷歌3月首先報出那個操作系統的漏洞,如果當時研判這是蠕蟲的傳播,應該有應急預案,但是沒做;第二,有些大企業,特別是有的央企,信息技術能力并不差,有很強大的安全團隊,但是為什么也中招?因為他們對安全理解有偏頗。“從這次看,網絡終端并非等同于徹底殺毒,終端也可以成為發起攻擊的源頭,病毒可以進到隔離的網絡里去,如果內網安全防范沒有做好,照樣會被病毒攻擊。”