深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?
2017-05-14 14:33

深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?

题图来自美剧《Mr. Robot》。


5月12号,WanaCrypt0r2.0勒索软件攻击全球Windows漏洞 ,截止目前,已有七十多个国家的政府、高校、医院等机构被攻陷。此事仍在进一步发酵,而目前对于被感染的系统、文件似乎没有任何破解的方法,全球数十亿用户安全,竟被一位躲在暗处的人玩弄于鼓掌之中。


为此,Xtecher第一时间采访了华为高级安全专家娄伟峰、威客安全CEO陈新龙、360安全首席工程师郑文彬、青莲云CEO董方、长亭科技CEO陈宇森、杰思安全CEO刘春华、阿里云技术专家、网络安全专家刘博士、招股科技CTO程超等众多国内一线安全领域专家,以理清此事来龙去脉。


采访|小生生、dude、Cedain

作者|小生生、dude、又田

编辑|甲小姐

网址|www.xtecher.com

微信公众号ID|Xtecher


大恐慌!


5月12日,一个黑客坐在电脑前,轻轻按下了Enter键。这个看似无足轻重的动作,掀起了全球七十多个国家、数十亿用户对网络安全的恐慌。


当晚,WanaCrypt0r2.0(以下简称Wcry2.0)勒索软件在全球爆发。在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。


目前,该勒索病毒的攻击已经扩散到全球74个国家,包括美国、英国、中国、西班牙、俄罗斯等。此次被攻击的对象包括政府、医院、公安局以及各大高校等机构和个人。


黑客要求每个被攻击者支付赎金后方能解密恢复文件,而此次的赎金方式使用了当下最为火热的产品比特币,勒索金额最高达5个比特币,价值人民币5万多元。


国内最早的防病毒厂商kill公司技术总监、江民公司原技术总监、现华为高级安全专家娄伟峰告诉Xtecher:“从技术上讲,这不算是一次黑客攻击,而是一次大面积的以经济为目的勒索软件传播事件。此次大规模传播的Onion、WNCRY勒索软件是‘永恒之蓝’勒索软件的病毒变种,但恰这类并非新技术的病毒,反而能肆虐蔓延、短短时间内侵袭各大机构,经济损失截至目前已达数十亿。”


网络安全专家刘博士告诉Xtecher:“本质上病毒要想获得访问权限、突破访问控制,操作系统会通过防火墙等做访问限制,但如果系统有安全漏洞可以被利用,就有可能突破。Windows被感染的几个版本恰好有漏洞可被利用。”


360安全首席工程师郑文彬告诉Xtecher:“中国此次遭受攻击的主要是教育网用户。上个月360针对该端口漏洞发出预警,并推出了免疫工具,微软此前也已发布相关漏洞补丁。但许多教育网并未对此漏洞做出修复,以至于沦为重灾区。”


为何教育网、公安局、医院等机构沦为重灾区?


郑文彬认为,这类机构多使用内网、较少与外界接触,以至于在防范意识上存在疏漏。而另一方面,这些机构并不能保证完全隔绝互联网,一旦被病毒扫描,则同样会中毒——而只需一台电脑被扫描,便会像人类感染病毒一般传染到其它电脑。


青莲云CEO董方告诉Xtecher:“学校使用教育网,教育网是专网,其特点为,学校的某一个网站被攻击以后,会在专网中迅速传播,且教育网防护的等级不是很高,导致学校成为重灾区。”


此外,本次被病毒感染的多是Windows系统,而苹果、安卓侥幸免于灾难。


长亭科技CEO陈宇森告诉Xtecher:“这与系统优劣并无关系。此次攻击是利用Windows漏洞进行,对其主机/服务器运行在 445 端口的 SMB 服务进行攻击,所以中招的都是Windows系统。微软官方3月份陆续发布不同版本的系统补丁,就在13号下午,还专门针对XP和2003系统发布了特别补丁。”


不过华为云安全负责人娄伟峰认为,从经济利益的角度看,微软的用户远大于苹果的用户,因此成了被攻击的原因之一。


“这是微软十年来出现的较为重大的事件,4月15号微软已发出预警,但可能预警发方式太偏技术,以至大家没看懂被攻击的后果是什么。” 青莲云CEO董方告诉Xtecher。


那么,这样一次攻击范围波及全球,涉及金融、医疗、铁路、能源、教育系统等终端的病毒,究竟从何而来? 


病毒从何而来?


此次“永恒之蓝” 变异的勒索蠕虫,是NSA网络军火民用化的全球第一例。


早在4月14日,自称“影子经纪人”(Shadow Brokers)的黑客团体泄露出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,可以覆盖全球70% 的Windows 服务器,影响程度极其巨大,但国内诸多政府、高校等机构并没有引起足够的重视。


华为高级安全专家娄伟峰告诉Xtecher:“影子经纪人” (Shadow Brokers)攻破了NSA(美国国家安全局)网络,拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具,ShadowBrokers将其中一个黑客工具做成“永恒之蓝”,而这次的勒索软件正是“永恒之蓝”的变种。


而据360安全首席工程师郑文彬猜测,之前美国军方使用黑客技术攻击中东银行,而此前美国政府对叙利亚进行轰炸,导致了黑客的不满,继而盗出此技术,以示威胁。


黑客使用勒索软件由来已久,但大多数病毒软件勒索的赎金都是法币、电子汇款、预付卡等手段收取。但这次病毒勒索事件,黑客似乎蹭了比特币热点。


为何使用比特币作为赎金?


深圳招股科技联合创始人程超告诉Xtecher:比特币作为一种匿名转账的数字资产,其匿名特性成为黑客首要看重的特性。比特币地址是一串英文字符乱码,不绑定任何用户信息,所以单纯从比特币地址无法追踪到用户信息,这让黑客可以更简单地规避追捕和监管。


而网上不少观点认为后续黑客有可能放弃大额勒索,因为一旦大量比特币流入该黑客账户,有可能导致其行为轨迹被追踪。然而,360安全首席工程师郑文彬表示,基于比特币的勒索,很难查找踪迹,要想抓到黑客几乎不可能。


事件发生后,网络热议,认为比特币不可追踪性、隐蔽性,给了黑客团伙提供了一个便捷作案工具。


这件事是否要怪比特币?


程超认为,本次勒索事件,比特币背了一个黑锅——即便没有比特币,黑客也会使用其它币种。当然,比特币也确实存在缺乏监管的问题,如果比特币交易所加强身份信息审核,将会增加黑客变现难度。当然,一旦比特币使用实名制,黑客也会寻找其他虚拟货币作为赎金。


威客安全CEO陈新龙告诉Xtecher:虽然可以查到比特币流通的钱包信息,但是钱包信息是匿名的,因此无法追踪这个钱包属于谁。理论上来讲,可以通过技术手段找到钱包背后的人,但极为困难,目前仅是理论阶段。


当然,比特币,作为一个新事物,不应该游离于法外之地,应辅以适当监管,保证行业稳定有序发展。2017年6月,中国将会出台比特币监管相关法律,或将在一定程度上让比特币免背黑锅。


无论将来比特币如何接受监管,就目前而言,眼下人们似乎更为关心自己被病毒加密的文件该如何处理。


亡羊补牢:预防为主


NSA作为美国政府机构中最大的情报部门,在美国大片中,该部门似乎无所不能,但目前似乎尚未拿出对策,更遑论我等普通大众。


网络安全专家刘博士告诉Xtecher:普通小白用户除了按照推荐设置开启系统防火墙、打开系统更新、安装杀毒软件、不访问可疑网络内容、小心使用可插拔存储之外,似乎没什么可做的。


威客安全CEO陈新龙认为,高手在民间,不会只能束手就擒,大众要做的是保护好自己的个人财产安全,资金分类,分形态存放。


那么,对于被勒索软件加密的文件该如何处理?


杰思安全创始人刘春华表示,一旦文档被加密,如果黑客不提供解密的密码,则无法解密文档。


所以,那些高校在写论文的孩子们,请老老实实重新写一遍!当然也可选择给对方发去赎金,不过黑客很有可能会撕票。


当然,一个重要的破解信息或许已经出现。


目前,网络上爆出已有专家查找出一个异常域名,网络安全专家注册该域名后,如果病毒能成功访问这个域名,就会停止攻击。


这个异常域名是:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com


对此,娄伟峰表示:由于不知道消息出处,消息并不靠谱,具体以病毒产商样本分析为主。


威客CEO陈新龙表示,域名确实是一个重要的破解信息,如果无法与域名通讯,还是会被感染。且后续病毒可能有新的变种,攻击甚至更猛烈,只是互联网上的传播被遏制,如果域名被劫持,还会继续破坏。


360安全首席工程师郑文彬表示,这件事情,敲响了大众“做好备份”的警钟。


不过,即便有备份,也不一定百分百安全,尤其是对高校、政府等机构。


陈新龙告诉Xtecher:对于此次攻击,即便政府有备份,但多数是离线备份,实时的业务数据一旦故障就无法更新,公共信息的服务基本都是动态的,所以大家误以为不能使用。此外,触发备份任务时,会涉及网络链接,许多备份策略基于445端口,因此源文件及备份文件会一并感染。


当然,如果早期就打好补丁,做好预防,这次就可以幸免于难。


互联网安全攻防,就像人类对于病菌的攻防,华为高级安全专家娄伟峰给出了一些建议:


对于Onion、WNCRY这类混合型病毒的威胁,可通过访问控制手段,如防火墙,限制135、445等高位端口对内访问。通过邮件安全网管、WEB防火墙,严格过滤从互联网到内网的一切传播手段和邮件附件,彻底切断传播途径;


通过沙箱工具进行启发式深度检测,比如使用华为的Firehunter来对未知威胁乃至APT进行深度检测,监控传染源,及时切断病毒传播,再在核心交换,接入交换机上屏蔽掉一切高危端口;


最后,要有统一的终端安全工具,在终端上再次屏蔽高危的端口访问,并通过统一的补丁管理,及时打上最新的针对于MS17-010的补丁,通过纵深防御、层级联动的方式实现企业级安全的立体防护。


静观其变


1983年,凯文米特尼克因被发现使用一台大学内部电脑,擅自进入Internet的前身ARPA网,并通过该网入侵美国五角大楼电脑,而被判管教6个月。这一事件成为黑客攻击的开山之作。


更可怕的是,黑客攻击手段曾出不穷:80年代的主流攻击方式是密码猜测、破解等;90年代是会话劫持、后门入侵等;2010年左右主要是远程控制、DDoS攻击、SQL注入等;2010年后主要是APT攻击、移动终端、云攻击等。


杰思安全创始人刘春华表示:全世界黑客这两年的收益,是过去的5到10倍。黑客行为的逐利性带来黑产的异常活跃,各种黑客势力分工明确,形成完整合作链条,攻击目标和手段更加精准。


在这种表面上的平静之中,以窃密、预制为目的的APT攻击,则由于其是高度隐秘的、难以为IT管理者感知到的攻击,始终未能得到足够的重视。


没有引起足够的重视,或许也是导致本次全球大范围网络遭受攻击的原因。


而对于此事后续发展状态如何,360安全首席工程师郑文彬认为“还很难预测”,只能等待黑客的下一步动作。


互联网正从PC时代走向移动时代,手机也将同样面临巨大的安全考验。刘春华表示,未来移动智能终端安全将涉及各个方面,安全问题遵循“木桶效应”,解决一部分问题,不代表移动终端安全问题就得到了解决。


移动安全是一个生态圈,需大家共同努力,只有企业、应用市场、终端厂商、个人用户各方一起携手提高安全意识,才能最终建立并不断优化移动智能终端的安全生态链。


此外,业务应用云端化,带来了新一轮生产效率的提高,云的出现,是一次IT业务模式的重大变革,也让为其提供支撑保障的安全体系,面临着新的挑战。除了云服务商提供一定的安全保障外,使用云端的客户更要有防范意识,而非将安全交于他人之手。


道高一尺魔高一丈,网络没有绝对安全。威客安全CEO陈新龙认为,日后通过加密进行勒索的方式会层出不穷,取消隐蔽支付与变现,是遏制这类事件发生的关键,安全防御能力的自动化防御将是趋势。


人工反应速度无法赶上机器传播速度,这次事件各个国家将高度重视,带来的世界级的影响也将给各类人群敲响警钟,网络安全战略将走向一个新高度。


尾注:本文特别感谢所有嘉宾在周末夜晚第一时间响应了Xtecher的访问!

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定