WannaCry勒索病毒事件的“來龍去脈”

WannaCry勒索病毒事件的“來龍去脈”

Jackzhai

一、背景：

   2017年5月12日是個平靜的日子，大家都高高興興地收拾回家度周末了。然而，從下午開始，網絡安全公司就不斷接到用戶求救電話，越來越多的用戶遭受計算機病毒襲擊，電腦被加密鎖閉……周末的深夜，公司的燈被陸續點亮，售后工程師被召回，研發經理被召回，測試人員被召回，售前工程師被召回，銷售也被召回…一場大規模、全球性的計算機病毒事件就這樣悄然來到了。銀行的ATM提款機“罷工”了，加油站的電腦“停業”了，學校即將答辯學生的論文被加密了，機場預告飛機到達的屏幕“紅屏”了，出入境大廳的計算機“休息”了，車管所服務大廳貼出了故障的告示……

就是這個屏幕！讓很多人心驚肉跳，見到它，就意味著你的數據很難再找回來了，一切從你新買機器之時從新開始……

事情的經過是這樣的：NSA（NationalSecurity Agency），美國國家安全局，隸屬于美國國防部，是美國政府機構中最大的情報部門，專門負責收集和分析外國及本國通訊資料。NSA的高手們開發了很多的網絡武器，在2013年6月左右，其中的一些武器被一個自稱“影子經紀人”(Shadow Breakers)的***組織竊取。這個組織的人想利用這些“軍火”換些錢花，就開始在黑市上叫賣，希望能給個好價錢，但令人“氣憤”的是沒人愿意出大價錢(要價100萬比特幣)。軍火變不成錢就成了“廢品”，這讓不善做生意的***們很生氣，就干脆在互聯網上公布其中的一些武器，免費送大家，也算是做個廣告吧，既誘惑大家，又顯示這些武器的強大威力，當然目的還是找買家。在公布的武器中一個叫做“永恒之藍”(Eternal Blue)，是針對微軟操作系統的，武器利用的漏洞有個“0DAY”，是SMB的漏洞，微軟命名為MS17-010。今年3月，微軟公司專門放出針對這一漏洞的補丁，4月16日，中國的CNCERT發布《關于加強防范Windows操作系統和相關軟件漏洞***風險的情況公告》，對影子紀經人“Shadow Brokers”披露的多款涉及Windows操作系統SMB服務的漏洞***工具情況進行了通報，并對有可能產生的大規模***進行了預警，但大家都沒有引起足夠的重視，不過就是個小病毒嗎，殺掉就行了，大不了使用專殺工具。

然而這次的事情有些不同……我再回頭說說勒索軟件病毒的歷史…

1989年，由Joseph Popp制作的AIDS***病毒，通過軟盤傳播，加密磁盤上的文件，要求受害人繳納189美元才能解除鎖定，因此叫做勒索軟件病毒。2008年，病毒出現新變種升級，使用了1024位的RSA加密，讓被害人無法自己破解加密，不給錢就沒有出路，美國政府也在使用這種強度的加密算法，你想想能容易破解嗎？2013年，為了能夠拿到錢還不被警察發現，加密勒索病毒操作者們開始利用流行的“比特幣交易平臺”勒索提款，就是通過比特幣交易洗錢，成效顯著，僅僅在年底12月15日到18日間，就利用比特幣從受害者身上吸取2700萬美元。

不幸的事情終于發生了。2017年2月，勒索病毒的開發者，看上了NSA泄漏出來的軍火武器“永恒之藍”，將“永恒之藍”改變成一個蠕蟲病毒“WannaCry”，再把加密勒索代碼放進這個蠕蟲。利用“永恒之藍”的***能力迅速感染大量電腦，再啟動勒索部分，加密用戶數據，在家中等待受害者送錢上門。WannaCry勒索蠕蟲病毒就這樣誕生了，與以往不同的是，“永恒之藍”給予它強大的***傳播能力，網絡武器可是非常專業的，它的厲害瞬間讓全世界的網民們領教了。

經過就是這樣，永恒之藍，一個多么美的網絡武器名稱，現在變成臭名昭著的勒索病毒WannaCry的代名詞。

從前，大多數病毒需要誘導用戶主動點擊附有病毒***代碼的附件，或者是相關***鏈接才能中招，WannaCry病毒的可怕之處是，無需用戶做任何操作，只要你開放445 文件共享端口的Windows 設備處于開機上網狀態，它就可以在同一個網絡的計算機之間傳播并且進行復制，形成鏈條式的傳播擴散，***就能在電腦和服務器中植入勒索軟件、遠程控制***、虛擬貨幣挖礦機等惡意程序。

更為麻煩的是，以往的病毒，多數是阻塞網絡，藍屏死機，無非就是給添亂而已；這次是加密文件，拿錢來換。不給錢，安全廠家們好像無解；給錢，對方是誰在哪里都不知道，錢給出去了，就一定能解嗎？雖然病毒操作者們說得信誓旦旦，卻基本上是聽天由命，據說這次勒索病毒加密采用了2048位的RSA算法(我沒有確認)。中毒后的成本太高，讓一臉茫然的用戶們是徹底坐不住了。

總算最后的結果還是不錯的，雖然這次病毒蔓延范圍很廣，感染機器眾多，但是，主要感染的還是一些不升級補丁，安全管理較差的計算機。另外，病毒爆發后，安全公司及時推出各種補丁與防護措施，督促未中招的用戶及時升級，從周一開始進行了大規模的網絡安全事件應急處理，病毒繼續蔓延的趨勢到今天基本制止住了。

據說，這次勒索病毒者也沒有獲得多大的金錢收益。

二、病毒背后的事情才是更可怕的

再怎么說，WannaCry也只是一個蠕蟲病毒，事件的風波很快就會過去，用戶也很快會忘記，但是，這件事情的背后很多事情值得我們關注，并且“影子經紀人”的***們并沒有拿到錢，WannaCry病毒的操作者也收獲不多，后續還會發生什么，總感覺事情還遠沒有結束。

下面是我的幾個疑問，也希望挖掘一下這次病毒事件背后可怕的事情：

1、***組織手里還有多少個這樣可怕的網絡武器?

WannaCry蠕蟲事件中，“影子經紀人”做了一個“活雷鋒”，自己沒有什么好處，估計他們很不爽。據說NSA旗下的“方程式***組織”使用的網絡武器有十款工具最容易影響Windows個人用戶，包括永恒之藍、永恒王者、永恒浪漫、永恒協作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學者、日食之翼和尊重審查。這其中的網絡武器，包括可以遠程攻破全球約70%Windows機器的漏洞利用工具。

“影子經紀人”***組織剛剛發布了聲明，說從2017年6月開始，要繼續公布更多的0Day漏洞-網絡武器，感覺這就是開啟了一個“火藥庫”，接下來還會引爆什么，我不敢想。

  2、漏洞交易黑市為啥越來越火？

“有需求就有商人牟利”。漏洞交易的黑市場一直很活躍，這次“永恒之藍”讓它站在了公眾的面前，有何感想？

“永恒之藍”利用了Windows系統的高級漏洞，作為NSA的網絡武器，顯然這個漏洞被發現的年頭不會很短。但是，直到武器被泄露發布，漏洞才公布于世，2017年微軟才提供補丁。也就是說：可能微軟在2017年前不知道這個漏洞，或者說是知道認為還無法利用(沒有發現有利用代碼)，總之那些擁有“永恒之藍”的人，***Windows系統是簡單容易的事情。

這讓我想起，目前互聯網上那么多的網絡安全愛好者都在挖漏洞，有黑帽子為了利益挖掘漏洞，有白帽子為了榮譽挖掘漏洞，還有國家網絡部隊為了工作而挖掘漏洞……這么多的漏洞，都去哪里了？有多少被公布？廠家修正發補丁的能占幾成呢？更多的漏洞在“黑市”上交易(據傳聞，一個高級Windows漏洞價值一輛跑車)，無論交易給誰，對廣大的用戶都未必是好消息。

用戶想問的就是：很多漏洞在公布之前，經過了多少次交易，有多少組織都已經掌握，他們已經使用了多久呢？這是一個很多人都有答案，卻沒有人敢回答的問題。我們還記得，前些年的“心臟滴血”漏洞好像也有這樣的傳聞。

3、比特幣平臺是勒索的幫兇嗎？

勒索病毒選擇用比特幣付費，就是看中比特幣交易平臺的隱匿性，即付費人與收費人沒交互，你無法跟蹤收費人在哪里，是誰。比特幣是虛擬錢幣，發明出來之后成為跨國投資的一種工具，因為其跨國性、隱匿性，也成為洗錢的一種最佳工具。記得美國有Tor系統，是間諜們情報交易、軍火交易的平臺，其最大特點就是無法追蹤收錢方是誰。

WannaCry蠕蟲的操縱者，明顯是非法勒索，公開收錢很容易暴露自己，選擇比特幣交易，就變相保護了自己，客觀上可以說：比特幣交易平臺成為WannaCry蠕蟲病毒操縱者勒索的幫兇。

比特幣平臺有義務支持各個國家被WannaCry蠕蟲病毒勒索受害者的維權行為，有義務支持各個國家對勒索者進行合法的檢查與追蹤。

4、我們的安全防護將被引向哪里？

安全沒有絕對的，看你遇到的是什么級別的對手。普通用戶、一般的企業，要應對國家背景的網絡***，能擋住***的概率不會很高。尤其是要應對這些0Day漏洞，高級網絡武器，這在網絡安全界有個名詞---高級威脅。這里沒有說是APT***，因為多數人認為APT***是針對政府、國家目標***的，而現在，***者使用的武器是一樣的，都是×××級別的，但對付的是普通的網民。

“要經得住打擊，就要先強大自己”。靠筑墻是不長久的，互聯網是世界性的，無論它是否有國界，國界在哪里，網絡都將連通世界每一個角落，這是大勢所趨。

WannaCry蠕蟲事件再次提醒我們，以“網絡邊界隔離+訪問控制策略”為基礎的邊界保障思路已經過時，以“動態監控+態勢感知、身份授權+行為審計”為核心的安全機制管理保障時代正在來臨。也就是說：網絡安全防御中心從邊界檢查轉向內部監控。