信息來源：FreeBuf

摘    要

2017年1-11月，360互聯(lián)網(wǎng)安全中心共截獲電腦端新增勒索軟件變種183種，新增控制域名238個(gè)。全國至少有472.5多萬臺(tái)用戶電腦遭到了勒索軟件攻擊，平均每天約有1.4萬臺(tái)國內(nèi)電腦遭到勒索軟件攻擊。

在向360互聯(lián)網(wǎng)安全中心求助的勒索軟件受害者中，Cerber、Crysis、WannaCry這三大勒索軟件家族的受害者最多，共占到總量的58.4%。其中，Cerber占比為21.0%，Crysis 占比為19.9%，WannaCry占比為17.5%。

2017年，勒索軟件的傳播方式主要有以下五種：服務(wù)器入侵傳播、利用漏洞自動(dòng)傳播、郵件附件傳播、通過軟件供應(yīng)鏈進(jìn)行傳播和利用掛馬網(wǎng)頁傳播。

遭遇勒索軟件攻擊的國內(nèi)電腦用戶遍布全國所有省份。其中，廣東占比最高，為14.9%，其次是浙江8.2%，江蘇7.7%。排名前十省份占國內(nèi)所有被攻擊總量的64.1%。

抽樣調(diào)研顯示，在遭到勒索軟件攻擊的政企機(jī)構(gòu)中，能源行業(yè)是遭受勒索軟件攻擊最多的行業(yè)，占比為42.1%，其次是醫(yī)療行業(yè)為22.8%，金融行業(yè)為17.8%。

2017年，勒索軟件的攻擊主要呈現(xiàn)以下特點(diǎn)：無C2服務(wù)器加密技術(shù)流行、攻擊目標(biāo)轉(zhuǎn)向政企機(jī)構(gòu)、攻擊目的開始多樣化、勒索軟件平臺(tái)化運(yùn)營、境外攻擊者多于境內(nèi)攻擊者。

2017年，約15%的勒索軟件攻擊是針對(duì)中小企業(yè)服務(wù)器發(fā)起的定向攻擊，尤以Crysis、xtbl、wallet、arena、Cobra等家族為代表。

2017年1月至11月，360反勒索服務(wù)共接到了2325位遭遇勒索軟件攻擊的受害者求助。調(diào)研數(shù)據(jù)顯示，男性是最容易受到勒索軟件攻擊的對(duì)象，占比高達(dá)90.5%，而女性占比僅為9.5%。

在向360互聯(lián)網(wǎng)安全中心求助的所有勒索軟件受害者中，IT/互聯(lián)網(wǎng)行業(yè)的受害者最多，占比為27.0%；其次是制造業(yè)，占比為18.6%；教育行業(yè)占比為14.8%。

從求助的受害者工作職位來看，普通職員超過受害者總數(shù)的一半以上，占51.8%，其次是經(jīng)理、高級(jí)經(jīng)理，占33.0%，企業(yè)中、中高管理層，占13.4%，CEO、董事長、總裁等占比為1.8%。

從求助的受害者文件感染類型可以看出，87.6%是受害者電腦上的辦公文檔被感染，其次，77.4%的圖片文件被感染，54.0%的視頻文件被感染，48.7%的音頻文件被感染，8.2%的數(shù)據(jù)庫文件被感染。

在求助的受害者中，已有5.8%的受害者為了恢復(fù)文件而支付贖金，另外94.2%的受害者選擇了拒絕為恢復(fù)文件而支付贖金。

2017年5月，影響全球的勒索軟件永恒之藍(lán)勒索蠕蟲（WannaCry）大規(guī)模爆發(fā)。它利用了據(jù)稱是竊取自美國國家安全局的黑客工具EternalBlue（永恒之藍(lán)）實(shí)現(xiàn)了全球范圍內(nèi)的快速傳播，在短時(shí)間內(nèi)造成了巨大損失。

不同行業(yè)遭受永恒之藍(lán)勒索蠕蟲攻擊的情況也有所不同，工程建設(shè)行業(yè)是遭受攻擊最多的行業(yè)，占比為20.5%，其次制造業(yè)為17.3%，能源行業(yè)為15.3%。

本次報(bào)告還總結(jié)了勒索軟件攻擊與應(yīng)急響應(yīng)的十大典型案例，其中五個(gè)為永恒之藍(lán)攻擊與響應(yīng)典型案例，另五個(gè)為服務(wù)器入侵攻擊與響應(yīng)典型案例。

2018年勒索軟件攻擊趨勢(shì)預(yù)測(cè)：從整體態(tài)勢(shì)來看，勒索軟件的質(zhì)量和數(shù)量將不斷攀升，并且會(huì)越來越多的使用免殺技術(shù)；從攻擊特點(diǎn)來看，勒索軟件的自我傳播能力將越來越強(qiáng)，靜默期也會(huì)不斷延長；從攻擊目標(biāo)來看，勒索軟件攻擊的操作系統(tǒng)類型將越來越多，同時(shí)定向攻擊能力也將更加突出；此外，勒索軟件造成的經(jīng)濟(jì)損失會(huì)越來越大，受害者支付贖金的數(shù)量也會(huì)越來越多，但由于各種原因，通過支付贖金恢復(fù)文件的成功率將大幅下降。

在反勒索軟件方面，以下技術(shù)最有可能成為主流趨勢(shì)：文檔自動(dòng)備份隔離保護(hù)技術(shù)、智能誘捕技術(shù)、行為追蹤技術(shù)、智能文件格式分析技術(shù)和數(shù)據(jù)流分析技術(shù)等。對(duì)于企業(yè)級(jí)用戶來說，云端免疫技術(shù)、密碼保護(hù)技術(shù)等也將起到至關(guān)重要的作用。

研究背景

勒索軟件是近兩年來影響最大，也最受關(guān)注的網(wǎng)絡(luò)安全威脅形式之一。攻擊者通過電子郵件、網(wǎng)絡(luò)滲透、蠕蟲病毒等多種形式，向受害者的電腦終端或服務(wù)器發(fā)起攻擊，加密系統(tǒng)文件并勒索贖金。

2016年，包括IBM、Symantec、360等國內(nèi)外多家知名安全機(jī)構(gòu)已經(jīng)開始高度關(guān)注勒索軟件攻擊。2016年12月，360互聯(lián)網(wǎng)安全中心發(fā)布了《2016 敲詐者病毒威脅形勢(shì)分析報(bào)告（年報(bào)）》。報(bào)告指出，2016年，全國至少有497萬多臺(tái)用戶電腦遭到了勒索軟件攻擊，成為對(duì)網(wǎng)民直接威脅最大的一類木馬病毒。

2017年，勒索軟件繼續(xù)呈現(xiàn)出全球性蔓延態(tài)勢(shì)，攻擊手法和病毒變種也進(jìn)一步多樣化。特別是2017年5月全球爆發(fā)的永恒之藍(lán)勒索蠕蟲（WannaCry，也有譯作“想哭”病毒）和隨后在烏克蘭等地流行的Petya病毒，使人們對(duì)于勒索軟件的關(guān)注達(dá)到了空前的高度。在全球范圍內(nèi)，政府、教育、醫(yī)院、能源、通信、制造業(yè)等眾多關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域都遭受到了前所未有的重大損失。

與WannaCry無差別的顯性攻擊相比，針對(duì)中小企業(yè)網(wǎng)絡(luò)服務(wù)器的精準(zhǔn)攻擊則是隱性的，不為多數(shù)公眾所知，但卻也已成為2017年勒索軟件攻擊的另一個(gè)重要特點(diǎn)。統(tǒng)計(jì)顯示，在2017年的國內(nèi)勒索軟件的攻擊目標(biāo)中，至少有15%是明確針對(duì)政企機(jī)構(gòu)的，其中由以中小企業(yè)為主要目標(biāo)。相比于一般的個(gè)人電腦終端或辦公終端，服務(wù)器數(shù)據(jù)的珍貴程度和不可恢復(fù)性更強(qiáng)（針對(duì)服務(wù)器的滲透式勒索攻擊一般不會(huì)留下死角或備份），因此被勒索者支付贖金的意愿也相對(duì)更強(qiáng)。

為進(jìn)一步深入研究勒索軟件的攻擊特點(diǎn)和技術(shù)手段，幫助個(gè)人電腦用戶和廣大政企機(jī)構(gòu)做好網(wǎng)絡(luò)安全防范措施，360互聯(lián)網(wǎng)安全中心對(duì)2017年的勒索軟件攻擊形勢(shì)展開了全面的研究，分別從攻擊規(guī)模、攻擊特點(diǎn)、受害者特征、典型案例、趨勢(shì)預(yù)測(cè)等幾個(gè)方面進(jìn)行深入分析。

第一章勒索軟件的大規(guī)模攻擊

2017年以來，360互聯(lián)網(wǎng)安全中心監(jiān)測(cè)到大量針對(duì)普通網(wǎng)民和政企機(jī)構(gòu)的勒索軟件攻擊。勒索軟件已成為對(duì)網(wǎng)民直接威脅最大的一類木馬病毒。本章內(nèi)容主要針對(duì)，2017年1月-11月期間，360互聯(lián)網(wǎng)安全中心監(jiān)測(cè)到的勒索軟件的相關(guān)數(shù)據(jù)進(jìn)行分析。

一、勒索軟件的攻擊量

2017年1-11月，360互聯(lián)網(wǎng)安全中心共截獲電腦端新增勒索軟件變種183種，新增控制域名238個(gè)。全國至少有472.5多萬臺(tái)用戶電腦遭到了勒索軟件攻擊，平均每天約有1.4萬臺(tái)國內(nèi)電腦遭到勒索軟件攻擊。

特別說明，2017年截獲的某些勒索病毒，如Cerber病毒，會(huì)向某個(gè)IP地址段進(jìn)行群呼，以尋找可能響應(yīng)的控制服務(wù)器。病毒這樣做的目的可能是為了避免其服務(wù)器被攔截。如果沒有服務(wù)器響應(yīng)群呼消息，病毒則會(huì)按照其他既定流程執(zhí)行代碼。2017年，360互聯(lián)網(wǎng)安全中心共截獲新增此類IP地址段51個(gè)。

下圖給出了勒索軟件1月至11月期間每月攻擊用戶數(shù)的情況。從圖中可見，4月攻擊高峰期時(shí)的攻擊量為81.1萬，一天之內(nèi)被攻擊的電腦平均可達(dá)2.7萬臺(tái)。11月是第二個(gè)攻擊小高峰，一天之內(nèi)被攻擊的電腦平均可達(dá)3.1萬臺(tái)。下圖分別給出了2017年1月至11月勒索軟件每月攻擊的態(tài)勢(shì)分析圖形。注意，此部分攻擊態(tài)勢(shì)分析數(shù)據(jù)不包含WannaCry勒索蠕蟲的相關(guān)數(shù)據(jù)。

圖1

2017年四月份發(fā)生的大規(guī)模勒索軟件攻擊，主要是因?yàn)镾hadow Brokers（影子經(jīng)紀(jì)人）組織公開了披露美國國家安全局發(fā)現(xiàn)的漏洞“永恒之藍(lán)”，雖然“WannaCry”是在五月份爆發(fā)的，但此漏洞一直都有被別的勒索軟件利用進(jìn)行攻擊。

10月至11月發(fā)生的大規(guī)模勒索軟件攻擊，主要是因?yàn)樵?0月份時(shí)出現(xiàn)了一種以.arena為后綴的勒索軟件，11月份時(shí)出現(xiàn)了一種以.java為后綴的勒索軟件。這兩款勒索軟件主要是由攻擊者通過嫻熟的手法入侵服務(wù)器后釋放勒索病毒的。以.arena和.java為后綴的勒索軟件在10月至11月流行的主要原因有三：

1）攻擊者入侵手段升級(jí)導(dǎo)致成功率大幅提高；

2）這兩款勒索軟件成功入侵了大量企業(yè)的服務(wù)器；

3）以.arena和.java為后綴的這兩款勒索軟件都屬于Crysis家族，這個(gè)家族每次更換新的私鑰都會(huì)換一個(gè)后綴（10月份是.arena后綴，11月份是.Java后綴）。新出現(xiàn)的.arena和.java替代了.wallet開始流行。

二、勒索軟件的家族分布

統(tǒng)計(jì)顯示，在向360互聯(lián)網(wǎng)安全中心求助的勒索軟件受害者中，Cerber、Crysis、WannaCry這三大勒索軟件家族的受害者最多，共占到總量的58.4%。其中，Cerber占比為21.0%，Crysis 占比為19.9%，WannaCry占比為17.5%，具體分布如下圖所示。

圖2

結(jié)合360互聯(lián)網(wǎng)安全中心的大數(shù)據(jù)監(jiān)測(cè)分析，下圖給出了2017年不同勒索軟件家族在國內(nèi)的活躍時(shí)間分析。特別需要說明的是：“類Petya”勒索病毒（該病毒說明請(qǐng)參考第四章的第二節(jié)介紹），雖然在國外發(fā)動(dòng)了大規(guī)模的攻擊行為，產(chǎn)生了及其重要影響，但是在國內(nèi)基本就沒有傳播，所以在下圖中沒有體現(xiàn)這兩個(gè)家族。

圖3

三、勒索軟件的傳播方式

360互聯(lián)網(wǎng)安全中心監(jiān)測(cè)顯示，黑客為了提高勒索軟件的傳播效率，也在不斷更新攻擊方式，釣魚郵件傳播依然是黑客常用的傳播手段，服務(wù)器入侵的手法更加?jì)故爝\(yùn)用，同時(shí)也開始利用系統(tǒng)自身的漏洞進(jìn)行傳播。今年勒索軟件主要采用以下五種傳播方式：

1）服務(wù)器入侵傳播

以Crysis家族為代表的勒索軟件主要采用此類攻擊方式。黑客首先通過弱口令、系統(tǒng)或軟件漏洞等方式獲取用戶名和密碼，再通過RDP（遠(yuǎn)程桌面協(xié)議）遠(yuǎn)程登錄服務(wù)器，一旦登錄成功，黑客就可以在服務(wù)器上為所欲為，例如：卸載服務(wù)器上的安全軟件并手動(dòng)運(yùn)行勒索軟件。所以，在這種攻擊方式中 ，一旦 服務(wù)器被入侵，安全軟件一般是不起作用的。

服務(wù)器能夠被成功入侵的主要原因還是管理員的帳號(hào)密碼被破解。而造成服務(wù)器帳號(hào)密碼被破解的主要原因有以下幾種：為數(shù)眾多的系統(tǒng)管理員使用弱密碼，被黑客暴力破解；還有一部分是黑客利用病毒或木馬潛伏在用戶電腦中，竊取密碼；除此之外還有就是黑客從其他渠道直接購買賬號(hào)和密碼。黑客得到系統(tǒng)管理員的用戶名和密碼后，再通過遠(yuǎn)程登錄服務(wù)器，對(duì)其進(jìn)行相應(yīng)操作。

2）利用漏洞自動(dòng)傳播

今年，通過系統(tǒng)自身漏洞進(jìn)行傳播擴(kuò)散成為勒索軟件的一個(gè)新的特點(diǎn)。上半年震動(dòng)世界的WannaCry勒索病毒就是利用微軟的永恒之藍(lán)（EternalBlue）漏洞進(jìn)行傳播。黑客往往抓住很多人認(rèn)為打補(bǔ)丁沒用還會(huì)拖慢系統(tǒng)的錯(cuò)誤認(rèn)識(shí)，從而利用剛修復(fù)不久或大家重視程度不高的漏洞進(jìn)行傳播。如果用戶未及時(shí)更新系統(tǒng)或安裝補(bǔ)丁，那么即便用戶未進(jìn)行任何不當(dāng)操作，也有可能在完全沒有預(yù)兆的情況下中毒。此類勒索軟件在破壞功能上與傳統(tǒng)勒索軟件無異，都是加密用戶文件勒索贖金。但因?yàn)閭鞑シ绞讲煌?，?dǎo)致更加難以防范，需要用戶自身提高安全意識(shí)，盡快更新有漏洞的軟件或安裝對(duì)應(yīng)的安全補(bǔ)丁。

3）軟件供應(yīng)鏈攻擊傳播

軟件供應(yīng)鏈攻擊是指利用軟件供應(yīng)商與最終用戶之間的信任關(guān)系，在合法軟件正常傳播和升級(jí)過程中，利用軟件供應(yīng)商的各種疏忽或漏洞，對(duì)合法軟件進(jìn)行劫持或篡改，從而繞過傳統(tǒng)安全產(chǎn)品檢查達(dá)到非法目的的攻擊類型。

2017年爆發(fā)的Fireball、暗云III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner等后門事件均屬于軟件供應(yīng)鏈攻擊。而在烏克蘭爆發(fā)的類Petya勒索軟件事件也是其中之一，該病毒通過稅務(wù)軟件M.E.Doc的升級(jí)包投遞到內(nèi)網(wǎng)中進(jìn)行傳播。

4）郵件附件傳播

通過偽裝成產(chǎn)品訂單詳情或圖紙等重要文檔類的釣魚郵件，在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開郵件附件，便會(huì)執(zhí)行里面的腳本，釋放勒索病毒。這類傳播方式的針對(duì)性較強(qiáng)，主要瞄準(zhǔn)公司企業(yè)、各類單位和院校，他們最大的特點(diǎn)是電腦中的文檔往往不是個(gè)人文檔，而是公司文檔。最終目的是給公司業(yè)務(wù)的運(yùn)轉(zhuǎn)制造破壞，迫使公司為了止損而不得不交付贖金。

5）利用掛馬網(wǎng)頁傳播

通過入侵主流網(wǎng)站的服務(wù)器，在正常網(wǎng)頁中植入木馬，讓訪問者在瀏覽網(wǎng)頁時(shí)利用IE或Flash等軟件漏洞進(jìn)行攻擊。這類勒索軟件屬于撒網(wǎng)抓魚式的傳播，并沒有特定的針對(duì)性，一般中招的受害者多數(shù)為裸奔用戶，未安裝任何殺毒軟件。

四、勒索軟件攻擊的地域

360互聯(lián)網(wǎng)安全中心監(jiān)測(cè)顯示，遭遇勒索軟件攻擊的國內(nèi)電腦用戶遍布全國所有省份。其中，廣東占比最高，為14.9%，其次是浙江8.2%，江蘇7.7%。排名前十省份占國內(nèi)所有被攻擊總量的64.1%。

圖4

2017年勒索軟件攻擊地域分布如下圖所示。

圖5

五、勒索軟件服務(wù)器分布

360互聯(lián)網(wǎng)安全中心針對(duì)最為活躍的部分勒索軟件的C2服務(wù)器域名后綴的歸屬地進(jìn)行了分析，結(jié)果顯示：.com域名被使用的最多，約為總量的一半，為48.7%，.net和.org占比分別為3.8%和1.7%。此外，屬于歐洲國家的域名最多，占31.9%，其次是亞洲國家4.6%，南美洲國家1.7%，大洋洲國家1.7%，北美洲國家1.3%。

特別值得注意的是，主流的大勒索家族都不再使用C2服務(wù)器加密技術(shù)了，但還是有很多小眾勒索家族在使用C2服務(wù)器的加密技術(shù)。

圖6

六、勒索軟件攻擊的行業(yè)

為更加深入的了解各行業(yè)勒索軟件遭到攻擊的情況，360威脅情報(bào)中心 聯(lián)合全國一百余家政府機(jī)構(gòu)、事業(yè)單位和大中型企業(yè)的IT管理人員，對(duì)各企業(yè)遭勒索軟件攻擊情況展開了深入的調(diào)查分析。并希望此項(xiàng)研究能夠?qū)Ω鄼C(jī)構(gòu)的網(wǎng)絡(luò)管理者提供有價(jià)值的參考信息。

不同行業(yè)政企機(jī)構(gòu)遭受勒索軟件攻擊的情況分析顯示，能源行業(yè)是遭受攻擊最多的行業(yè)，占比為42.1%，其次為醫(yī)療行業(yè)為22.8%，金融行業(yè)為17.8%，具體分布如下圖所示。需要說明的是，遭到攻擊多不代表被感染的設(shè)備多。攻擊量是通過企業(yè)級(jí)終端安全軟件的監(jiān)測(cè)獲得的。

圖7

從上圖中，我們知道能源、醫(yī)療衛(wèi)生、金融是遭受勒索軟件攻擊最多的三個(gè)行業(yè)，那么究竟是哪些家族對(duì)這三個(gè)行業(yè)發(fā)動(dòng)的攻擊呢？下表分別給出了每個(gè)行業(yè)遭受勒索軟件攻擊最多的前五個(gè)家族，具體如下表所示?？梢钥闯?，針對(duì)不同行業(yè)，攻擊者者所使用的勒索軟件類型是有很大區(qū)別的。

表 1   能源、醫(yī)療衛(wèi)生、金融行業(yè)遭受勒索攻擊的家族TOP5

七、勒索軟件的攻擊特點(diǎn)

如果說，掛馬攻擊是2016年勒索軟件攻擊的一大特點(diǎn)，那么2017年，勒索軟件的攻擊則呈現(xiàn)出以下六個(gè)明顯的特點(diǎn)：無C2服務(wù)器加密技術(shù)流行、攻擊目標(biāo)轉(zhuǎn)向政企機(jī)構(gòu)、攻擊目的開始多樣化、勒索軟件平臺(tái)化運(yùn)營、影響大的家族贖金相對(duì)少、境外攻擊者多于境內(nèi)攻擊者。

(一)無C2服務(wù)器加密技術(shù)流行

2017年，我們發(fā)現(xiàn)黑客在對(duì)文件加密的過程中，一般不再使用C2服務(wù)器了，也就是說現(xiàn)在的勒索軟件加密過程中不需要回傳私鑰了。

這種技術(shù)的加密過程大致如下：

1）在加密前隨機(jī)生成新的加密密鑰對(duì)（非對(duì)稱公、私鑰）

2）使用該新生成新的公鑰對(duì)文件進(jìn)行加密

3）把新生成的私鑰采用黑客預(yù)埋的公鑰進(jìn)行加密保存在一個(gè)ID文件或嵌入在加密文件里

解密過程大致如下：

1）通過郵件或在線提交的方式，提交ID串或加密文件里的加密私鑰（該私鑰一般黑客會(huì)提供工具提?。?；

2）黑客使用保留的預(yù)埋公鑰對(duì)應(yīng)的私鑰解密受害者提交過來的私鑰；

3）把解密私鑰或解密工具交付給受害者進(jìn)行解密。

圖8

通過以上過程可以實(shí)現(xiàn)每個(gè)受害者的解密私鑰都不相同，同時(shí)可以避免聯(lián)網(wǎng)回傳私鑰。這也就意味著不需要聯(lián)網(wǎng)，勒索病毒也可以對(duì)終端完成加密，甚至是在隔離網(wǎng)環(huán)境下，依然可以對(duì)文件和數(shù)據(jù)進(jìn)行加密。顯然 ，這種技術(shù)是針對(duì)采用了各種隔離措施的政企機(jī)構(gòu)所設(shè)計(jì)的。

(二)攻擊目標(biāo)轉(zhuǎn)向政企機(jī)構(gòu)

2017年，勒索軟件的攻擊進(jìn)一步聚焦在高利潤目標(biāo)上，其中包括高凈值個(gè)人、連接設(shè)備和企業(yè)服務(wù)器。特別是針對(duì)中小企業(yè)網(wǎng)絡(luò)服務(wù)器的攻擊急劇增長，已經(jīng)成為2017年勒索軟件攻擊的一大鮮明特征。據(jù)不完全統(tǒng)計(jì)，2017年，約15%的勒索軟件攻擊是針對(duì)中小企業(yè)服務(wù)器發(fā)起的定向攻擊，尤以Crysis、xtbl、wallet、arena、Cobra等家族為代表。

客觀的說，中小企業(yè)往往安全架構(gòu)單一，相對(duì)容易被攻破。同時(shí)，勒索軟件以企業(yè)服務(wù)器為攻擊目標(biāo)，往往也更容易獲得高額贖金。例如：針對(duì)Linux服務(wù)器的勒索軟件Rrebus，雖然名氣不大，卻輕松從韓國Web托管公司Nayana收取了100萬美元贖金，是震驚全球的永恒之藍(lán)全部收入的7倍之多。Nayana所以屈服，是因?yàn)槌?50臺(tái)服務(wù)器受到攻擊，上面托管著3400多家中小企業(yè)客戶的站點(diǎn)。這款勒索病毒的覆蓋面有限，韓國幾乎是唯一的重災(zāi)區(qū)。

(三)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊

以WannaCry、類Petya為代表的勒索軟件，則是將關(guān)鍵信息基礎(chǔ)設(shè)施作為了主要攻擊目標(biāo)，這在以往是從未出現(xiàn)過的嚴(yán)峻情況。關(guān)鍵基礎(chǔ)設(shè)施為社會(huì)生產(chǎn)和居民生活提供公共服務(wù)，保證國家或地區(qū)社會(huì)經(jīng)濟(jì)活動(dòng)正常進(jìn)行，其一旦被攻擊將嚴(yán)重影響人們的日常生活，危害巨大。

(四)攻擊目的開始多樣化

顧名思義，勒索軟件自然就是要勒索錢財(cái)。但這種傳統(tǒng)認(rèn)知已經(jīng)在2017年被打破。以網(wǎng)絡(luò)破壞、組織破壞為目的的勒索軟件已經(jīng)出現(xiàn)并開始流行。其中最為典型的代表就是類Petya。與大多數(shù)勒索軟件攻擊不同，類Petya的代碼不是為了向受害者勒索金錢，而是要摧毀一切。類Petya病毒的主要攻擊目的就是為了破壞數(shù)據(jù)而不是獲得金錢。此外，以Spora為代表的竊密型勒索軟件在加密用戶文檔時(shí)，還會(huì)竊取用戶賬號(hào)密碼和鍵盤輸入等信息，屬于功能復(fù)合型勒索軟件。

這些不僅以“勒索”為目的的“勒索軟件”，實(shí)際上只是結(jié)合了傳統(tǒng)勒索軟件對(duì)文件進(jìn)行加密的技術(shù)方法來實(shí)現(xiàn)其數(shù)據(jù)破壞、信息竊取等其他攻擊目的。相比于勒索金錢，這種攻擊將給對(duì)手帶來更大的破壞和更大的威脅。這不僅會(huì)引發(fā)網(wǎng)絡(luò)犯罪“商業(yè)模式”的新變種，而且會(huì)反過來刺激網(wǎng)絡(luò)保險(xiǎn)市場(chǎng)的進(jìn)一步擴(kuò)張。

(五)勒索軟件平臺(tái)化運(yùn)營

2017年，勒索軟件已經(jīng)不再是黑客單打獨(dú)斗的產(chǎn)物，而是做成平臺(tái)化的上市服務(wù)，形成了一個(gè)完整的產(chǎn)業(yè)鏈條。在勒索軟件服務(wù)平臺(tái)上，勒索軟件的核心技術(shù)已經(jīng)直接打包封裝好了，小黑客直接購買調(diào)用其服務(wù)，即可得到一個(gè)完整的勒索軟件。這種勒索軟件的生成模式我們稱其為RaaS服務(wù)，而黑市中一般用“Satan Ransomware（撒旦勒索軟件）”來指代由RaaS服務(wù)生成的勒索軟件。

RaaS服務(wù)允許任何犯罪者注冊(cè)一個(gè)帳戶，并創(chuàng)建自己定制版本的撒旦勒索軟件。一旦勒索軟件被創(chuàng)建，那么犯罪分子將決定如何分發(fā)勒索軟件，而RaaS服務(wù)平臺(tái)將處理贖金支付和增加新功能。對(duì)于這項(xiàng)服務(wù)，RaaS服務(wù)平臺(tái)的開發(fā)者將收取受害者所支付贖金的30％，購買RaaS服務(wù)者將獲取剩余70％的贖金。

(六)境外攻擊者多于境內(nèi)攻擊者

2017年，勒索軟件的攻擊源頭以境外為主。絕大多數(shù)的勒索軟件攻擊者基本都是境外攻擊者，國內(nèi)攻擊者較少，而且國內(nèi)攻擊者技術(shù)水平也相對(duì)較低，制作水平也不高。有些國內(nèi)攻擊者編寫的勒索軟件程序甚至存在很多漏洞，因此也比較容易被破解。比如：MCR勒索病毒，我們可以直接獲取到密鑰從而恢復(fù)文件。

第二章勒索軟件受害者特征分析

2017年1月至11月，360反勒索服務(wù)共接到了2325位遭遇勒索軟件攻擊的受害者求助。為了更好的了解勒索軟件的感染原因及受害者特點(diǎn)，以幫助更多的用戶提高安全意識(shí)，免遭勒索軟件侵害，本次報(bào)告特別對(duì)這兩千多位求助受害者進(jìn)行了隨機(jī)抽樣調(diào)研，并從中選取了有效的452份調(diào)研問卷進(jìn)行分析。本報(bào)告的第二章內(nèi)容中的各項(xiàng)數(shù)據(jù)統(tǒng)計(jì)，均是來源于本次抽樣調(diào)研的統(tǒng)計(jì)結(jié)果。

一、受害者的求助情況

2017年1月至11月，360反勒索服務(wù)共接到了2325位遭遇勒索軟件攻擊的受害者求助。從數(shù)據(jù)統(tǒng)計(jì)中可以看到，5月份是受害者求助的高峰期，主要是因?yàn)閃annaCry勒索蠕蟲的爆發(fā)。受害者每月求助情況具體如下圖所示。

圖9

調(diào)研發(fā)現(xiàn)，目前絕大多數(shù)求助用戶并不是在安裝了360安全衛(wèi)士，并開啟了反勒索服務(wù)的情況下感染的勒索軟件。特別值得注意的是，還有相當(dāng)數(shù)量的受害者在感染勒索軟件時(shí)，電腦上沒有安裝任何安全軟件。

二、受害者的基本特征

調(diào)研數(shù)據(jù)顯示，男性是最容易受到勒索軟件攻擊的對(duì)象，占比高達(dá)90.5%，而女性占比僅為9.5%。

圖10

在360互聯(lián)網(wǎng)安全中心接到的受害者主動(dòng)尋求幫助的人群中，63.5%為企業(yè)用戶，36.5%為個(gè)人用戶。通過對(duì)受害者的調(diào)研分析發(fā)現(xiàn)，攻擊者會(huì)針對(duì)企業(yè)用戶采取服務(wù)器入侵、郵件傳播等方式傳播勒索軟件，造成的危害比較高。企業(yè)用戶電腦中毒以后，由于被加密的多是相對(duì)更加重要的公司辦公和業(yè)務(wù)文件，因此，企業(yè)用戶往往會(huì)更加積極尋求解決辦法，特別是更加積極向?qū)I(yè)安全廠商尋求幫助。

圖11

從求助的受害者所在的行業(yè)分類（注：此處與上一章中根據(jù)攻擊量監(jiān)測(cè)進(jìn)行的行業(yè)分析統(tǒng)計(jì)方法有所不同）中可以看出，IT/互聯(lián)網(wǎng)行業(yè)的受害者最多，占比為27.0%；其次是制造業(yè)，占比為18.6%；教育行業(yè)占比為14.8%。具體分布如下圖所示。

圖12

從求助的受害者所在的職位分類中可以看出，普通職員是遭遇勒索軟件攻擊次數(shù)最多的受害者，超過受害者總數(shù)的一半以上，占比為51.8%，其次是經(jīng)理、高級(jí)經(jīng)理，占比為33.0%，企業(yè)中、中高管理層，占比為13.4%，CEO、董事長、總裁等企業(yè)的掌舵者被勒索軟件攻擊的比例也達(dá)到1.8%。

圖13

三、受害者的感染情況

從求助的受害者感染勒索軟件的途徑可以看出，44.0%的受害者不知道自己是如何感染的勒索軟件，可見該病毒在感染、執(zhí)行過程中具有極強(qiáng)的隱蔽性，讓受害者難以察覺。20.4%的受害者是因?yàn)榉?wù)器被入侵而感染的勒索軟件，7.3%的受害者是因?yàn)殚_啟3389端口（Windows系統(tǒng)自帶的遠(yuǎn)程控制端口），黑客通過遠(yuǎn)程控制用戶的電腦，進(jìn)而讓其感染勒索軟件。具體如下圖所示?？梢?，2017年，帶毒電子郵件已經(jīng)不是再是勒索軟件傳播的主要途徑。

圖14

從求助的受害者文件感染類型可以看出，87.6%是受害者電腦上的辦公文檔被感染，其次，77.4%的圖片文件被感染，54.0%的視頻文件被感染，48.7%的音頻文件被感染，8.2%的數(shù)據(jù)庫文件被感染。數(shù)據(jù)庫文件被加密主要是由于今年發(fā)現(xiàn)了大量針對(duì)服務(wù)器的攻擊，尤其是針對(duì)網(wǎng)絡(luò)安全措施相對(duì)較弱的中小企業(yè)，從而導(dǎo)致數(shù)據(jù)庫被加密的現(xiàn)象時(shí)有發(fā)生。

圖15

在被詢問到哪種被病毒加密的文件類型造成損失更加重大的問題時(shí)，77.4%的受害者認(rèn)為辦公文檔被加密造成的損失破壞最大；其次是認(rèn)為照片視頻文件造成的損失嚴(yán)重，占比為46.7%；郵件和聊天記錄占比為13.5%；數(shù)據(jù)庫類文件占比為11.9%；游戲存檔類文件占比為4.2%。

圖16

我們發(fā)現(xiàn)，在主動(dòng)尋求幫助的受害者中，辦公文檔是感染數(shù)量最多，同時(shí)也是導(dǎo)致受害者損失最大的文件類型。因?yàn)檗k公文檔中往往含有我們工作中用到的重要資料，更加被我們重視和關(guān)注。

四、贖金支付與支付方式

根據(jù)360反勒索服務(wù)平臺(tái)對(duì)受到勒索軟件攻擊用戶的統(tǒng)計(jì)數(shù)據(jù)顯示，絕大多數(shù)的勒索軟件均以比特幣為贖金支付方式，從而使資金流向和攻擊者本人都無法被追蹤。但是，9月底時(shí)比特幣在中國已經(jīng)全面停止交易了，導(dǎo)致受害者文件被勒索病毒感染后更加難以恢復(fù)。

抽樣調(diào)查顯示，在這些求助的受害者中，已有5.8%的受害者為了恢復(fù)文件而支付贖金，另外94.2%的受害者選擇了拒絕為恢復(fù)文件而支付贖金。

進(jìn)一步調(diào)查顯示，在支付贖金的受害者中，46.2%的受害者是自己按照病毒提示兌換比特幣的方式付款的，26.9%的受害者是通過在淘寶平臺(tái)找代付贖金服務(wù)付款的，26.9%的受害者是通過請(qǐng)朋友幫助操作付款的。

圖17

另外，我們發(fā)現(xiàn)用戶通過不同方式支付贖金的成功率有很大的不同。比如，在淘寶平臺(tái)找勒索軟件代付贖金服務(wù)的用戶中，85.7%的受害者最終成功支付了贖金，并恢復(fù)了文件；朋友幫忙付款的，57.1%的受害者成功支付了贖金，并恢復(fù)了文件；而自己按照勒索軟件提示去兌換比特幣付款的用戶中，僅有50.0%的受害者成功支付贖金，并恢復(fù)了文件。

如前所述，絕大多數(shù)，即94.2%的受害者選擇了拒絕為恢復(fù)文件而支付贖金。本次報(bào)告也特別對(duì)這些受害者為什么會(huì)拒絕支付贖金的問題進(jìn)行了調(diào)研。結(jié)果顯示：39.4%的受害者是因?yàn)椴幌嘈胖Ц囤H金后會(huì)給自己的文件解密，27.0%的受害者是因?yàn)椴幌肜^續(xù)縱容黑客進(jìn)而選擇拒絕支付贖金，15.5%的受害者是因?yàn)橄嘈艜?huì)有恢復(fù)工具能夠修復(fù)加密的文件，具體如下圖所示。

圖18

五、影響贖金支付的因素

用戶調(diào)研顯示，影響支付贖金的最重要、最根本的因素是被感染文檔本身的重要性。不過，除了文件本身的重要性之外，究竟還有哪些因素會(huì)影響用戶贖金支付意愿呢？本次報(bào)告從受害者的月收入和所在行業(yè)這兩個(gè)方面對(duì)用戶進(jìn)行了調(diào)研。

從受害者的收入方面來看，月收入在1.5W以上的受害者最愿意支付贖金，他們選擇支付贖金的人占比為10.3%。對(duì)于高收入人群來說，電腦中的文件尤其是辦公文檔非常重要，而且他們支付能力更強(qiáng)，所以他們往往更愿意支付贖金。下圖給出了具體情況分析。

圖19

下圖給出了求助的不同行業(yè)受害者支付贖金的比例對(duì)比。統(tǒng)計(jì)顯示，金融行業(yè)中招的受害者竟無一人支付贖金，這與2016年的情況大相徑庭。在2016年的調(diào)研統(tǒng)計(jì)中，金融行業(yè)受害者支付贖金的比例最高，達(dá)33.3%。此外，2017年，求助的金融行業(yè)受害者僅占求助者總數(shù)的2.9%，相比去年4.5%有一定的下降趨勢(shì)。進(jìn)一步的調(diào)研分析發(fā)現(xiàn)，造成這種明顯變化的主要原因是：金融機(jī)構(gòu)在2017年普遍加強(qiáng)了網(wǎng)絡(luò)安全建設(shè)和災(zāi)備恢復(fù)能力，雖然也有感染情況發(fā)生，但抗災(zāi)容災(zāi)能力明顯增強(qiáng)。

圖 20

綜合收入、職位和行業(yè)這三方面因素來看，受害者所屬的行業(yè)是對(duì)支付意愿影響最大的因素。

六、恢復(fù)感染文件的方法

感染勒索軟件后，對(duì)于用戶來說，最重要的是能否恢復(fù)被加密的文件。目前來看，成功支付贖金的受害者都成功的恢復(fù)了被加密的文件?？梢?，目前勒索軟件攻擊者的“信用”還是不錯(cuò)的。此外，由于目前仍有相當(dāng)一部分的勒索軟件并未規(guī)范使用加密算法，對(duì)文件進(jìn)行加密，所以，對(duì)于感染了此類勒索軟件的用戶來說，即便不支付贖金，也可以通過專業(yè)安全機(jī)構(gòu)，如360等安全廠商提供的一些解密工具對(duì)文件進(jìn)行解密。還有一些用戶提前對(duì)重要文件進(jìn)行了備份，所以也最終成功恢復(fù)了文件。

總體來看，在接受調(diào)研的受害者中，有11.5%的受害者最終成功恢復(fù)了文件，另外88.5%的受害者沒有恢復(fù)文件。在受害者恢復(fù)文件的方式中，30.8%的受害者是通過支付贖金恢復(fù)的文件，25.0%的受害者是通過歷史備份（如云盤、移動(dòng)硬盤等）恢復(fù)的文件，23.1%的受害者是通過解密工具恢復(fù)文件的，21.2%的受害者是通過專業(yè)人士破解恢復(fù)文件的。

圖21

用戶電腦感染勒索軟件后，需要進(jìn)行及時(shí)的清除。但不同的人也會(huì)選擇不同的方法進(jìn)行清除。抽樣調(diào)查結(jié)果顯示：38.9%的受害者通過重裝系統(tǒng)清除了病毒，18.1%的受害者通過安裝安全軟件查殺掉病毒，6.0%的受害者直接刪除中毒文件。

特別值得注意的是，我們發(fā)現(xiàn)有36.9%的受害者在知道自己電腦已經(jīng)感染勒索軟件后，沒有采取任何措施清除病毒。這是十分危險(xiǎn)的，因?yàn)楸M管目前已知的絕大多數(shù)勒索軟件的攻擊都是“一次性”的，但也有一部分病毒會(huì)帶有諸如“下載者”這樣的病毒成分，不及時(shí)處理，電腦就有可能會(huì)持續(xù)不斷的遭到更多的木馬病毒的侵害。

圖22

另外，研究發(fā)現(xiàn)，受害者選擇采用何種方式清除病毒，與用戶是否支付了贖金沒有關(guān)系。

還有一點(diǎn)特別值得注意。在我們協(xié)助受害者進(jìn)行電腦檢測(cè)時(shí)發(fā)現(xiàn)，有相當(dāng)數(shù)量的受害者在感染勒索軟件時(shí)，并未安裝任何安全軟件。

調(diào)查中還發(fā)現(xiàn)，對(duì)于沒有安裝安全軟件的受害者，在感染勒索軟件后會(huì)首先下載并安裝安全軟件進(jìn)行病毒查殺。但是，這種操作是存在一定的風(fēng)險(xiǎn)性的。如果受害者自行清除病毒，可能會(huì)同時(shí)刪除掉被加密的文件和本地保留的密鑰文件，造成文檔無法解密。

第三章 WannaCry勒索軟件的大規(guī)模攻擊

2017年5月，影響全球的勒索軟件永恒之藍(lán)勒索蠕蟲（WannaCry）大規(guī)模爆發(fā)，它利用了據(jù)稱是竊取自美國國家安全局的黑客工具EternalBlue（永恒之藍(lán)）實(shí)現(xiàn)了全球范圍內(nèi)的快速傳播，在短時(shí)間內(nèi)造成了巨大損失。本章主要針對(duì)永恒之藍(lán)勒索蠕蟲事件進(jìn)行分析。關(guān)于WannaCry的深入技術(shù)分析，詳見本報(bào)告“附錄2 WannaCry攻擊技術(shù)詳解”。

一、勒索蠕蟲的空前影響

永恒之藍(lán)勒索蠕蟲(WannaCry)可能是自沖擊波病毒以來，影響范圍最廣，破壞程度最大的一款全球性病毒。特別是在該病毒的攻擊過程中，大量“不聯(lián)網(wǎng)”的、一向被認(rèn)為是相對(duì)比較安全的企業(yè)和機(jī)構(gòu)的內(nèi)網(wǎng)設(shè)備也被感染，這給全球所有企業(yè)和機(jī)構(gòu)都敲響了警鐘：沒有絕對(duì)的隔離，也沒有絕對(duì)的安全，不聯(lián)網(wǎng)的不一定比聯(lián)網(wǎng)的更加安全。

作為一款“破壞性”病毒，WannaCry的傳播速度和影響都是十分驚人的。360互聯(lián)網(wǎng)安全中心于2017年5月12日中午13點(diǎn)44分，截獲了WannaCry的首個(gè)攻擊樣本，是世界上最早截獲該病毒的公司。而在隨后的短短幾個(gè)小時(shí)內(nèi)，就有包括中國、英國、美國、德國、日本、土耳其、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等國家被報(bào)告遭到了WannaCry的攻擊，大量機(jī)構(gòu)設(shè)備陷入癱瘓。

根據(jù)360互聯(lián)網(wǎng)安全中心的數(shù)據(jù)統(tǒng)計(jì)，僅僅30多個(gè)小時(shí)，截至2017年5月13日20:00時(shí)，360互聯(lián)網(wǎng)安全中心便已截獲遭WannaCry病毒攻擊的我國政企機(jī)構(gòu)IP地址29372個(gè)。而從后續(xù)國內(nèi)外媒體披露的情況來看，在全球范圍內(nèi)遭受此次WannaCry病毒攻擊的國家已超過了100個(gè)。

WannaCry感染電腦設(shè)備后，會(huì)將電腦中的辦公文檔、照片、視頻等文件加密，并向用戶勒索比特幣。

2017年5月12日下午14時(shí)許，距發(fā)現(xiàn)WannaCry病毒僅僅十幾分鐘，360安全監(jiān)測(cè)與響應(yīng)中心就啟動(dòng)了針對(duì)WannaCry的黃色應(yīng)急響應(yīng)程序，并于當(dāng)日下午14:26，通過360安全衛(wèi)士微博發(fā)出全面預(yù)警通告。與此同時(shí)，CNCert、各地網(wǎng)信辦、公安機(jī)關(guān)等部門也都先后啟動(dòng)了全國范圍內(nèi)的大規(guī)模應(yīng)急響應(yīng)預(yù)警和處置工作。經(jīng)過全國安全工作者大約72小時(shí)的連續(xù)奮戰(zhàn)，截至2017年5月15日下午，WannaCry的快速傳播得到了有效的抑制，到5月16日，新增感染者數(shù)量已經(jīng)非常有限。

二、WannaCry攻擊態(tài)勢(shì)分布

360互聯(lián)網(wǎng)安全中心監(jiān)測(cè)顯示，WannaCry自被發(fā)現(xiàn)以來，相關(guān)網(wǎng)絡(luò)攻擊一直存在，而且攻擊范圍越來越廣。

WannaCry病毒入侵到用戶的電腦后，首先會(huì)先訪問一個(gè)特定的，原本并不存在的網(wǎng)站：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果連接成功則退出程序，連接失敗則繼續(xù)攻擊（相當(dāng)于是個(gè)開關(guān)）。但在WannaCry大爆發(fā)第二天（2017年5月13日晚），英國的一個(gè)分析人員對(duì)這個(gè)域名進(jìn)行了注冊(cè)，病毒再訪問這個(gè)網(wǎng)站就發(fā)現(xiàn)能訪問了，即不再加密用戶數(shù)據(jù)。所以5月份之后，遭到WannaCry攻擊的聯(lián)網(wǎng)電腦中的文件不會(huì)被實(shí)質(zhì)性加密。也就是說雖然該病毒還在傳播，但已經(jīng)沒有實(shí)際危害了。2017年5月-11月，永恒之藍(lán)勒索蠕蟲WannaCry攻擊態(tài)勢(shì)分析如下圖所示。

圖23

360威脅情報(bào)中心及360天擎的監(jiān)測(cè)信息顯示，不同行業(yè)遭受永恒之藍(lán)勒索蠕蟲攻擊的情況也有所不同，工程建設(shè)行業(yè)是遭受攻擊最多的行業(yè)，占比為20.5%，其次制造業(yè)為17.3%，能源行業(yè)為15.3%，具體分布如下圖所示。需要說明的是，該數(shù)據(jù)是根據(jù)2017年5-11月的總體情況進(jìn)行分析和統(tǒng)計(jì)的，與5月份永恒之藍(lán)勒索蠕蟲剛剛爆發(fā)時(shí)相關(guān)數(shù)據(jù)統(tǒng)計(jì)有一定的區(qū)別。

圖24

三、三位一體的新型病毒

從事后分析來看，WannaCry的大規(guī)模傳播絕非偶然。除了政企機(jī)構(gòu)普遍存在的電腦更新不及時(shí)，系統(tǒng)防護(hù)能力弱等客觀原因外，WannaCry所獨(dú)有的一些新型特點(diǎn)也是其得以成功傳播的關(guān)鍵。WannaCry最主要的特點(diǎn)是：勒索軟件+蠕蟲病毒+永恒之藍(lán)。也正是由于這一特點(diǎn)，360互聯(lián)網(wǎng)安全中心將該病毒的中文名稱譯為：永恒之藍(lán)勒索蠕蟲。

首先，WannaCry是首次被發(fā)現(xiàn)的勒索軟件與蠕蟲病毒的組合體。

勒索軟件是最近一兩年開始流行起來的一種趨利明顯的惡意程序，它會(huì)使用非對(duì)稱加密算法加密受害者電腦內(nèi)的重要文件并以此來向受害者索要贖金，除非受害者支付贖金，否則被加密的文件無法被恢復(fù)。而以往的勒索軟件，大多是通過掛馬、郵件以及其他一些社工手段進(jìn)行點(diǎn)對(duì)點(diǎn)的傳播，從未出現(xiàn)過眾多用戶被自動(dòng)攻擊的情況。

而蠕蟲病毒的歷史則比較久遠(yuǎn)，最早可以追溯到1988年著名的莫里斯蠕蟲。這類病毒主要是利用系統(tǒng)漏洞，對(duì)聯(lián)網(wǎng)設(shè)備進(jìn)行掃描，并發(fā)起自動(dòng)攻擊。早些年也曾出現(xiàn)過類似“沖擊波”這樣破壞性明顯的蠕蟲病毒，但近年來，蠕蟲病毒則主要被用于制造僵尸網(wǎng)絡(luò)，用以發(fā)動(dòng)諸如垃圾郵件攻擊和DDoS攻擊等，少量蠕蟲會(huì)進(jìn)行盜竊數(shù)字資產(chǎn)等活動(dòng)。

但WannaCry則是首次將“勒索”與“蠕蟲”相結(jié)合，從而使勒索軟件獲得了一種超低成本的攻擊方式，并在現(xiàn)實(shí)攻擊中得以猖獗。從結(jié)果來看，WannaCry破壞了海量的數(shù)據(jù)，不僅導(dǎo)致了信息的損毀，還直接導(dǎo)致依賴文件進(jìn)行工作的電腦和設(shè)備失去服務(wù)能力，引發(fā)業(yè)務(wù)的中斷，影響從線上波及線下，甚至使很多政府機(jī)構(gòu)對(duì)外辦事機(jī)構(gòu)都停了工。

第二，WannaCry是軍用武器民用化的產(chǎn)物。

蠕蟲病毒的攻擊其實(shí)每天都在發(fā)生。但如果只是一般的蠕蟲病毒，也不至于傳播得如此廣泛。而WannaCry的一個(gè)重要特點(diǎn)，就是整合了Shadow Brokers（影子經(jīng)紀(jì)人，黑客組織）所公布的，據(jù)稱是NSA數(shù)字武器庫中最好用的武器：ETERNALBLUE（永恒之藍(lán)） SMB漏洞利用工具。盡管在WannaCry爆發(fā)時(shí)，永恒之藍(lán)所利用的系統(tǒng)漏洞已經(jīng)被微軟的官方補(bǔ)丁修護(hù)，但由于該漏洞補(bǔ)丁僅推出一個(gè)月，很多政企機(jī)構(gòu)還未能及時(shí)給自己的內(nèi)網(wǎng)設(shè)備全面更新，加之永恒之藍(lán)是一款軍用級(jí)網(wǎng)絡(luò)攻擊武器，未打補(bǔ)丁的設(shè)備很難有效防護(hù)，所以使得WannaCry的攻擊異常順利。

事實(shí)上，早在2015年Hacking Team武器庫泄漏事件后，軍用網(wǎng)絡(luò)武器的民用化趨勢(shì)就已經(jīng)呈現(xiàn)了出來，WannaCry的出現(xiàn)，使這種趨勢(shì)成為了噩夢(mèng)。

四、自殺開關(guān)的成敗得失

WannaCry在邏輯設(shè)計(jì)上，有一個(gè)非常不可思議的特點(diǎn)，就是該病毒啟動(dòng)時(shí)，會(huì)首先訪問一個(gè)原本并不存在的網(wǎng)址URL：http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。之后，WannaCry會(huì)根據(jù)對(duì)該URL的訪問結(jié)果來決定是否再繼續(xù)執(zhí)行下去：如果訪問成功，程序會(huì)直接退出；如果訪問失敗，程序才會(huì)繼續(xù)攻擊下去。

下圖是逆向的程序啟動(dòng)邏輯的C語言偽代碼。

圖25

圖26

這的確是一個(gè)非常罕見的病毒設(shè)計(jì)邏輯。起初我們猜測(cè)這個(gè)啟動(dòng)邏輯可能是蠕蟲作者為了控制蠕蟲活躍度而設(shè)計(jì)的一個(gè)云開關(guān)，而蠕蟲作者最終可能是因?yàn)楹ε卤蛔粉櫠艞壛俗?cè)這個(gè)域名。但在分析該病毒的其他部分代碼時(shí)，我們發(fā)現(xiàn)WannaCry的作者應(yīng)該是一名對(duì)病毒檢測(cè)對(duì)抗擁有豐富經(jīng)驗(yàn)的人，所以我們又猜測(cè)作者可能是出于對(duì)抗檢測(cè)的目的而設(shè)計(jì)了這個(gè)開關(guān)。

具體來說，目前的病毒檢測(cè)分為在線檢測(cè)和離線檢測(cè)兩種。離線檢測(cè)能保證病毒檢測(cè)系統(tǒng)以安全高效的方式工作。但要做“離線病毒分析”，就需要對(duì)病毒檢測(cè)系統(tǒng)做很多特殊處理，比如檢測(cè)系統(tǒng)需要欺騙病毒程序使其認(rèn)為自己是運(yùn)行在連線的網(wǎng)絡(luò)環(huán)境中。這就需要使用到Fake Responses（欺騙響應(yīng)）技術(shù)：即病毒的所有網(wǎng)絡(luò)請(qǐng)求都會(huì)被病毒檢測(cè)系統(tǒng)模擬響應(yīng)。所以，病毒作者可能是想使用這個(gè)啟動(dòng)邏輯來識(shí)別病毒檢測(cè)系統(tǒng)是否有網(wǎng)絡(luò)欺騙行為，以保護(hù)病毒在傳播初期不被殺毒廠商快速檢測(cè)封殺，從而錯(cuò)過控制蠕蟲病毒大范圍感染傳播的最佳時(shí)機(jī)。而一旦病毒感染的設(shè)備達(dá)到一定的規(guī)模，就會(huì)呈現(xiàn)幾何基數(shù)的快速增長，進(jìn)而變得不可控。

但從實(shí)戰(zhàn)情況來看，也恰恰這個(gè)被特殊設(shè)計(jì)的自殺開關(guān)，成為了安全人員追蹤和反制WannaCry傳播的重要方法。首先，由于英國的一組安全研究人員快速注冊(cè)了這個(gè)本不存在URL，從而直接避免了大量聯(lián)網(wǎng)設(shè)備感染W(wǎng)annaCry后被鎖；第二，我們可以通過WannaCry對(duì)該URL的訪問請(qǐng)求量或DNS解析量進(jìn)行分析，來實(shí)現(xiàn)對(duì)WannaCry感染疫情的總體監(jiān)控。360互聯(lián)網(wǎng)安全中心也正是基于DNS解析量的分析，快速實(shí)現(xiàn)了對(duì)WannaCry感染疫情態(tài)勢(shì)感知。

在WannaCry后期的各類變種中，有的修改了自殺開關(guān)的URL地址，有的則是直接刪除了該自殺開關(guān)。

五、WannaCry整體攻擊流程

WannaCry整體攻擊流程大致如下：

1）利用永恒之藍(lán)工具，通過MS17-010漏洞，入侵用戶電腦；

2）執(zhí)行一個(gè)dll文件，釋放可執(zhí)行模塊mssecsvc.exe；

3）訪問指定URL，即自殺開關(guān)；

4）若指定URL連接不上，則釋放mssecsvc2.0；

5）釋放Dropper，對(duì)電腦中的文件進(jìn)行加密及發(fā)送勒索消息；

6）感染其他電腦。

圖27

六、WannaCry穿透內(nèi)網(wǎng)原因

2017年5月，影響全球的永恒之藍(lán)勒索蠕蟲（Wannacry）大規(guī)模爆發(fā)后，有兩個(gè)重要問題一直讓很多我國政企機(jī)構(gòu)管理者和安全從業(yè)者感到困惑：一個(gè)是內(nèi)網(wǎng)穿透問題，一個(gè)是同業(yè)差距問題。

1）內(nèi)網(wǎng)穿透問題

WannaCry傳播和攻擊的一個(gè)明顯的特點(diǎn)，就是內(nèi)網(wǎng)設(shè)備遭感染的情況要比互聯(lián)網(wǎng)設(shè)備遭感染的情況嚴(yán)重得多。雖然說，未打補(bǔ)丁是內(nèi)網(wǎng)設(shè)備中招的根本原因，但WannaCry究竟是如何穿透的企業(yè)網(wǎng)絡(luò)隔離環(huán)境，特別是如何穿透了物理隔離的網(wǎng)絡(luò)環(huán)境，一直是令業(yè)界困惑的問題。

2）同業(yè)差距問題

WannaCry傳播和攻擊的另外一個(gè)重要特點(diǎn)，就是有些機(jī)構(gòu)大面中招，而有些機(jī)構(gòu)則幾乎無一中招。而且，即便是在同行業(yè)、同規(guī)模、同級(jí)別，甚至是安全措施都差不太多的大型政企機(jī)構(gòu)中，也是有的機(jī)構(gòu)全面淪陷，有的機(jī)構(gòu)卻安然無事。究竟是什么原因?qū)е逻@種天差地別的結(jié)果呢？

為能深入研究上述兩個(gè)問題，尋找國內(nèi)政企機(jī)構(gòu)安全問題的癥結(jié)所在及有效的解決途徑，360威脅情報(bào)中心聯(lián)合360安全監(jiān)測(cè)與響應(yīng)中心，對(duì)5月12日-5月16日間，國內(nèi)1700余家大中型政企機(jī)構(gòu)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)情況進(jìn)行了抽樣調(diào)研。并對(duì)上述問題得出了一些初步結(jié)論。

此次調(diào)研顯示，在大量感染W(wǎng)annaCry的機(jī)構(gòu)案例中，病毒能夠成功入侵政企機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)，主要原因有以下幾類：

1）一機(jī)雙網(wǎng)缺乏有效管理

一機(jī)雙網(wǎng)或一機(jī)多網(wǎng)問題，是此次WannaCry能夠成功入侵物理隔離網(wǎng)絡(luò)的首要原因。一機(jī)雙網(wǎng)問題是指一臺(tái)電腦設(shè)備既連接在物理隔離的網(wǎng)絡(luò)中，同時(shí)又直接與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)相連。病毒首先通過互聯(lián)網(wǎng)感染某臺(tái)設(shè)備，隨后再通過這臺(tái)染毒設(shè)備攻擊內(nèi)網(wǎng)系統(tǒng)中的其他設(shè)備。

2）缺陷設(shè)備被帶出辦公區(qū)

將未打補(bǔ)丁或有安全缺陷的設(shè)備帶出辦公場(chǎng)所，并與互聯(lián)網(wǎng)相連，是此次WannaCry感染內(nèi)網(wǎng)設(shè)備的第二大主要原因。WannaCry爆發(fā)初期，時(shí)逢“一帶一路”大會(huì)前夕。很多機(jī)構(gòu)在此期間進(jìn)行了聯(lián)合集中辦公，其中就不乏有機(jī)構(gòu)將內(nèi)部辦公網(wǎng)上電腦設(shè)備被搬到了集中辦公地點(diǎn)使用。這些電腦日常缺乏有效維護(hù)，未打補(bǔ)丁，結(jié)果不慎與互聯(lián)網(wǎng)相連時(shí)就感染了WannaCry。而這些被帶出辦公區(qū)的缺欠電腦，又由于工作需要，持續(xù)的，或不時(shí)的會(huì)通過VPN、專線等方式與機(jī)構(gòu)內(nèi)網(wǎng)相連，于是又將WannaCry感染到了機(jī)構(gòu)的內(nèi)網(wǎng)設(shè)備中。

3）協(xié)同辦公網(wǎng)絡(luò)未全隔離

這是一類比較特殊的問題，但在某些政企機(jī)構(gòu)中比較突出。即，某些機(jī)構(gòu)在其辦公系統(tǒng)或生產(chǎn)系統(tǒng)中，同時(shí)使用了多個(gè)功能相互獨(dú)立，但又需要協(xié)同運(yùn)作的網(wǎng)絡(luò)系統(tǒng)；而這些協(xié)同工作的網(wǎng)絡(luò)系統(tǒng)中至少有一個(gè)是可以與互聯(lián)網(wǎng)相連的，從而導(dǎo)致其他那些被“物理隔離”的網(wǎng)絡(luò)，在協(xié)同工作過程中，因網(wǎng)絡(luò)通信而被病毒感染。

4）防火墻未關(guān)閉445端口

這一問題主要發(fā)生在政企機(jī)構(gòu)內(nèi)部的不同子網(wǎng)之間。大型政企機(jī)構(gòu)，或存在跨地域管理的政企機(jī)構(gòu)之中，發(fā)生此類問題的較多。一般來說，企業(yè)使用的防火墻設(shè)備，大多會(huì)對(duì)互聯(lián)網(wǎng)訪問關(guān)閉445端口。但很多企業(yè)在內(nèi)部多個(gè)子網(wǎng)系統(tǒng)之間的防火墻（內(nèi)部防火墻）上，卻沒有關(guān)閉445端口。從而導(dǎo)致這些政企機(jī)構(gòu)內(nèi)部的某個(gè)子網(wǎng)中一旦有一臺(tái)設(shè)備感染了WannaCry（可能是前述任何一種原因），病毒就會(huì)穿透不同子網(wǎng)之間防火墻，直接對(duì)其他子網(wǎng)系統(tǒng)中的設(shè)備發(fā)動(dòng)攻擊，最終導(dǎo)致那些看起來相互隔離的多個(gè)子網(wǎng)系統(tǒng)全部淪陷，甚至有個(gè)別企業(yè)的共享服務(wù)器被感染后，直接導(dǎo)致其在各地分支機(jī)構(gòu)的網(wǎng)絡(luò)設(shè)備全部中招。

5）辦公網(wǎng)與生活網(wǎng)未隔離

這一問題在某些超大型政企機(jī)構(gòu)中比較突出。受到歷史、地理等復(fù)雜因素的影響，這些機(jī)構(gòu)大多自行建設(shè)了規(guī)模非常龐大的內(nèi)部網(wǎng)絡(luò)，而且這些網(wǎng)絡(luò)本身并未進(jìn)行非常有效的功能隔離。特別是這些企業(yè)在辦公區(qū)附近自建的家屬樓、飯店、網(wǎng)吧，及其他一些娛樂場(chǎng)所，其網(wǎng)絡(luò)也往往是直接接入了企業(yè)的內(nèi)部網(wǎng)絡(luò)，而沒有與辦公區(qū)的網(wǎng)絡(luò)進(jìn)行有效隔離。這也就進(jìn)一步加劇了不同功能區(qū)電腦設(shè)備之間的交叉感染情況。

6）外網(wǎng)設(shè)備分散無人管理

這也是一類比較特殊，但在某些政企機(jī)構(gòu)中比較突出的問題。產(chǎn)生這一問題的主要原因是：某些政企機(jī)構(gòu)，出于管轄、服務(wù)等目的，需要將自己的電腦設(shè)備放在關(guān)聯(lián)第三方的辦公環(huán)境中使用；但這些關(guān)聯(lián)第三方可能是多家其他的政企機(jī)構(gòu)，辦公網(wǎng)點(diǎn)也可能分散在全國各地，甚至是一個(gè)城市中的多處不同地點(diǎn)；由此就導(dǎo)致了這些設(shè)備雖然被經(jīng)常使用，但卻長期無人進(jìn)行安全管理和維護(hù)，電腦系統(tǒng)長期不打補(bǔ)丁，也不殺毒的情況，所以也有相當(dāng)數(shù)量的電腦中招。

七、其他暴露出來的問題簡析

(一)意識(shí)問題

員工甚至IT管理者的安全意識(shí)差，輕視安全問題，不能對(duì)突發(fā)安全事件做出正確的判斷，是本次永恒之藍(lán)勒索蠕蟲在某些機(jī)構(gòu)中未能做到第一時(shí)間有效處理的重要原因。具體表現(xiàn)在以下幾個(gè)主要方面：

1）病毒預(yù)警不在乎：很多企業(yè)員工或管理者根本不相信會(huì)有嚴(yán)重的病毒爆發(fā)，即便是看到國家有關(guān)部門的預(yù)警公告后，也毫不在意。這種傾向在越低層的員工中越明顯。

2）管理規(guī)定不遵守：政企機(jī)構(gòu)中普遍存在上班時(shí)間上網(wǎng)購物，上色情網(wǎng)站的情況；還有很多私自搭建WiFi熱點(diǎn)，造成了機(jī)構(gòu)內(nèi)網(wǎng)暴露。而這些行為，在絕大多數(shù)機(jī)構(gòu)中都是明文禁止的。

3）應(yīng)急方案不執(zhí)行：看到企業(yè)緊急下發(fā)的安全須知、應(yīng)急辦法和開機(jī)操作規(guī)范等材料，很多機(jī)構(gòu)員工仍然我行我素，不按要求操作。

4）風(fēng)險(xiǎn)提示不滿意：有很多員工看到安全軟件進(jìn)行風(fēng)險(xiǎn)提示，仍然選擇放行相關(guān)程序或網(wǎng)頁；甚至有人反饋要求安全廠商不要對(duì)某些惡意軟件或惡意網(wǎng)站進(jìn)行風(fēng)險(xiǎn)提示。

(二)管理問題

從永恒之藍(lán)勒索蠕蟲事件來看，凡是出現(xiàn)較大問題的政企機(jī)構(gòu)，其內(nèi)部的安全管理也普遍存在非常明顯的問題。具體也表現(xiàn)在以下幾個(gè)方面：

1）業(yè)務(wù)優(yōu)先忽視安全：很多政企機(jī)構(gòu)非常強(qiáng)調(diào)業(yè)務(wù)優(yōu)先，并要求任何安全措施的部署都不得影響或減緩業(yè)務(wù)工作的開展；甚至有個(gè)別機(jī)構(gòu)在明知自身網(wǎng)絡(luò)系統(tǒng)及電腦設(shè)備存在重大安全漏洞或已大量感染病毒的情況，仍然要求業(yè)務(wù)系統(tǒng)帶毒運(yùn)行，拒絕安全排查和治理。更有個(gè)別機(jī)構(gòu)為保證信息傳達(dá)的及時(shí)，上級(jí)部門領(lǐng)導(dǎo)即便收到了帶毒郵件，看到了安全軟件的風(fēng)險(xiǎn)提示后，仍然會(huì)堅(jiān)持向下級(jí)部門進(jìn)行轉(zhuǎn)發(fā)。

2）安全監(jiān)管地位較低：政企機(jī)構(gòu)中的安全監(jiān)管機(jī)構(gòu)，安全監(jiān)管領(lǐng)導(dǎo)的行政級(jí)別較低，缺乏話語權(quán)和推動(dòng)力，難以推動(dòng)落實(shí)網(wǎng)絡(luò)安全規(guī)范，無法及時(shí)有效應(yīng)對(duì)實(shí)時(shí)威脅，也是大規(guī)模中招企業(yè)普遍存在的一個(gè)典型特征。

3）管理措施無法落實(shí)：由于安全監(jiān)管部門在機(jī)構(gòu)內(nèi)的地位較低，日常的安全教育和培訓(xùn)又十分缺乏，從而導(dǎo)致了很多政企機(jī)構(gòu)內(nèi)部的安全管理措施無法落實(shí)。

(三)技術(shù)問題

客觀的說，通過員工教育來提高整體安全意識(shí)，在實(shí)踐中往往是難以實(shí)現(xiàn)的。采用必要的技術(shù)手段還是十分必須的。從永恒之藍(lán)勒索蠕蟲的應(yīng)急過程來看，政企機(jī)構(gòu)內(nèi)網(wǎng)設(shè)備遭大規(guī)模感染的主要技術(shù)原因有以下幾個(gè)方面：

1）物理隔離網(wǎng)絡(luò)缺乏外聯(lián)檢測(cè)控制：很多采用物理隔離網(wǎng)絡(luò)的機(jī)構(gòu)，僅僅是在網(wǎng)絡(luò)建設(shè)方面搭建了一張與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)，而對(duì)聯(lián)網(wǎng)設(shè)備本身是否真的會(huì)連接到互聯(lián)網(wǎng)上，則沒有采取任何實(shí)際有效的技術(shù)檢測(cè)或管理方法。

2）邏輯隔離網(wǎng)絡(luò)缺乏內(nèi)網(wǎng)分隔管理：采取邏輯隔離的網(wǎng)絡(luò)，很多都存在內(nèi)部子網(wǎng)之間邊界不清的問題。這一方面表現(xiàn)為很多不同功能的網(wǎng)絡(luò)設(shè)備完全沒有任何隔離措施——如前述的某些大型政企機(jī)構(gòu)自建的家屬區(qū)、飯店、網(wǎng)吧等的網(wǎng)絡(luò)與辦公網(wǎng)沒有隔離；另一方面則表現(xiàn)為盡管子網(wǎng)之間有相互隔離，但由于配置不當(dāng)導(dǎo)致措施不夠有效。

3）隔離網(wǎng)內(nèi)電腦不打補(bǔ)丁情況嚴(yán)重：電腦不打補(bǔ)丁，是永恒之藍(lán)勒索蠕蟲能夠大范圍攻擊內(nèi)網(wǎng)設(shè)備的根本原因。而政企單位內(nèi)部隔離網(wǎng)絡(luò)中的設(shè)備不打補(bǔ)丁的情況實(shí)際上非常普遍，但原因卻是多種多樣的。

我們不妨先來看看永恒之藍(lán)相關(guān)的幾個(gè)關(guān)鍵時(shí)間點(diǎn)： 

表2  永恒之藍(lán)關(guān)鍵事件對(duì)應(yīng)的時(shí)間點(diǎn)

也就是說，永恒之藍(lán)勒索蠕蟲在爆發(fā)之前，我們是有58天的時(shí)間可以布防的，但因?yàn)楹芏嗾髥挝辉谝庾R(shí)、管理、技術(shù)方面存在一些問題，導(dǎo)致平時(shí)的安全運(yùn)營工作沒有做到位，才會(huì)在永恒之藍(lán)來臨之際手忙腳亂。

對(duì)于為何有大量的政企機(jī)構(gòu)不給內(nèi)網(wǎng)電腦打補(bǔ)丁這個(gè)具體問題，我們也一并在這里進(jìn)行一個(gè)歸納總結(jié)。具體如下：

1）認(rèn)為隔離措施足夠安全

很多機(jī)構(gòu)管理者想當(dāng)然的認(rèn)為隔離的網(wǎng)絡(luò)是安全的，特別是物理隔離可以100%的保證內(nèi)網(wǎng)設(shè)備安全，因此不必增加打補(bǔ)丁、安全管控和病毒查殺等配置。

2）認(rèn)為每月打補(bǔ)丁太麻煩

在那些缺乏補(bǔ)丁集中管理措施的機(jī)構(gòu)，業(yè)務(wù)系統(tǒng)過于復(fù)雜的機(jī)構(gòu)，或者是打補(bǔ)丁后很容易出現(xiàn)異常的機(jī)構(gòu)中，此類觀點(diǎn)非常普遍。

3）打補(bǔ)丁影響業(yè)務(wù)占帶寬

很多帶寬資源緊張或是內(nèi)網(wǎng)設(shè)備數(shù)量眾多的機(jī)構(gòu)都持這一觀點(diǎn)。有些機(jī)構(gòu)即便是采用了內(nèi)網(wǎng)統(tǒng)一下發(fā)補(bǔ)丁的方式，仍然會(huì)由于內(nèi)網(wǎng)帶寬有限、防火墻速率過低，或補(bǔ)丁服務(wù)器性能不足等原因，導(dǎo)致內(nèi)部網(wǎng)絡(luò)擁塞，進(jìn)而影響正常業(yè)務(wù)。

4）打補(bǔ)丁影響系統(tǒng)兼容性

因?yàn)楹芏鄼C(jī)構(gòu)內(nèi)部的辦公系統(tǒng)或業(yè)務(wù)系統(tǒng)都是自行研發(fā)或多年前研發(fā)的，很多系統(tǒng)早已多年無人維護(hù)升級(jí)，如果給內(nèi)網(wǎng)電腦全面打補(bǔ)丁，就有可能導(dǎo)致某些辦公系統(tǒng)無法再正常使用。

5）打補(bǔ)丁可能致電腦藍(lán)屏

這主要是因?yàn)槟承C(jī)構(gòu)內(nèi)部電腦的軟硬件環(huán)境復(fù)雜，容易出現(xiàn)系統(tǒng)沖突。如主板型號(hào)過老，長期未更新的軟件或企業(yè)自用軟件可能與微軟補(bǔ)丁沖突等，都有可能導(dǎo)致電腦打補(bǔ)丁后出現(xiàn)藍(lán)屏等異常情況。

綜上所述，很多政企機(jī)構(gòu)不給隔離網(wǎng)環(huán)境下的電腦打補(bǔ)丁，也并不都是因?yàn)槿狈Π踩庾R(shí)或怕麻煩，也確實(shí)有很多現(xiàn)實(shí)的技術(shù)困難。但從更深的層次來看，絕大多數(shù)政企機(jī)構(gòu)在給電腦打補(bǔ)丁過程中所遇到的問題，本質(zhì)上來說都是信息化建設(shè)與業(yè)務(wù)發(fā)展不相稱造成的，進(jìn)而導(dǎo)致了必要的安全措施無法實(shí)施的問題。所以，企業(yè)在不斷加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的同時(shí)，也必須不斷提高信息化建設(shè)的整體水平，逐步淘汰老舊設(shè)備，老舊系統(tǒng)，老舊軟件。否則，再好的安全技術(shù)與安全系統(tǒng)，也未必能發(fā)揮出最好的，甚至是必要的作用。

第四章 勒索軟件攻擊與響應(yīng)典型案例

一、永恒之藍(lán)攻擊與響應(yīng)典型案例

永恒之藍(lán)來勢(shì)洶洶，在最為關(guān)鍵的72小時(shí)內(nèi)，所有政企單位都在爭分奪秒：已經(jīng)感染的要控制風(fēng)險(xiǎn)擴(kuò)散，尚未感染的要加固防線避免感染。

(一)某大型能源機(jī)構(gòu)的應(yīng)急響應(yīng)處置方案

場(chǎng)景回顧

2017年5月12日14:26，360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)安全態(tài)勢(shì)異常，啟動(dòng)黃色應(yīng)急響應(yīng)程序，安全衛(wèi)士在其官方微博上發(fā)布永恒之藍(lán)緊急預(yù)警。5月13日凌晨1:23’，360安全監(jiān)測(cè)與響應(yīng)中心接到某大型能源企業(yè)的求助，反映其內(nèi)部生產(chǎn)設(shè)備發(fā)現(xiàn)大規(guī)模病毒感染跡象，部分生產(chǎn)系統(tǒng)已被迫停產(chǎn)。360安全監(jiān)測(cè)與響應(yīng)中心的安全服務(wù)人員在接到求助信息后，立即趕往該單位總部了解實(shí)際感染情況。

疫情分析

初步診斷認(rèn)為：WannaCry病毒已在該機(jī)構(gòu)全國范圍內(nèi)的生產(chǎn)系統(tǒng)中大面積傳播和感染，短時(shí)間內(nèi)病毒已在全國各地內(nèi)迅速擴(kuò)散，但仍處于病毒傳播初期；其辦公網(wǎng)環(huán)境、各地業(yè)務(wù)終端（專網(wǎng)環(huán)境）都未能幸免，系統(tǒng)面臨崩潰，業(yè)務(wù)無法開展，事態(tài)非常嚴(yán)重。

進(jìn)一步研究發(fā)現(xiàn)，該機(jī)構(gòu)大規(guī)模感染W(wǎng)annaCry的原因與該機(jī)構(gòu)業(yè)務(wù)系統(tǒng)架構(gòu)存在一定的關(guān)聯(lián)；用戶系統(tǒng)雖然處于隔離網(wǎng)，但是存在隔離不徹底的問題；且存在某些設(shè)備、系統(tǒng)的協(xié)同機(jī)制通過445端口來完成的情況。

處置方案

安服人員第一時(shí)間建議全網(wǎng)斷開445端口，迅速對(duì)中招電腦與全網(wǎng)機(jī)器進(jìn)行隔離，形成初步處置措施。隨后，針對(duì)該企業(yè)實(shí)際情況，制定了應(yīng)急處置措施，提供企業(yè)級(jí)免疫工具并開始布防。該企業(yè)在全國范圍內(nèi)針對(duì)該病毒發(fā)送緊急通知，發(fā)布內(nèi)部應(yīng)急處理和避免感染病毒的終端擴(kuò)大傳播的公告。

5月16日，病毒蔓延得到有效控制，染毒終端數(shù)量未繼續(xù)增長，基本完成控制及防御工作。整個(gè)過程中，該企業(yè)和安全廠商全力協(xié)作配合，監(jiān)控現(xiàn)場(chǎng)染毒情況、病毒查殺情況，最終使病毒得到有效控制。

(二)某全國聯(lián)網(wǎng)機(jī)構(gòu)的應(yīng)急響應(yīng)處置方案

場(chǎng)景回顧

5月13日上午9:00許，某大型政府機(jī)構(gòu)接到安全廠商（360）工作人員打來的安全預(yù)警電話。在全面了解“永恒之藍(lán)”病毒的爆發(fā)態(tài)勢(shì)后，總局領(lǐng)導(dǎo)高度重視，立刻提高病毒應(yīng)對(duì)等級(jí)。隨機(jī)，安全公司在該機(jī)構(gòu)的駐廠人員立即對(duì)該政府機(jī)構(gòu)進(jìn)行現(xiàn)場(chǎng)勘測(cè)。

疫情分析

檢測(cè)結(jié)果顯示：該機(jī)構(gòu)在各地都布置了防火墻設(shè)備，并且445端口處于關(guān)閉狀態(tài)，而且統(tǒng)一在全國各地布置了終端安全軟件，但是仍有終端電腦存在未及時(shí)打補(bǔ)丁情況。盡管該機(jī)構(gòu)尚未出現(xiàn)中毒電腦，但是系統(tǒng)仍然存在安全隱患、有重大潛在風(fēng)險(xiǎn)。

處置方案

應(yīng)急指揮小組與安全公司駐廠工作人員協(xié)同明確應(yīng)對(duì)方案：首先，優(yōu)先升級(jí)總局一級(jí)控制中心病毒庫、補(bǔ)丁庫，確保補(bǔ)丁、病毒庫最新；隨后，開始手動(dòng)升級(jí)省級(jí)二級(jí)控制中心，確保升級(jí)到最新病毒庫和補(bǔ)丁庫；對(duì)于不能級(jí)聯(lián)升級(jí)的采用遠(yuǎn)程升級(jí)或者通知相關(guān)管理員手動(dòng)更新；進(jìn)一步對(duì)系統(tǒng)內(nèi)各終端開展打補(bǔ)丁、升級(jí)病毒庫、封閉端口工作。

最終，在病毒爆發(fā)72小時(shí)之內(nèi)，該機(jī)構(gòu)未出現(xiàn)一起感染事件。

(三)某市視頻監(jiān)控系統(tǒng)應(yīng)急響應(yīng)處置方案

場(chǎng)景回顧

5月13日凌晨3:00許，360安全監(jiān)測(cè)與響應(yīng)中心接到某單位（市級(jí)）電話求助，稱其在全市范圍內(nèi)的的視頻監(jiān)控系統(tǒng)突然中斷了服務(wù)，大量監(jiān)控設(shè)備斷開，系統(tǒng)基本癱瘓。安服人員第一時(shí)間進(jìn)行了遠(yuǎn)程協(xié)助，初步判斷：猜測(cè)可能是監(jiān)控系統(tǒng)的服務(wù)器遭到攻擊感染了勒索病毒，進(jìn)而感染了終端電腦，建議立即逐臺(tái)關(guān)閉Server服務(wù)，并運(yùn)行免疫工具，同時(shí)提取病毒樣本進(jìn)行分析。

疫情分析

安服人員現(xiàn)場(chǎng)實(shí)地勘察后發(fā)現(xiàn)：確實(shí)是該視頻監(jiān)控系統(tǒng)的服務(wù)器中招了，罪魁禍?zhǔn)渍荳annaCry，并且由于服務(wù)器中招已經(jīng)使部分辦公終端中招。溯源分析顯示，“永恒之藍(lán)”先在一臺(tái)視頻網(wǎng)絡(luò)服務(wù)器上發(fā)作，然后迅速擴(kuò)散，導(dǎo)致該市局視頻專網(wǎng)終端及部分服務(wù)器（大約20多臺(tái)）設(shè)備被病毒感染，數(shù)據(jù)均被加密，導(dǎo)致大量監(jiān)控?cái)z像頭斷開連接。斷網(wǎng)將對(duì)當(dāng)?shù)氐纳a(chǎn)生活產(chǎn)生重要影響。

處置方案

安服人員首先在交換機(jī)上配置445端口阻塞策略；其次，分發(fā)勒索病毒免疫工具，在未被感染的終端和服務(wù)器上運(yùn)行，防止病毒進(jìn)一步擴(kuò)散；另外，對(duì)于在線終端，第一時(shí)間推送病毒庫更新和漏洞補(bǔ)丁庫；由于部分被加密的服務(wù)器在被感染之前對(duì)重要數(shù)據(jù)已經(jīng)做了備份，因此對(duì)這些服務(wù)器進(jìn)行系統(tǒng)還原，并及時(shí)采取封端口、打補(bǔ)丁等措施，避免再次感染。

至5月16日，該機(jī)構(gòu)的視頻監(jiān)控系統(tǒng)已經(jīng)完全恢復(fù)正常運(yùn)行，13日凌晨被感染的終端及服務(wù)器以外，沒有出現(xiàn)新的被感染主機(jī)。

(四)某大企業(yè)提前預(yù)警緊急處置避免感染

場(chǎng)景回顧

5月13日，某單位信息化部門工作人員看到了媒體報(bào)道的永恒之藍(lán)勒索蠕蟲事件。雖然該單位內(nèi)部尚未發(fā)現(xiàn)感染案例，但考慮到自身沒有全面部署企業(yè)級(jí)安全管理軟件，所以對(duì)自身安全非常擔(dān)憂。5月14日上午8:00，該單位緊急打電話向360安全監(jiān)測(cè)與響應(yīng)中心求助。

疫情分析

安服人員現(xiàn)場(chǎng)實(shí)際勘測(cè)后發(fā)現(xiàn)：該機(jī)構(gòu)實(shí)際上已經(jīng)部署了防火墻、上網(wǎng)行為管理等網(wǎng)關(guān)設(shè)備，但是內(nèi)部沒有使用企業(yè)級(jí)安全軟件，使用的是個(gè)人版安全軟件。所以難以在很短的時(shí)間內(nèi)摸清內(nèi)部感染情況。

處置方案

在安服人員協(xié)助下，該單位開始進(jìn)行全面的排查，并采取必要的防護(hù)措施。在NGFW設(shè)備上開啟控制策略，針對(duì)此次重點(diǎn)防護(hù)端口445、135、137、138、139進(jìn)行阻斷；同時(shí)，將威脅特征庫、應(yīng)用協(xié)議庫立即同步至最新狀態(tài)；在上網(wǎng)行為管理設(shè)備中更新應(yīng)用協(xié)議庫狀態(tài)，部署相應(yīng)控制策略，對(duì)“永恒之藍(lán)勒索蠕蟲”進(jìn)行全網(wǎng)阻塞。

在病毒爆發(fā)72小時(shí)之內(nèi)，該機(jī)構(gòu)未出現(xiàn)一起感染事件。但是，在第一時(shí)間該機(jī)構(gòu)無法準(zhǔn)確判斷自己的實(shí)際感染情況，造成恐慌。經(jīng)過此次事件，該機(jī)構(gòu)已經(jīng)充分認(rèn)識(shí)到企業(yè)級(jí)終端安全管理的重要性。

(五)某新能源汽車廠商的工業(yè)控制系統(tǒng)被勒索

場(chǎng)景回顧

2017年6月9日，某新能源汽車制造商的工業(yè)控制系統(tǒng)開始出現(xiàn)異常。當(dāng)日晚上19時(shí)，該機(jī)構(gòu)生產(chǎn)流水線的一個(gè)核心部分：動(dòng)力電池生產(chǎn)系統(tǒng)癱瘓。這也就意味著所有電動(dòng)車的電力電機(jī)都出不了貨，對(duì)該企業(yè)的生產(chǎn)產(chǎn)生了極其重大的影響。該機(jī)構(gòu)緊急向360安全監(jiān)測(cè)與響應(yīng)中心進(jìn)行了求助。

實(shí)際上，這是永恒之藍(lán)勒索蠕蟲的二次突襲，而該企業(yè)的整個(gè)生產(chǎn)系統(tǒng)已經(jīng)幸運(yùn)的躲過了5月份的第一輪攻擊，卻沒有躲過第二次。監(jiān)測(cè)顯示，這種第二輪攻擊才被感染情況大量存在，并不是偶然的。

疫情分析

安服人員現(xiàn)場(chǎng)實(shí)際勘測(cè)發(fā)現(xiàn)：該機(jī)構(gòu)的工業(yè)控制系統(tǒng)已經(jīng)被WannaCry感染，而其辦公終端系統(tǒng)基本無恙，這是因其辦公終端系統(tǒng)上安裝了比較完善的企業(yè)級(jí)終端安全軟件。但在該企業(yè)的工業(yè)控制系統(tǒng)上，尚未部署任何安全措施。感染原因主要是由于其系統(tǒng)存在公開暴露在互聯(lián)網(wǎng)上的接口。后經(jīng)綜合檢測(cè)分析顯示，該企業(yè)生產(chǎn)系統(tǒng)中感染W(wǎng)annaCry的終端數(shù)量竟然占到了整個(gè)生產(chǎn)系統(tǒng)電腦終端數(shù)量的20%。

事實(shí)上，該企業(yè)此前早已制定了工業(yè)控制系統(tǒng)的安全升級(jí)計(jì)劃，但由于其生產(chǎn)線上的設(shè)備環(huán)境復(fù)雜，操作系統(tǒng)五花八門（WinCE終端、WinXP終端及其他各種各樣的終端都會(huì)碰到），硬件設(shè)備也新老不齊（事后測(cè)試發(fā)現(xiàn)，其流水線上最老的電腦設(shè)備有10年以上歷史），所以部署安全措施將面臨巨大的兼容性考驗(yàn)，所以整個(gè)工控系統(tǒng)的安全措施遲遲沒有部署。

處置方案

因該廠商的生產(chǎn)系統(tǒng)中沒有企業(yè)級(jí)終端安全軟件，于是只能逐一對(duì)其電腦進(jìn)行排查。一天之后也僅僅是把動(dòng)力電池的生產(chǎn)系統(tǒng)救活。此后，從6月9日開始一直到7月底差不多用了兩個(gè)月時(shí)間，該企業(yè)生產(chǎn)網(wǎng)里中的帶毒終端才被全部清理干凈。經(jīng)過此次事件，該機(jī)構(gòu)對(duì)工業(yè)控制系統(tǒng)安全性更加重視，目前已經(jīng)部署了工控安全防護(hù)措施。經(jīng)過測(cè)試和驗(yàn)證，兼容性問題也最終得到了很好的解決。

二、混入升級(jí)通道的類Petya勒索病毒

病毒簡介

類Petya病毒是2017年全球流行并造成嚴(yán)重破壞的一類勒索軟件。具體包括Petya病毒，NotPetya病毒和BadRabbit病毒（壞兔子）三種。從純粹的技術(shù)角度看，類Petya病毒的三個(gè)子類并不屬于同一木馬家族，但由于其攻擊行為具有很多相似之處，因此有很多安全工作者將其歸并為一類勒索軟件，即類Petya病毒。

Petya病毒主要通過誘導(dǎo)用戶下載的方式進(jìn)行傳播。病毒會(huì)修改中招機(jī)器的MBR（主引導(dǎo)記錄，Master Boot Record）并重啟設(shè)備。重啟后，被感染電腦中MBR區(qū)的惡意代碼會(huì)刪除磁盤文件索引（相當(dāng)于刪除所有文件） ，導(dǎo)致系統(tǒng)崩潰和文件丟失。

NotPetya主要通過永恒之藍(lán)漏洞進(jìn)行初次傳播。破壞方式同Petya相同（具體實(shí)現(xiàn)上的技術(shù)細(xì)節(jié)略有不同）。其后期版本還會(huì)通過局域網(wǎng)弱口令或漏洞進(jìn)行二次傳播。2017年6月底爆發(fā)在烏克蘭、俄羅斯多個(gè)國家的勒索軟件攻擊事件，實(shí)際上就是NotPetya的攻擊活動(dòng)。由于其行為與Petya及其類似，因此一開始被很對(duì)人誤認(rèn)為是Petya病毒攻擊。由于NotPetya存在破壞性刪除文件的行為，因此，即便支付了贖金，數(shù)據(jù)恢復(fù)的可能性也不大。關(guān)于NotPetya的真實(shí)攻擊目的，目前業(yè)界也還有很多不同的看法。

BadRabbit主要通過誘導(dǎo)用戶下載進(jìn)行初次傳播。會(huì)通過一般的勒索軟件常用的不對(duì)稱加密算法加密用戶文件，并修改MBR導(dǎo)致用戶無法進(jìn)入系統(tǒng)。同時(shí)，還會(huì)通過局域網(wǎng)弱口令或漏洞進(jìn)行二次傳播。

場(chǎng)景回顧

2017年6月27日晚，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國遭受大規(guī)?！邦怭etya”勒索病毒襲擊，該病毒遠(yuǎn)程鎖定設(shè)備，然后索要贖金。其中，烏克蘭地區(qū)受災(zāi)最為嚴(yán)重，政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場(chǎng)都不同程度的受到了影響，包括首都基輔的鮑里斯波爾國際機(jī)場(chǎng)（Boryspil International Airport）、烏克蘭國家儲(chǔ)蓄銀行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄羅斯石油公司（Rosneft）和烏克蘭一些商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊。

疫情分析

根據(jù)事后的分析，此次事件在短時(shí)間內(nèi)肆虐歐洲大陸，在于其利用了在烏克蘭流行的會(huì)計(jì)軟件M.E.Doc進(jìn)行傳播。這款軟件是烏克蘭政府要求企業(yè)安裝的，覆蓋率接近50%。更為嚴(yán)重的是，根據(jù)安全機(jī)構(gòu)的研究，M.E.Doc公司的升級(jí)服務(wù)器在問題爆發(fā)前接近三個(gè)月就已經(jīng)被控制。也就是說，攻擊者已經(jīng)控制了烏克蘭50%的公司的辦公軟件升級(jí)達(dá)三個(gè)月之久。類Petya攻擊只是這個(gè)為期三個(gè)月的控制的最后終結(jié)，目的就是盡可能多的破壞掉，避免取證。至于在之前的三個(gè)月當(dāng)中已經(jīng)進(jìn)行了什么活動(dòng)，已無法得知了。

三、服務(wù)器入侵攻擊與響應(yīng)典型案例

(一)某關(guān)鍵基礎(chǔ)設(shè)施的公共服務(wù)器被加密

病毒簡介

勒索病毒是個(gè)舶來品，無論是英文版的勒索信息，還是比特幣這一贖金交付方式，都透漏著濃濃的國際化味道。而最近，360威脅情報(bào)中心卻發(fā)現(xiàn)一款國產(chǎn)化的勒索病毒。該病毒為國內(nèi)黑客制造，并第一次以樂隊(duì)名字MCR命名，即稱該病毒為MCR勒索病毒。該病毒在2017年7月底首次出現(xiàn)，采用python語言編寫。

該病毒加密文件后，文件擴(kuò)展名會(huì)變?yōu)椤?MyChemicalRomance4EVER”。而擴(kuò)展名中的“My Chemical Romance”，其實(shí)是源自一支美國新澤西州的同名朋克樂隊(duì)。該樂隊(duì)成立于2002年，十一年后的2013年宣告解散。朋克這種充滿了叛逆與不羈的音樂風(fēng)格向來深受年輕人的喜愛。

該勒索軟件的特點(diǎn)是：在加密的文件類型列表中，除了大量的文檔類型外，還包括有比特幣錢包文件和一些較重要的數(shù)據(jù)庫文件。而另一個(gè)更大的特點(diǎn)則是，該木馬不同于以往的勒索軟件使用不對(duì)稱加密算法，而是采用了AES對(duì)稱加密算法，并且用于加/解密的密鑰則是硬編碼在腳本中的：“MyChemicalRomance4EVER_tkfy_lMCR”中。因?yàn)槭褂脤?duì)稱加密算法，并且密鑰可以從腳本中獲得。所以在不支付贖金的情況，被加密的文件資料也可以比較容易的被解密恢復(fù)。

場(chǎng)景回顧

2017年8月5日，某公共服務(wù)系統(tǒng)單位的工作人員在對(duì)服務(wù)器進(jìn)行操作時(shí)，發(fā)現(xiàn)服務(wù)器上的Oracle數(shù)據(jù)庫后綴名都變?yōu)榱恕?MyChemicalRomance4EVER”，所有文件都無法打開。該IT人員懷疑自己的服務(wù)器被勒索軟件進(jìn)行了加密，因此向360安全監(jiān)測(cè)與響應(yīng)中心進(jìn)行求助。

圖28、29

疫情分析

安全人員現(xiàn)場(chǎng)勘測(cè)發(fā)現(xiàn)，該公共服務(wù)系統(tǒng)感染的是MCR勒索病毒。該病毒名字起的很“朋克”，但傳播方式卻頗為老套，即偽裝成一些對(duì)廣大網(wǎng)民比較有吸引力的軟件對(duì)外發(fā)布，誘導(dǎo)受害者下載并執(zhí)行。比如我們現(xiàn)場(chǎng)截獲并拿來分析的這個(gè)樣本，就自稱是一款叫做“VortexVPN”的VPN軟件。除此之外，還有類似于PornDownload、ChaosSet、BitSearch等，基本都是廣大網(wǎng)友都懂得的各種工具軟件。

而與眾不同的是，這款病毒竟然是用Python語言編寫了木馬腳本，然后再打包成一個(gè).exe的可執(zhí)行程序。首先，木馬會(huì)判斷自身進(jìn)程名是否為systern.exe。如果不是，則將自身復(fù)制為C:\Users\Public\systern.exe并執(zhí)行。之后，木馬釋放s.bat批處理腳本，關(guān)閉各種數(shù)據(jù)庫和Web服務(wù)及進(jìn)程。接下來，就是遍歷系統(tǒng)中所有文件并加密且留下勒索信息了。當(dāng)然，為了避開敏感的系統(tǒng)文件，代碼有意避開了“C:\Documents and Settings”和“C:\Windows”兩個(gè)目錄。最終木馬會(huì)調(diào)用系統(tǒng)的wevtutil命令，對(duì)系統(tǒng)日志中的“系統(tǒng)”、“安全”和“應(yīng)用程序”三部分日志內(nèi)容進(jìn)行清理，并刪除自身，以求不留痕跡。

處置方案

安服人員發(fā)現(xiàn)該勒索軟件程序?qū)懙挠新┒矗芍苯永?60解密工具恢復(fù)數(shù)據(jù)。因此，在未向黑客支付一分錢的前提下，360幫助該單位成功的恢復(fù)了所有被加密的文件。建議該企業(yè)員工：不要從不明來源下載程序；安裝殺毒軟件并開啟監(jiān)控；更不要相信所謂外掛、XX工具、XX下載器一類的程序宣稱的殺軟誤報(bào)論。

(二)某云平臺(tái)服務(wù)上托管的服務(wù)器被加密

病毒簡介

2016年2月，在國外最先發(fā)現(xiàn)的一款能夠通過Java Applet傳播的跨平臺(tái)（Windows、MacOS）惡意軟件Crysis開始加入勒索功能，并于8月份被發(fā)現(xiàn)用于攻擊澳大利亞和新西蘭的企業(yè)。Crysis惡意軟件甚至能夠感染VMware虛擬機(jī)，還能夠全面收集受害者的系統(tǒng)用戶名密碼，鍵盤記錄，系統(tǒng)信息，屏幕截屏，聊天信息，控制麥克風(fēng)和攝像頭，現(xiàn)在又加入了勒索功能，其威脅性大有取代TeslaCrypt和對(duì)手Locky勒索軟件的趨勢(shì)。

Crysis勒索軟件的可怕之處在于其使用暴力攻擊手段，任何一個(gè)技能嫻熟的黑客都可以使用多種特權(quán)升級(jí)技術(shù)來獲取系統(tǒng)的管理權(quán)限，尋找到更多的服務(wù)器和加密數(shù)據(jù)來索取贖金。主要攻擊目標(biāo)包括Windows服務(wù)器（通過遠(yuǎn)程爆破RDP賬戶密碼入侵）、MAC、個(gè)人PC電腦等。該勒索軟件最大特點(diǎn)是除了加密文檔外，可執(zhí)行文件也加密，只保留系統(tǒng)啟動(dòng)運(yùn)行關(guān)鍵文件，破壞性極大。

場(chǎng)景回顧

2017年10月15日，某云平臺(tái)服務(wù)商，發(fā)現(xiàn)托管在自己機(jī)房的用戶服務(wù)器上的數(shù)據(jù)均被加密，其中包含大量合同文件、財(cái)務(wù)報(bào)表等文件都無法打開。該IT人員懷疑自己的服務(wù)器被勒索軟件進(jìn)行了加密，因此向360安全監(jiān)測(cè)與響應(yīng)中心進(jìn)行求助。

疫情分析

安服人員現(xiàn)場(chǎng)實(shí)際勘測(cè)發(fā)現(xiàn)：該機(jī)構(gòu)的公共服務(wù)器被暴露在公網(wǎng)環(huán)境中，并且使用的是弱密碼；黑客通過暴力破解，獲取到該服務(wù)器的密碼，并使用遠(yuǎn)程登錄的方式，成功的登錄到該服務(wù)器上。黑客在登陸服務(wù)器后，手動(dòng)釋放了Crysis病毒。

處置方案

因其服務(wù)器上存儲(chǔ)著大量重要信息，其對(duì)企業(yè)發(fā)展產(chǎn)生至關(guān)重要的作用，所以該機(jī)構(gòu)選擇支付贖金，成功恢復(fù)所有被加密的文檔。下圖為該機(jī)構(gòu)支付贖金的解密過程示意圖。

圖30

(三)江蘇某大型房地產(chǎn)企業(yè)服務(wù)器被加密

病毒簡介

GlobeImposter病毒最早出現(xiàn)是在2016年12月份左右，第一個(gè)版本存在漏洞，可解密，但后期版本只能支付贖金解密。2017年5月份出現(xiàn)新變種，7、8月初進(jìn)入活躍期。該病毒從勒索文檔的內(nèi)容看跟Globe家族有一定的相似性。

場(chǎng)景回顧

2017年7月12日，某大型房地產(chǎn)企業(yè)發(fā)現(xiàn)自己的服務(wù)器上數(shù)據(jù)庫被加密，該企業(yè)的IT技術(shù)人員擔(dān)心受到責(zé)罰，隱瞞實(shí)際情況未上報(bào)。10月18日，該企業(yè)領(lǐng)導(dǎo)在查詢數(shù)據(jù)時(shí)，發(fā)現(xiàn)服務(wù)器上的數(shù)據(jù)均已經(jīng)被加密，且長達(dá)數(shù)月之久，意識(shí)到自己內(nèi)部員工無法解決此問題，于是向360安全監(jiān)測(cè)與響應(yīng)中心進(jìn)行求助。

圖31

疫情分析

安全廠商人員實(shí)際勘測(cè)發(fā)現(xiàn)：攻擊者主要是使用帶有惡意附件的郵件進(jìn)行釣魚攻擊。受害者在點(diǎn)擊了附件中的VBS腳本文件，即GlobeImposter病毒后，VBS腳本文件負(fù)責(zé)從網(wǎng)絡(luò)上下載勒索軟件，通過rundll32.exe并帶指定啟動(dòng)參數(shù)進(jìn)行加載。樣本執(zhí)行后在內(nèi)存中解密執(zhí)行，解密后才是真正的功能代碼。該勒索軟件會(huì)對(duì)系統(tǒng)中的文件進(jìn)行掃描，對(duì)磁盤上指定類型的文件進(jìn)行加密，被樣本加密后的文件后綴為.thor。樣本加密文件所使用的密鑰為隨機(jī)生成，加密算法為AES-CBC-256，用樣本內(nèi)置的RSA公鑰，通過RSA-1024算法對(duì)隨機(jī)生成的AES加密密鑰進(jìn)行加密處理。

處置方案

由于距離加密時(shí)間太久，黑客密鑰已經(jīng)過期，被加密的數(shù)據(jù)和文件無法恢復(fù)，給該企業(yè)造成了大量的財(cái)產(chǎn)損失。

(四)某市政務(wù)系統(tǒng)的服務(wù)器被加密

病毒簡介

CryptON病毒最早出現(xiàn)在2016年12月，該病毒是一系列Cry9，Cry36，Cry128，Nemsis等勒索病毒的統(tǒng)稱，早期版本可通過對(duì)比加密和未加密的文件來暴力運(yùn)算破解獲取解密密鑰，后期版本無法解密。

場(chǎng)景回顧

2017年11月26日，某市政務(wù)系統(tǒng)被發(fā)現(xiàn)其服務(wù)器上的數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)不能使用，文件內(nèi)容無法存儲(chǔ)，所有文件都打不開了。該機(jī)構(gòu)緊急向360安全監(jiān)測(cè)與響應(yīng)中心進(jìn)行求助。

圖32

疫情分析

安服人員現(xiàn)場(chǎng)勘測(cè)發(fā)現(xiàn)：該系統(tǒng)感染的勒索軟件為CryptON病毒。攻擊者首先使該機(jī)構(gòu)的IT運(yùn)維人員的電腦感染木馬程序，之后在IT人員登錄服務(wù)器時(shí)竊取了賬號(hào)和密碼，再通過竊得的帳號(hào)密碼遠(yuǎn)程登錄到服務(wù)器上，最后釋放勒索軟件。

處置方案

由于CryptON病毒的不可解性，要想恢復(fù)數(shù)據(jù)文件，只能支付贖金。該機(jī)構(gòu)在得知只有支付贖金才能解密的情況下，放棄了數(shù)據(jù)恢復(fù)，直接重裝了系統(tǒng)，并加強(qiáng)了對(duì)運(yùn)維人員電腦的監(jiān)控與管理。

(五)某知名咨詢公司的兩臺(tái)服務(wù)器被加密

場(chǎng)景回顧

2017年11月，某知名咨詢公司發(fā)現(xiàn)其服務(wù)器上所有文件被加密，懷疑自己感染了勒索病毒，緊急向360安全監(jiān)測(cè)與響應(yīng)中心進(jìn)行求助。

根據(jù)該企業(yè)IT人員介紹：被鎖定的服務(wù)器一共有兩臺(tái)，一臺(tái)是主服務(wù)器，存儲(chǔ)了大量該咨詢公司為國內(nèi)外多家大型企業(yè)提供咨詢服務(wù)的歷史資料，十分珍貴；而另一臺(tái)是備份服務(wù)器，主要是出于安全考慮，用于備份主服務(wù)器資料。兩臺(tái)設(shè)備同時(shí)被鎖，意味著備份數(shù)據(jù)已不存在；同時(shí)，目前只要將U盤插入服務(wù)器，U盤數(shù)據(jù)也會(huì)被立即加密。在發(fā)現(xiàn)服務(wù)器中毒后，他們已經(jīng)對(duì)當(dāng)日與服務(wù)器連接過的所有辦公終端進(jìn)行了排查，未發(fā)現(xiàn)有任何電腦的中毒跡象。

圖33

疫情分析

安服人員現(xiàn)場(chǎng)勘測(cè)發(fā)現(xiàn)：該企業(yè)未曾部署過任何企業(yè)級(jí)安全軟件或設(shè)備，其服務(wù)器上安裝的是某品牌免費(fèi)的個(gè)人版安全軟件，所有200余臺(tái)辦公電腦安裝的也都是個(gè)人版安全軟件，且未進(jìn)行過統(tǒng)一要求。中招服務(wù)器升級(jí)了5月份的漏洞補(bǔ)丁，后續(xù)月份的補(bǔ)丁都沒有升級(jí)過；同時(shí)，其內(nèi)部辦公終端與服務(wù)器之間也沒有進(jìn)一步的安全防護(hù)措施，僅僅靠用戶名和密碼來進(jìn)行驗(yàn)證。

經(jīng)確認(rèn)，該公司兩臺(tái)服務(wù)器感染的勒索軟件為Crysis的變種，文件被加密后的后綴名為為.java，目前這個(gè)勒索軟件無解。這個(gè)家族有一個(gè)特點(diǎn)就是針對(duì)的都是服務(wù)器，攻擊的方式都是通過遠(yuǎn)程桌面進(jìn)去，爆破方式植入。而之所以會(huì)發(fā)生U盤插入后數(shù)據(jù)全部被加密的情況，是因?yàn)榉?wù)器上的勒索軟件一直沒有停止運(yùn)行。

圖34

處置方案

在安服人員的遠(yuǎn)程指導(dǎo)下，該企業(yè)IT人員首先斷開了服務(wù)器的網(wǎng)絡(luò)鏈接；隨后卸載了服務(wù)器上已經(jīng)安裝的安全軟件。這一步的處置措施還是十分必要的，因?yàn)橐坏┌踩浖l(fā)揮作用殺掉了勒索軟件，那么對(duì)于已經(jīng)感染勒索軟件的電腦來說，有可能導(dǎo)致勒索軟件被破壞，被加密的數(shù)據(jù)無法恢復(fù)。

因被加密的兩臺(tái)服務(wù)器上存儲(chǔ)著該企業(yè)及其重要的資料，且無其他備份。所以該企業(yè)在得知無法解密的情況下，選擇向攻擊者支付贖金，進(jìn)而文件恢復(fù)。

特別的是，攻擊者顯然是對(duì)該企業(yè)的網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行了長期、細(xì)致的研究，同時(shí)攻擊主服務(wù)器和備份服務(wù)器是經(jīng)過精心設(shè)計(jì)和周密考慮的。

第五章 2018年勒索軟件趨勢(shì)預(yù)測(cè)

2017年，勒索軟件的攻擊形式和攻擊目標(biāo)都已經(jīng)發(fā)生了很大的變化。本章將給出我們對(duì)2018年勒索軟件攻擊趨勢(shì)的預(yù)測(cè)。

一、整體態(tài)勢(shì)

(一)勒索軟件的質(zhì)量和數(shù)量將不斷攀升

2017年勒索軟件在暗網(wǎng)上獲得規(guī)模性增長，相關(guān)產(chǎn)品銷售額高達(dá)623萬美元，是2016年的25倍，而一款DIY勒索軟件售價(jià)從50美分到3000美元不等，中間價(jià)格一般在10.5美元左右。2017年7月，根據(jù)谷歌、加州大學(xué)圣地亞哥分校和紐約大學(xué)坦登工程學(xué)院的研究人員聯(lián)合發(fā)布的一份報(bào)告顯示，在過去兩年，勒索軟件已迫使全球受害者累計(jì)支付了超過2500萬美元的贖金。

無論對(duì)制作者還是使用者而言，影響廣泛、物美價(jià)廉、門檻低獲利快的勒索軟件都是當(dāng)前比較“靠譜”的獲利方式，因此，制作者會(huì)不斷采用新的技術(shù)來提升勒索軟件的質(zhì)量，使用者則會(huì)通過使用更多數(shù)量的勒索軟件來廣開財(cái)路。

(二)勒索軟件會(huì)越來越多的使用免殺技術(shù)

成功進(jìn)駐系統(tǒng)并運(yùn)行是敲詐勒索的前提。因此，為了獲得更大的經(jīng)濟(jì)利益，在勒索軟件的制作、傳播過程中，首先要做的就是“自我保護(hù)”，即躲避殺毒軟件的查殺。以Petrwrap為例，它在6月底在歐洲引發(fā)大面積感染，俄羅斯、烏克蘭、波蘭、法國、意大利、英國及德國也被其感染。但根據(jù)《黑客新聞》6月27日?qǐng)?bào)道，最近的VirusTotal掃描顯示，61款殺毒軟件當(dāng)中只有16款能夠成功檢測(cè)到該病毒。

在各界充分認(rèn)識(shí)到勒索軟件引發(fā)的可怕后果的前提下，攻擊者必然會(huì)在2018年趁熱打鐵，充分利用這種擔(dān)心和恐慌獲取更多的贖金，不斷使用更新的技術(shù)和更多的變種來突破殺毒軟件的防線將成為必然。

二、攻擊特點(diǎn)

(一)勒索軟件的傳播手段將更加多樣化

相比于個(gè)人受害者，組織機(jī)構(gòu)更有可能支付大額贖金，而感染更多設(shè)備從而給組織機(jī)構(gòu)造成更大的損失是提升贖金支付可能性的重要手段。因此，除了通過更多的漏洞、更隱蔽的通道進(jìn)行原始傳播，勒索軟件的自我傳播能力也將會(huì)被無限的利用起來，類似WannaCry、類Petya、壞兔子等以感染的設(shè)備為跳板，然后利用漏洞進(jìn)行橫向移動(dòng)，攻擊局域網(wǎng)內(nèi)的其他電腦，形成“一臺(tái)中招，一片遭殃”的情況將會(huì)在2018年愈演愈烈。針對(duì)各企業(yè)對(duì)于軟件供應(yīng)鏈的管理弱點(diǎn)，通過軟件供應(yīng)鏈通道進(jìn)行原始傳播在未來一年有很大概率被再次利用。

(二)勒索軟件的靜默期會(huì)不斷延長

震驚全球的WannaCry的大規(guī)模爆發(fā)開始于5月12日（星期五）下午，周末正好是組織機(jī)構(gòu)使用電腦的低峰期，這給安全廠商和組織機(jī)構(gòu)應(yīng)急處置以免蠕蟲快速擴(kuò)散提供了足夠的緩沖時(shí)間，也讓攻擊者失去了獲得更多贖金的可能。

為了避免“虧本”，獲得更多的贖金，未來的勒索軟件會(huì)在獲得更多“勒索籌碼”之前盡可能隱蔽自己，一邊延長自己的生命周期，一邊選擇合適的時(shí)間發(fā)作，讓安全廠商合組織機(jī)構(gòu)“措手不及”。

事實(shí)上，“永恒之石”病毒就是很好的佐證，它采用了7個(gè)被影子經(jīng)紀(jì)人黑客團(tuán)伙放出的據(jù)稱是NSA開發(fā)的漏洞利用工具，被稱為可突然襲擊的“世界末日”級(jí)蠕蟲。一旦進(jìn)入系統(tǒng)，它會(huì)下載Tor的私有瀏覽器，發(fā)送信號(hào)到其隱藏服務(wù)器，然后進(jìn)入等待狀態(tài)，24小時(shí)內(nèi)沒有任何動(dòng)作，之后服務(wù)器便會(huì)響應(yīng)，開始下載和自我復(fù)制動(dòng)作。目前為止，“永恒之石”依然靜靜地傳播和感染更多計(jì)算機(jī)中，有鑒于其隱秘本質(zhì)，有多少臺(tái)電腦已經(jīng)被“永恒之石”感染尚未可知，它會(huì)被武器化成什么樣子也還不明朗。

三、攻擊目標(biāo)

(一)勒索軟件攻擊的操作系統(tǒng)類型將越來越多

目前，絕大多數(shù)勒索軟件攻擊的都是Windows操作系統(tǒng)，但針對(duì)MacOS的勒索軟件MacRansom已經(jīng)出現(xiàn)在暗網(wǎng)中；針對(duì)Linux服務(wù)器的勒索軟件Rrebus也已經(jīng)造成了巨大的損失；針對(duì)安卓系統(tǒng)的勒索軟件也在國內(nèi)網(wǎng)絡(luò)中出現(xiàn)。但這也許只是開始，越自認(rèn)為“安全”、越小眾的系統(tǒng)，防護(hù)能力可能越弱，一旦被攻破，支付贖金的可能性也就越大，因此，勒索軟件不會(huì)放過任何一個(gè)系統(tǒng)。

(二)勒索軟件定向攻擊能力將更加突出

2017年影響面最大的兩個(gè)勒索軟件，WannaCry（永恒之藍(lán)）攻擊者收到的贖金可能不足15萬美元，類Petya的攻擊者更是只拿到可憐的11181美元贖金，但針對(duì)Linux服務(wù)器的勒索軟件Rrebus看似名不見經(jīng)傳，卻輕松從韓國Web托管公司Nayana收取100萬美元贖金，僅此一家繳納的贖金就是永恒之藍(lán)從全球獲得贖金的7倍之多。

由此可見，針對(duì)特定行業(yè)、關(guān)鍵業(yè)務(wù)系統(tǒng)的敲詐勒索更容易成功，更容易獲得高額贖金，這將讓以敲詐勒索為核心目的的攻擊者逐漸舍棄華而不實(shí)的廣撒網(wǎng)式攻擊，將重心轉(zhuǎn)移到發(fā)動(dòng)更有針對(duì)性的定向攻擊。

四、造成損失

(一)經(jīng)濟(jì)損失與贖金支付都將持續(xù)升高

安全意識(shí)培訓(xùn)公司KnowBe4曾估測(cè)：WannaCry的大規(guī)模爆發(fā)，在其前4天里，就已經(jīng)造成了10億美元的經(jīng)濟(jì)損失。而隨著勒索軟件技術(shù)的進(jìn)一步成熟和平臺(tái)化，勒索軟件的攻擊也將會(huì)更加頻繁，攻擊范圍更加廣泛，造成的經(jīng)濟(jì)損失也會(huì)不斷攀升。

美國網(wǎng)絡(luò)安全機(jī)構(gòu)Cybersecurity Ventures在2017年5月發(fā)布的報(bào)告中預(yù)測(cè)，2017年勒索軟件攻擊在全球造成的實(shí)際損失成本將達(dá)到 50 億美元，預(yù)計(jì)2019年的攻擊損失可能升至115億美元。而相關(guān)數(shù)據(jù)還顯示，勒索軟件在2015年給全球造成的實(shí)際損失僅為3.25億美元。

以類Petya勒索病毒為例，根據(jù)全球各地媒體的相關(guān)報(bào)道，僅僅是它給4家全球知名公司造成的經(jīng)濟(jì)損失就已經(jīng)遠(yuǎn)超10億美金，如下表所示。

表格 3  知名企業(yè)遭到的重大損失情況

經(jīng)濟(jì)損失的不斷提高也將促使更多的政企機(jī)構(gòu)向攻擊者支付贖金。預(yù)計(jì)到2018年，攻擊者在不斷提升勒索軟件自身能力的同時(shí)，也將進(jìn)一步鎖定風(fēng)險(xiǎn)承受能力較差的攻擊目標(biāo)實(shí)施攻擊，并在加密數(shù)據(jù)基礎(chǔ)上使用更多的威脅方式，例如不支付贖金就將關(guān)鍵信息公開在互聯(lián)網(wǎng)上等，迫使組織機(jī)構(gòu)不得不繳納高額的贖金。

鑒于很多組織機(jī)構(gòu)即便承受巨額損失也沒有交納贖金，將來攻擊者還可能會(huì)開展“針對(duì)性服務(wù)”，讓感染者支付其“能力范圍內(nèi)”的贖金。例如攻擊者就與Nayana進(jìn)行了漫長的談判，將贖金從最初的440萬美元降至100萬美元，才出現(xiàn)了2017年的單筆最高贖金事件。

所以，未來迫不得已支付贖金的政企機(jī)構(gòu)中招者會(huì)越來越多，也會(huì)出現(xiàn)更多類似韓國Web托管公司Nayana支付100萬美元贖金的大戶，攻擊者獲得的贖金總額必將持續(xù)升高。

(二)通過支付贖金恢復(fù)文件的成功率將大幅下降

對(duì)于中招的組織機(jī)構(gòu)而言，在嘗試各種方式解密被勒索軟件加密的數(shù)據(jù)無果后，即便想要通過支付贖金的方式來解決問題，其成功率也將大幅下降。其主要原因倒不是勒索者的信用會(huì)快速下降，而是很多現(xiàn)實(shí)的網(wǎng)絡(luò)因素可能會(huì)大大限制你支付贖金恢復(fù)文件的成功率。

首先，你可能“沒錢可付”，絕大多數(shù)的勒索軟件均以比特幣為贖金支付方式，但9月底比特幣在中國已經(jīng)全面停止交易了。

其次，你也可能“來不及付”，交納贖金一般是有時(shí)間限制的，一般為1-2天，但國產(chǎn)勒索病毒Xiaoba只給了200秒的反應(yīng)時(shí)間。

第三，你即便通過各種方式支付了贖金，也可能“無法提供付款證明”給攻擊者，因?yàn)楹芏嗬账鬈浖笫芎φ呦蛱囟ㄠ]箱發(fā)送支付證明，黑客才會(huì)為其解鎖，但越來越多的郵件供應(yīng)方無法忍受攻擊者通過其平臺(tái)非法獲利，而會(huì)第一時(shí)間將其郵箱關(guān)停。

第六章 勒索軟件防御技術(shù)新趨勢(shì)

一、個(gè)人終端防御技術(shù)

(一)文檔自動(dòng)備份隔離保護(hù)

文檔自動(dòng)備份隔離技術(shù)是360獨(dú)創(chuàng)的一種勒索軟件防護(hù)技術(shù)。這一技術(shù)在未來一兩年內(nèi)可能會(huì)成為安全軟件反勒索技術(shù)的標(biāo)配。

鑒于勒索軟件一旦攻擊成功往往難以修復(fù)，而且具有變種多，更新快，大量采用免殺技術(shù)等特點(diǎn)，因此，單純防范勒索軟件感染并不是“萬全之策”。但是，無論勒索軟件采用何種具體技術(shù)，無論是哪一家族的哪一變種，一個(gè)基本的共同特點(diǎn)就是會(huì)對(duì)文檔進(jìn)行篡改。而文檔篡改行為具有很多明顯的技術(shù)特征，通過監(jiān)測(cè)系統(tǒng)中是否存在文檔篡改行為，并對(duì)可能被篡改的文檔加以必要的保護(hù)，就可以在相當(dāng)程度上幫助用戶挽回勒索軟件攻擊的損失。

文檔自動(dòng)備份隔離技術(shù)就是在這一技術(shù)思想的具體實(shí)現(xiàn)，360將其應(yīng)用于360文檔衛(wèi)士功能模塊當(dāng)中。只要電腦里的文檔出現(xiàn)被篡改的情況，它會(huì)第一時(shí)間把文檔自動(dòng)備份在隔離區(qū)保護(hù)起來，用戶可以隨時(shí)恢復(fù)文件。無論病毒如何變化，只要它有篡改用戶文檔的行為，就會(huì)觸發(fā)文檔自動(dòng)備份隔離，從而使用戶可以免遭勒索，不用支付贖金也能恢復(fù)文件。

360文檔衛(wèi)士的自動(dòng)備份觸發(fā)條件主要包括亮點(diǎn)：一、開機(jī)后第一次修改文檔；二、有可疑程序篡改文檔。當(dāng)出現(xiàn)上述兩種情況時(shí)，文檔衛(wèi)士會(huì)默認(rèn)備份包括Word、Excel、PowerPoint、PDF等格式在內(nèi)的文件，并在備份成功后出現(xiàn)提示信息。用戶還可以在設(shè)置中選擇添加更多需要備份的文件格式。比如電腦里的照片非常重要，就可以把jpg等圖片格式加入保護(hù)范圍。

此外，360文檔衛(wèi)士還集合了“文件解密”功能，360安全專家通過對(duì)一些勒索軟件家族進(jìn)行逆向分析，成功實(shí)現(xiàn)了多種類型的文件解密，如2017年出現(xiàn)的“縱情文件修復(fù)敲詐者病毒”等。如有網(wǎng)友電腦已不慎中招，可以嘗試通過“文檔解密”一鍵掃描并恢復(fù)被病毒加密的文件。

(二)綜合性反勒索軟件技術(shù)

與一般的病毒和木馬相比，勒索軟件的代碼特征和攻擊行為都有很大的不同。采用任何單一防范技術(shù)都是不可靠的。綜合運(yùn)用各種新型安全技術(shù)來防范勒索軟件攻擊，已經(jīng)成為一種主流的技術(shù)趨勢(shì)。

下面就以360安全衛(wèi)士的相關(guān)創(chuàng)新功能來分析綜合性反勒索軟件技術(shù)。相關(guān)技術(shù)主要包括：智能誘捕、行為追蹤、智能文件格式分析、數(shù)據(jù)流分析等，具體如下。

智能誘捕技術(shù)是捕獲勒索軟件的利器，其具體方法是：防護(hù)軟件在電腦系統(tǒng)的各處設(shè)置陷阱文件；當(dāng)有病毒試圖加密文件時(shí)，就會(huì)首先命中設(shè)置的陷阱，從而暴露其攻擊行為。這樣，安全軟件就可以快速無損的發(fā)現(xiàn)各類試圖加密或破壞文件的惡意程序。

行為追蹤技術(shù)是云安全與大數(shù)據(jù)綜合運(yùn)用的一種安全技術(shù)?；?60的云安全主動(dòng)防御體系，通過對(duì)程序行為的多維度智能分析，安全軟件可以對(duì)可疑的文件操作進(jìn)行備份或內(nèi)容檢測(cè)，一旦發(fā)現(xiàn)惡意修改則立即阻斷并恢復(fù)文件內(nèi)容。該技術(shù)主要用于攔截各類文件加密和破壞性攻擊，能夠主動(dòng)防御最新出現(xiàn)的勒索病毒。

智能文件格式分析技術(shù)是一種防護(hù)加速技術(shù)，目的是盡可能的降低反勒索功能對(duì)用戶體驗(yàn)的影響。實(shí)際上，幾乎所有的反勒索技術(shù)都會(huì)或多或少的增加安全軟件和電腦系統(tǒng)的負(fù)擔(dān)，相關(guān)技術(shù)能否實(shí)用的關(guān)鍵就在于如何盡可能的降低其對(duì)系統(tǒng)性能的影響，提升用戶體驗(yàn)。360研發(fā)的智能文件格式分析技術(shù)，可以快速識(shí)別數(shù)十種常用文檔格式，精準(zhǔn)識(shí)別對(duì)文件內(nèi)容的破壞性操作，而基本不會(huì)影響正常文件操作，在確保數(shù)據(jù)安全的同時(shí)又不影響用戶體驗(yàn)。

數(shù)據(jù)流分析技術(shù)，是一種將人工智能技術(shù)與安全防護(hù)技術(shù)相結(jié)合的新型文檔安全保護(hù)技術(shù)。首先，基于機(jī)器學(xué)習(xí)的方法，我們可以在電腦內(nèi)部的數(shù)據(jù)流層面，分析出勒索軟件對(duì)文檔的讀寫操作與正常使用文檔情況下的讀寫操作的區(qū)別；而這些區(qū)別可以用于識(shí)別勒索軟件攻擊行為；從而可以在“第一現(xiàn)場(chǎng)”捕獲和過濾勒索軟件，避免勒索軟件的讀寫操作實(shí)際作用于相關(guān)文檔，從而實(shí)現(xiàn)文檔的有效保護(hù)。

二、企業(yè)級(jí)終端防御技術(shù)

(一)云端免疫技術(shù)

如本報(bào)告第三章相關(guān)分析所述，在國內(nèi)，甚至全球范圍內(nèi)的政企機(jī)構(gòu)中，系統(tǒng)未打補(bǔ)丁或補(bǔ)丁更新不及時(shí)的情況都普遍存在。這并非是簡單的安全意識(shí)問題，而是多種客觀因素限制了政企機(jī)構(gòu)對(duì)系統(tǒng)設(shè)備的補(bǔ)丁管理。因此，對(duì)無補(bǔ)丁系統(tǒng)，或補(bǔ)丁更新較慢的系統(tǒng)的安全防護(hù)需求，就成為一種“強(qiáng)需求”。而云端免疫技術(shù)，就是解決此類問題的有效方法之一。這種技術(shù)已經(jīng)被應(yīng)用于360的終端安全解決方案之中。

所謂云端免疫，實(shí)際上就是通過終端安全管理系統(tǒng)，由云端直接下發(fā)免疫策略或補(bǔ)丁，幫助用戶電腦做防護(hù)或打補(bǔ)??；對(duì)于無法打補(bǔ)丁的電腦終端，免疫工具下發(fā)的免疫策略本身也具有較強(qiáng)的定向防護(hù)能力，可以阻止特定病毒的入侵；除此之外，云端還可以直接升級(jí)本地的免疫庫或免疫工具，保護(hù)用戶的電腦安全。

需要說明的事，云端免疫技術(shù)只是一種折中的解決方案，并不是萬能的或一勞永逸的，未打補(bǔ)丁系統(tǒng)的安全性仍然比打了補(bǔ)丁的系統(tǒng)的安全性有一定差距。但就當(dāng)前國內(nèi)眾多政企機(jī)構(gòu)的實(shí)際網(wǎng)絡(luò)環(huán)境而諾言，云端免疫不失為一種有效的解決方案。

(二)密碼保護(hù)技術(shù)

針對(duì)中小企業(yè)網(wǎng)絡(luò)服務(wù)器的攻擊，是2017年勒索軟件攻擊的一大特點(diǎn)。而攻擊者之所以能夠滲透進(jìn)入企業(yè)服務(wù)器，絕大多數(shù)情況都是因?yàn)楣芾韱T設(shè)置的管理密碼為弱密碼或帳號(hào)密碼被盜。因此，加強(qiáng)登陸密碼的安全管理，也是一種必要的反勒索技術(shù)。

具體來看，加強(qiáng)密碼保住主要應(yīng)從三個(gè)方面入手：一是采用弱密碼檢驗(yàn)技術(shù)，強(qiáng)制網(wǎng)絡(luò)管理員使用復(fù)雜密碼；二是采用反暴力破解技術(shù)，對(duì)于陌生IP的登陸位置和登陸次數(shù)進(jìn)行嚴(yán)格控制；三是采用VPN或雙因子認(rèn)證技術(shù)，從而使攻擊者即便盜取了管理員帳號(hào)和密碼，也無法輕易的登陸企業(yè)服務(wù)器。

第七章 給用戶的安全建議

一、個(gè)人用戶安全建議

對(duì)于普通用戶，我們給出以下建議，以幫助用戶免遭勒索軟件的攻擊：

養(yǎng)成良好的安全習(xí)慣

1）電腦應(yīng)當(dāng)安裝具有云防護(hù)和主動(dòng)防御功能的安全軟件，不隨意退出安全軟件或關(guān)閉防護(hù)功能，對(duì)安全軟件提示的各類風(fēng)險(xiǎn)行為不要輕易放行；

2）使用安全軟件的第三方打補(bǔ)丁功能對(duì)系統(tǒng)進(jìn)行漏洞管理，第一時(shí)間給操作系統(tǒng)和IE、Flash等常用軟件打好補(bǔ)丁，以免病毒利用漏洞自動(dòng)入侵電腦；

 3）盡量使用安全瀏覽器，減少遭遇掛馬攻擊的風(fēng)險(xiǎn)；

4）重要文檔數(shù)據(jù)應(yīng)經(jīng)常做備份，一旦文件損壞或丟失，也可以及時(shí)找回。

減少危險(xiǎn)的上網(wǎng)操作 

5）不要瀏覽來路不明的色情、賭博等不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常被用于發(fā)動(dòng)掛馬、釣魚攻擊。

6）不要輕易打開陌生人發(fā)來的郵件附件或郵件正文中的網(wǎng)址鏈接。

7）不要輕易打開后綴名為js 、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序，對(duì)于陌生人發(fā)來的壓縮文件包，更應(yīng)提高警惕，應(yīng)先掃毒后打開。

8）電腦連接移動(dòng)存儲(chǔ)設(shè)備，如U盤、移動(dòng)硬盤等，應(yīng)首先使用安全軟件檢測(cè)其安全性。

9）對(duì)于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運(yùn)行，從而避免木馬對(duì)實(shí)際系統(tǒng)的破壞。

采取及時(shí)的補(bǔ)救措施

10）安裝360安全衛(wèi)士并開啟反勒索服務(wù)，一旦電腦被勒索軟件感染，可以通過360反勒索服務(wù)申請(qǐng)贖金賠付，以盡可能的減小自身經(jīng)濟(jì)損失。

二、企業(yè)用戶安全建議

1）提升新興威脅對(duì)抗能力

傳統(tǒng)基于合規(guī)的防御體系對(duì)于勒索軟件等新興威脅的發(fā)現(xiàn)、檢測(cè)和處理已經(jīng)呈現(xiàn)出力不從心的狀態(tài)。而通過對(duì)抗式演習(xí)，從安全的技術(shù)、管理和運(yùn)營等多個(gè)維度出發(fā)，對(duì)企業(yè)的互聯(lián)網(wǎng)邊界、防御體系及安全運(yùn)營制度等多方面進(jìn)行仿真檢驗(yàn)，可以持續(xù)提升企業(yè)對(duì)抗新興威脅的能力。

2）及時(shí)給辦公終端和服務(wù)器打補(bǔ)丁修復(fù)漏洞，包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁。

3）如果沒有使用的必要，應(yīng)盡量關(guān)閉不必要的常見網(wǎng)絡(luò)端口，比如：445、3389等。

4）企業(yè)用戶應(yīng)采用足夠復(fù)雜的登錄密碼登陸辦公系統(tǒng)或服務(wù)器，并定期更換密碼。

5）對(duì)重要數(shù)據(jù)和文件及時(shí)進(jìn)行備份。

6）提高安全運(yùn)維人員職業(yè)素養(yǎng)，除工作電腦需要定期進(jìn)行木馬病毒查殺外，如有遠(yuǎn)程家中辦公電腦也需要定期進(jìn)行病毒木馬查殺。

附錄1  2017年勒索軟件重大攻擊事件

一、MongoDB 數(shù)據(jù)庫被竊取

2017年1月，GDI基金會(huì)的聯(lián)合創(chuàng)始人Victor Gevers警告說，MongoDB（分布式文檔存儲(chǔ)數(shù)據(jù)庫）在野外安裝的安全性很差。這位安全專家發(fā)現(xiàn)了196個(gè)MongoDB實(shí)例，這些實(shí)例可能被騙子們竊取并被勒索贖金。據(jù)悉，有多個(gè)黑客組織參與了此次攻擊，他們劫持服務(wù)器后，用勒索程序替換了其中的正常內(nèi)容。外媒稱，大多數(shù)被攻破的數(shù)據(jù)庫都在使用測(cè)試系統(tǒng)，其中一部分可能包含重要生產(chǎn)數(shù)據(jù)。部分公司最終只得支付贖金，結(jié)果發(fā)現(xiàn)攻擊者其實(shí)根本沒有掌握他們的數(shù)據(jù)，又被擺了一道。

二、知名搜索引擎 Elasticsearch 被勒索敲詐

2017年1月，數(shù)百臺(tái)存在安全缺陷的Elasticsearch服務(wù)器在幾個(gè)小時(shí)之內(nèi)遭到了勒索攻擊，并被擦除了服務(wù)器中的全部數(shù)據(jù)。安全研究專家Niall Merrigan估計(jì)，目前已經(jīng)有超過2711臺(tái)Elasticsearch服務(wù)器遭到了攻擊。

此次攻擊活動(dòng)與之前的勒索攻擊一樣，攻擊者入侵了Elasticsearch服務(wù)器之后會(huì)將主機(jī)中保存的數(shù)據(jù)全部刪除，當(dāng)服務(wù)器所有者向攻擊者支付了贖金之后他們才可以拿回自己的數(shù)據(jù)。因此，安全研究專家建議廣大Elasticsearch服務(wù)器的管理員們?cè)诠俜桨l(fā)布了相應(yīng)修復(fù)補(bǔ)丁之前暫時(shí)先將自己的網(wǎng)站服務(wù)下線，以避免遭到攻擊者的勒索攻擊。

三、港珠澳橋資料遭黑客加密勒索

2017年5月，港珠澳大橋一地盤辦公室，其電腦伺服器遭黑客的勒索軟件攻擊，而且被加密勒索。據(jù)星島日?qǐng)?bào)消息，香港路政署表示，今年3月2日，接到駐工地工程人員通知，指駐工地工程人員寫字樓內(nèi)的伺服器遭勒索軟件(Ransomware)攻擊，伺服器內(nèi)的部份檔案遭加密勒索。經(jīng)調(diào)查后發(fā)現(xiàn)，駐工地工程人員已即時(shí)切斷有關(guān)伺服器的網(wǎng)絡(luò)連線，并向警方求助。香港路政署已要求駐工地工程人員及承建商，更新其寫字樓內(nèi)所有電腦的網(wǎng)絡(luò)保安軟件，以加強(qiáng)網(wǎng)絡(luò)保安。有關(guān)事件并沒有影響該合約的工程進(jìn)度。據(jù)悉，受害公司為奧雅納工程顧問公司，有傳黑客要求付錢才將檔案還原。

四、WannaCry 在全球大規(guī)模爆發(fā)

2017年5月，WannaCry在全球大規(guī)模爆發(fā)。該惡意軟件會(huì)掃描電腦上的TCP 445端口(Server Message Block/SMB)，以類似于蠕蟲病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件，然后要求以比特幣的形式支付贖金。2017年5月12日，WannaCry勒索病毒已經(jīng)攻擊了近100個(gè)國家，其中包括英國、美國、中國、俄羅斯、西班牙和意大利等。2017年5月14日，WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0，取消Kill Switch 傳播速度或更快。截止2017年5月15日，WannaCry已造成至少有150個(gè)國家受到網(wǎng)絡(luò)攻擊，已經(jīng)影響到金融，能源，醫(yī)療等行業(yè)，造成嚴(yán)重的危機(jī)管理問題。中國部分Window操作系統(tǒng)用戶也遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。

360互聯(lián)網(wǎng)安全中心于2017年5月12日中午13點(diǎn)44分，截獲了WannaCry的首個(gè)攻擊樣本，是世界上最早截獲該病毒的公司。而在隨后的短短幾個(gè)小時(shí)內(nèi)，就有包括中國、英國、美國、德國、日本、土耳其、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等國家被報(bào)告遭到了WannaCry的攻擊，大量機(jī)構(gòu)設(shè)備陷入癱瘓。

截至2017年5月13日20:00時(shí)，360互聯(lián)網(wǎng)安全中心便已截獲遭WannaCry病毒攻擊的我國政企機(jī)構(gòu)IP地址29372個(gè)。而從后續(xù)國內(nèi)外媒體披露的情況來看，在全球范圍內(nèi)遭受此次WannaCry病毒攻擊的國家已超過了100個(gè)。

五、歐洲大規(guī)模爆發(fā)類 Petya 病毒

2017年6月，俄羅斯最大石油企業(yè)Rosneft等超過80家俄羅斯和烏克蘭公司遭到網(wǎng)絡(luò)襲擊，黑客向能源和交通等行業(yè)企業(yè)、銀行業(yè)和國家機(jī)構(gòu)等植入病毒并封鎖電腦，相關(guān)用戶被要求支付300美元的加密式數(shù)字貨幣以解鎖電腦。攻擊者通過感染烏克蘭流行會(huì)計(jì)軟件（M.E.Doc） 更新服務(wù)器，向用戶推送包含病毒的軟件更新。用戶更新軟件就會(huì)感染病毒，給企業(yè)系統(tǒng)和數(shù)據(jù)造成慘重?fù)p失。

烏克蘭受到的攻擊最為嚴(yán)重，烏克蘭政府官員報(bào)告稱，烏克蘭電網(wǎng)、銀行和政府部門的網(wǎng)絡(luò)系統(tǒng)遭到嚴(yán)重入侵。烏克蘭副總理Pavlo Rozenko在其推特上發(fā)布了一張黑暗的電腦屏幕的照片，并稱政府總部的電腦系統(tǒng)因受到攻擊已經(jīng)關(guān)閉。此外病毒攻擊已經(jīng)波及到英國、俄羅斯等歐洲多國的機(jī)場(chǎng)、銀行和大型企業(yè)的網(wǎng)絡(luò)系統(tǒng)。法國建筑巨頭圣戈班、俄羅斯石油公司(Rosneft)、丹麥貨運(yùn)公司馬士基(Maersk)、西班牙食品巨頭Mondelez隨后相繼自曝受網(wǎng)絡(luò)襲擊。此外，挪威國家安全機(jī)構(gòu)、西班牙的企業(yè)都慘遭上述黑客攻擊。

六、多國正在遭遇彼佳勒索病毒襲擊

2017年6月，烏克蘭，俄羅斯，印度，西班牙，法國，以及英國歐洲多國正在遭遇彼佳勒索病毒襲擊；政府，銀行，電力系統(tǒng)，通訊系統(tǒng)，企業(yè)以及機(jī)場(chǎng)都不同程度的受到了影響。此次黑客使用的是彼佳勒索病毒的變種Petwarp，使用的攻擊方式和WannaCry相同。彼佳和傳統(tǒng)的勒索軟件不同，不會(huì)對(duì)電腦中的每個(gè)文件都進(jìn)行加密，而是通過加密硬盤驅(qū)動(dòng)器主文件表（MFT），使主引導(dǎo)記錄（MBR）不可操作，通過占用物理磁盤上的文件名，大小和位置的信息來限制對(duì)完整系統(tǒng)的訪問，從而讓電腦無法啟動(dòng)。如果想要恢復(fù)，需要支付價(jià)值相當(dāng)于300美元的比特幣。

七、韓國網(wǎng)絡(luò)托管公司 Nayana 再遭勒索

2017年6月，韓國IDC旗下的一家網(wǎng)絡(luò)托管公司Nayana遭遇了勒索軟件攻擊，其153臺(tái)Linux服務(wù)器被攻陷。最終，該公司同意向攻擊者支付價(jià)值100萬美元（約合683萬人民幣）的比特幣才獲得了“救贖”。

不過，Nayana似乎并沒有在付出高額經(jīng)濟(jì)代價(jià)之后吸取教訓(xùn)。沒有修補(bǔ)漏洞或使用弱密碼的Linux服務(wù)器再次成為了勒索軟件的攻擊目標(biāo)。Nayana在本月8日宣布，9臺(tái)托管于Nayana的服務(wù)器受到了勒索軟件的攻擊。攻擊者并沒有注明詳細(xì)的贖金數(shù)額，但留下了聯(lián)系方式。這和6月份的攻擊很相似，攻擊者似乎給了Nayana一個(gè)“討價(jià)還價(jià)”的余地。

八、Spora 竊取憑據(jù)并記錄您輸入的內(nèi)容

2017年8月，勒索惡意軟件已經(jīng)升級(jí)，使其能夠竊取瀏覽信息并記錄受感染PC的擊鍵。Spora勒索軟件是文件鎖定惡意軟件最常見的家族之一，它似乎緊隨著Cerber的腳步，獲得了從比特幣錢包中竊取密碼和貨幣的能力。通過竊取受害者的證件，罪犯確保了雙重發(fā)薪日，因?yàn)樗麄儾粌H可以通過勒索贖金賺錢，還可以在地下論壇上向其他犯罪分子出售被盜的信息。

從本質(zhì)上講，Spora在獲得竊取數(shù)據(jù)的能力之前已經(jīng)是一個(gè)強(qiáng)大的勒索軟件。Deep Instinct的安全研究人員發(fā)現(xiàn)了這個(gè)新的變種。這個(gè)Spora版本是在8月20日開始的48小時(shí)內(nèi)發(fā)布的，它是通過一個(gè)網(wǎng)絡(luò)釣魚攻擊傳播的，目標(biāo)是一個(gè)Word文檔，聲稱是發(fā)票。為了查看文件的內(nèi)容，要求用戶啟用一個(gè)Windows腳本文件，它允許文檔放棄其惡意負(fù)載。這是Spora第一次嵌入到文檔中，而不是從Web服務(wù)器中提取。

九、勒索病毒壞兔子來襲俄烏等國中招

2017年10月24日，一種名叫“壞兔子（Bad Rabbit）”的新型勒索病毒從俄羅斯和烏克蘭最先開始發(fā)動(dòng)攻擊，并且在東歐國家蔓延。俄羅斯最大的新聞通訊社之一國際文傳通訊社、《豐坦卡報(bào)》網(wǎng)站及另一家媒體24日也遭“壞兔子”病毒攻擊，國際文傳通訊社發(fā)稿受到影響。烏克蘭敖德薩國際機(jī)場(chǎng)一些航班被推遲。

烏克蘭國家機(jī)構(gòu)和基礎(chǔ)設(shè)施是此次攻擊的主要目標(biāo)，奧德薩機(jī)場(chǎng)、基輔地鐵和烏克蘭基礎(chǔ)設(shè)施部門都受到了此次大規(guī)模網(wǎng)絡(luò)攻擊的影響。俄羅斯網(wǎng)絡(luò)安全廠商卡巴斯基實(shí)驗(yàn)室10月25日?qǐng)?bào)告，“壞兔子”已經(jīng)攻擊了位于俄羅斯、烏克蘭、土耳其和德國境內(nèi)的約200家公司的計(jì)算機(jī)網(wǎng)絡(luò)。其中，大部分目標(biāo)位于俄羅斯境內(nèi)。

十、通用汽車制造中心遭勒索軟件攻擊

斯普林希爾（Spring Hill），是美國田納西州下轄的95個(gè)縣之一，也是重要的汽車制作中心，通用汽車的土星汽車制造工廠所在地。2017年11月3日晚些時(shí)候，這座城市遭遇了勒索軟件的攻擊。Spring Hill的發(fā)言人杰米·佩奇（Jamie Page）表示，當(dāng)時(shí)一名政府雇員打開了一封不明來源的電子郵件，這一舉措導(dǎo)致Spring Hill城市管理系統(tǒng)的服務(wù)器被劫持、服務(wù)器文件被加密。一份贖金票據(jù)顯示在計(jì)算機(jī)屏幕上，攻擊者的贖金需求為25萬美元。Spring Hill政府方面并沒有向攻擊者支付贖金，而是下令其IT部門使用備份文件來重建數(shù)據(jù)庫。攻擊導(dǎo)致眾多城市服務(wù)被迫中斷，比如在線支付功能，包括水電氣費(fèi)、交通罰款費(fèi)以及證書辦理，包括營業(yè)執(zhí)照、食品安全許可證等。

附錄2  WannaCry 攻擊技術(shù)詳解

一、WannaCry的蠕蟲攻擊

（一） 針對(duì)445端口的掃描

作為一款蠕蟲病毒，WannaCry在感染某臺(tái)電腦后，便會(huì)對(duì)周邊聯(lián)網(wǎng)的其他電腦設(shè)備發(fā)起自動(dòng)攻擊。具體的攻擊步驟是：

1）根據(jù)被感染電腦的IP地址等信息，判斷被感染電腦所處的環(huán)境是內(nèi)網(wǎng)還是互聯(lián)網(wǎng)；

2）如果被感染的電腦處于內(nèi)網(wǎng)中，則對(duì)整個(gè)內(nèi)網(wǎng)網(wǎng)段進(jìn)行掃描；

3）如果被感染的電腦處于外網(wǎng)或互聯(lián)網(wǎng)上，則同時(shí)啟動(dòng)128個(gè)線程，循環(huán)掃描隨機(jī)生成的IP地址。

4）掃描時(shí)，首先探測(cè)目標(biāo)IP的445端口是否開啟，如果開啟，則使用永恒之藍(lán)工具發(fā)起遠(yuǎn)程攻擊，向目標(biāo)IP發(fā)送SMB協(xié)議的漏洞利用代碼。

根據(jù)360互聯(lián)網(wǎng)安全中心研發(fā)的全網(wǎng)掃描器實(shí)時(shí)監(jiān)測(cè)系統(tǒng)(http://scan.netlab.360.com/#/dashboard)顯示，在平日，針對(duì)445端口進(jìn)行掃描的掃描源IP數(shù)約為3100個(gè)左右；而在5月12日WannaCry爆發(fā)當(dāng)日，針對(duì)445端口進(jìn)行掃描的掃描源IP數(shù)大幅上升到5600余個(gè)，見圖3。

圖35 

圖36

（二） 針對(duì)內(nèi)網(wǎng)設(shè)備的攻擊

針對(duì)內(nèi)網(wǎng)設(shè)備的攻擊過程分為兩步：

1）獲取本機(jī)IP和子網(wǎng)掩碼

圖37

2）根據(jù)子網(wǎng)掩碼生成局域網(wǎng)內(nèi)其他所有電腦的IP列表，并將它們都列為攻擊目標(biāo)

圖38

(三) 針對(duì)互聯(lián)網(wǎng)設(shè)備的攻擊

由于外網(wǎng)，或互聯(lián)網(wǎng)上的IP地址空間要遠(yuǎn)遠(yuǎn)大于內(nèi)網(wǎng)或局域網(wǎng)，因此，WannaCry的攻擊方法要稍微復(fù)雜一些。具體來說，WannaCry會(huì)以2秒時(shí)間為間隔循環(huán)啟動(dòng)1個(gè)攻擊線程，直到保持128個(gè)并發(fā)攻擊，每個(gè)線程會(huì)循環(huán)生成隨機(jī)的合法IP地址進(jìn)行攻擊，這種攻擊方式會(huì)在被感染的電腦上持續(xù)進(jìn)行24小時(shí)。

特別的，該病毒在選擇攻擊目標(biāo)IP地址時(shí)，也采用了一些特別的處理：

1）IP地址的第一段會(huì)排除127和大于等于224的情況；

2）每隔40分鐘，病毒會(huì)對(duì)IP地址中的第一段進(jìn)行一次隨機(jī)分配

3）每隔20分鐘，病毒會(huì)對(duì)IP地址中的第二段進(jìn)行一次隨機(jī)分配

4）如果攻擊的IP地址445端口是開放的，會(huì)持續(xù)對(duì)這個(gè)IP地址的C段子網(wǎng)（x.x.x.1-x.x.x.254）發(fā)起254次攻擊

其具體攻擊代碼：

圖39

圖40

二、 WannaCry的勒索攻擊

作為一款勒索軟件，WannaCry的勒索攻擊也很有自己的特點(diǎn)。特別是對(duì)不同類型文件的分類分級(jí)加密，以及某些反病毒技術(shù)的使用，讓人印象深刻。

（一）WannaCry的文件掃描

對(duì)文件進(jìn)行加密，是勒索軟件最基本的攻擊方式。WannaCry也不例外。WannaCry在感染電腦后，會(huì)首先從程序資源中的zip壓縮包中解壓釋放一個(gè)敲詐勒索功能相關(guān)的程序。見圖：

圖41

  

WannaCry的加密程序會(huì)首先按字母順序遍歷查找硬盤，從Z盤倒序遍歷盤符直到C盤，其中會(huì)跳過無法加密的光驅(qū)盤，還會(huì)特別注意移動(dòng)硬盤設(shè)備，我們將WannaCry程序的文件遞歸函數(shù)抽象成了下圖的信息圖，以方便大家理解。

圖43

（二） WannaCry的分級(jí)加密

WannaCry會(huì)根據(jù)要加密文件的大小和類型等信息，對(duì)文件進(jìn)行詳細(xì)的分類和分級(jí)，并使用不同的規(guī)則對(duì)不同類型的文件進(jìn)行加密，目的是以最快的速度加密用戶最有價(jià)值的文件。

type列表1：

圖44

type列表2：

圖45

程序?yàn)榱四鼙M快的加密其認(rèn)為重要的用戶文件，設(shè)計(jì)了一套復(fù)雜的優(yōu)先級(jí)隊(duì)列:

1）對(duì)type2（滿足后綴列表1）進(jìn)行加密（小于0×400的文件會(huì)降低優(yōu)先級(jí)）。

2）對(duì)type3（滿足后綴列表2）進(jìn)行加密（小于0×400的文件會(huì)降低優(yōu)先級(jí)）。

3）處理剩下的文件（小于0×400的文件），或者其他一些文件。

（三） WannaCry的加密算法

在完成了需要加密文件的編輯處理后，程序就開始了最為關(guān)鍵的文件加密流程，整個(gè)加密過程使用了標(biāo)準(zhǔn)的RSA和AES加密算法，其中RSA加密功能使用了微軟的CryptoAPI函數(shù)實(shí)現(xiàn)，加密流程如圖所示：

圖46

程序加密文件的關(guān)鍵密鑰說明：

被加密后的文件格式如下圖：

圖47

值得注意的是，在加密過程中，程序會(huì)隨機(jī)選取一部分文件使用內(nèi)置的RSA公鑰來進(jìn)行加密，其目的是為解密程序提供的免費(fèi)解密部分文件功能。相關(guān)的C語言偽代碼見圖10：

圖48

而能免費(fèi)解密的文件路徑則在文件f.wnry中

圖49

在完成加密之后，WanaCrypt0r會(huì)對(duì)其認(rèn)為重要的文件進(jìn)行隨機(jī)數(shù)填充，然后將文件移動(dòng)到指定的臨時(shí)文件夾目錄然后刪除。此舉用于對(duì)抗文件恢復(fù)類軟件，同時(shí)兼顧加密文件的速度。

被隨機(jī)數(shù)填充的文件需要滿足以下幾點(diǎn)（見下圖）：

1）文件在特殊目錄中（桌面，我的文檔，用戶文件夾）。

2）文件小于200M。

3）文件后綴在type列表1。

具體填充的邏輯如下：

1）如果文件小于0×400,直接覆蓋對(duì)應(yīng)長度的隨機(jī)數(shù)。

2）如果文件大于0×400,對(duì)文件距離末尾0×400處進(jìn)行覆蓋。

3）再次重定位文件指針到文件頭，以0×40000大小的緩沖區(qū)為單位向?qū)戨S機(jī)數(shù)直到文件末尾。

圖50

圖51

（四） WannaCry的文件刪除

為了加快加密速度，WannaCry并沒有在文件原文上進(jìn)行加密處理，而是采用了先加密，后刪除的處理方法。但分析發(fā)現(xiàn)，在進(jìn)行文件刪除操作時(shí)，病毒作者的處理邏輯不夠嚴(yán)謹(jǐn)，因此也就為數(shù)據(jù)的恢復(fù)提供了可能性。

WannaCry刪除文件的操作大致過程：首先嘗試將文件移動(dòng)到臨時(shí)文件夾，生成一個(gè)臨時(shí)文件，然后再嘗試多種方法刪除文件。

1）當(dāng)采用遍歷磁盤的方式加密文件的時(shí)候，會(huì)在當(dāng)前盤符生成“$RECYCLE”+ 全局自增量+”.WNCYRT”(eg： “D:\\$RECYCLE\\1.WNCRYT”)路徑的臨時(shí)文件。

2）當(dāng)盤符為系統(tǒng)盤(eg：C)時(shí)，使用的系統(tǒng)臨時(shí)目錄(%temp%)。

3）之后程序以固定時(shí)間間隔，來刪除臨時(shí)文件夾下的文件。

詳細(xì)的刪除文件流程信息圖見圖12：

圖52

（五） 文件的解密流程

首先，解密程序通過釋放的taskhsvc.exe向服務(wù)器查詢付款信息，若用戶已經(jīng)支付過，則將eky文件發(fā)送給作者，作者解密后獲得dky文件，這就是解密之后的Key。

解密流程與加密流程相反，解密程序?qū)姆?wù)器獲取的dky文件中導(dǎo)入Key。

圖53

圖54

可以看到，當(dāng)不存在dky文件名的時(shí)候，使用的是內(nèi)置的Key，此時(shí)是用來解密免費(fèi)的解密文件使用的。

圖55

圖56

之后解密程序從文件頭讀取加密的數(shù)據(jù)，使用導(dǎo)入的Key調(diào)用函數(shù)CryptDecrypt進(jìn)行解密，解密出的數(shù)據(jù)作為AES的Key再次進(jìn)行解密，得到原文件。

圖57

（六） WannaCry的對(duì)抗技術(shù)

從WannaCry的代碼來看，病毒作者具有一定反檢測(cè)對(duì)礦能力。這里舉兩個(gè)例子。

1）靜態(tài)文件特征查殺的技巧

WannaCry敲詐程序在啟動(dòng)時(shí)使用了一個(gè)躲避殺毒軟件的靜態(tài)文件特征查殺的技巧。它會(huì)釋放一個(gè)DLL模塊到內(nèi)存中，直接在內(nèi)存中加載運(yùn)行該DLL模塊，DLL模塊中的函數(shù)TaskStart用于啟動(dòng)整個(gè)加密的流程，動(dòng)態(tài)獲取文件系統(tǒng)和加密功能相關(guān)的API函數(shù)，用內(nèi)存中的動(dòng)態(tài)行為來和殺毒軟件的文件靜態(tài)掃描特征對(duì)抗。相關(guān)的逆向代碼如下：

圖58

2）特定目錄躲避

WannaCry在文件遍歷的過程中會(huì)排除和比較一些路徑或者文件夾名稱，其中有一個(gè)很有意思的目錄名“ This folder protects against ransomware. Modifying it will reduce protection”。我們發(fā)現(xiàn)這個(gè)目標(biāo)是國外的一款名為ransomfree的勒索防御軟件創(chuàng)建的防御目錄，勒索軟件如果觸碰這個(gè)目錄下的文件，就會(huì)被ransomfree查殺。所以，當(dāng)WannaCry遇到這個(gè)目錄時(shí)，就會(huì)自動(dòng)跳過去。這說明病毒作者有非常強(qiáng)的殺毒攻防對(duì)抗經(jīng)驗(yàn)。

（七） 數(shù)據(jù)恢復(fù)的可行性

通過對(duì)WannaCry文件加密流程分析，我們會(huì)發(fā)現(xiàn)程序在加密線程中會(huì)對(duì)滿足條件的文件用隨機(jī)數(shù)或0×55進(jìn)行覆寫，從而徹底破壞文件的結(jié)構(gòu)并防止數(shù)據(jù)被恢復(fù)。但是覆寫操作只限定于特定的文件夾和特定的后綴名。也就是說，程序只對(duì)滿足條件的文件進(jìn)行了覆寫操作，受害者機(jī)器上仍然有很多的文件未被覆寫，這就為數(shù)據(jù)恢復(fù)提供了可能。

而在刪除線程中，我們發(fā)現(xiàn)程序是先將源文件通過Windows系統(tǒng)的MoveFileEx函數(shù)移動(dòng)到其創(chuàng)建的臨時(shí)文件夾下，最后統(tǒng)一進(jìn)行刪除。在這個(gè)過程中源文件的文件名會(huì)發(fā)生改變，常規(guī)數(shù)據(jù)恢復(fù)軟件不知道這個(gè)文件操作邏輯，導(dǎo)致大部分文件無法恢復(fù)，如果我們針對(duì)改變的文件名調(diào)整文件恢復(fù)策略，就可能恢復(fù)大部分文件。

另一方面，因?yàn)閯h除操作和加密操作在不同的線程中，受用戶環(huán)境的影響，線程間的條件競爭可能存在問題，從而導(dǎo)致移動(dòng)源文件的操作失敗，使得文件在當(dāng)前位置被直接刪除，在這種情況下被加密的文件有很大概率可以進(jìn)行直接恢復(fù)，但是滿足這種情形的文件是少數(shù)。

根據(jù)以上分析，我們發(fā)現(xiàn)了除了系統(tǒng)盤外的文件外，用我們精細(xì)化處理的方法進(jìn)行數(shù)據(jù)恢復(fù)，被加密的文件有很大概率是可以完全恢復(fù)的。據(jù)此360公司開發(fā)了專門的恢復(fù)工具2.0版，以期幫助在此次攻擊中廣大的受害者恢復(fù)加密數(shù)據(jù)。

三、 WannaCry與永恒之藍(lán)

WannaCry的攻擊力極強(qiáng)，最主要的原因就是使用了NSA泄密的網(wǎng)絡(luò)武器永恒之藍(lán)。本章主要分析一下WannaCry與永恒之藍(lán)的具體關(guān)系。

（一） 永恒之藍(lán)的泄漏歷程

2016年8月13日，黑客組織Shadow Brokers聲稱攻破了為NSA開發(fā)網(wǎng)絡(luò)武器的美國黑客團(tuán)隊(duì)Equation Group，并表示，如果得到100萬比特幣（現(xiàn)價(jià)約合5.68億美元），將公開這些工具。后來的事實(shí)證明，該組織從2016年8月1日開始，就已經(jīng)在為披露包括永恒之藍(lán)在內(nèi)的一系列的NSA網(wǎng)絡(luò)攻擊武器做準(zhǔn)備。在這期間的13天里，該組織在Reddit，GitHub，Twitter，Imgur等多個(gè)平臺(tái)建立了相關(guān)的披露賬號(hào)，并且于13日開始將相關(guān)文檔在以上平臺(tái)進(jìn)行披露。被泄露的工具包為一個(gè)256MB左右的壓縮文件，其中包含未加密的壓縮包eqgrp-free-file.tar.xz.gpg，及被用于拍賣的壓縮包eqgrp-auction-file.tar.xz.gpg。

2017年1月8日，Shadow Brokers再度開賣竊取方程式組織的Windows系統(tǒng)漏洞利用工具，此次拍賣的工具要價(jià)750比特幣（當(dāng)時(shí)折合人民幣4650000元左右）。從公開的工具截圖來看此次的工具包括Windows的IIS、RPC、RDP和SMB等服務(wù)的遠(yuǎn)程代碼執(zhí)行，還有一些后門、Shellcode以及一些其他的小工具。 

2017年2月10日，一個(gè)疑似早期版本的WannaCry加解密模塊程序被上傳到的VirusTotal，代碼的編譯時(shí)間是2月9日。在WannaCry爆發(fā)以后，通過代碼相似度比較，我們有相當(dāng)大的把握認(rèn)為這個(gè)版本與后來肆虐網(wǎng)絡(luò)的版本同源。

2017年4月14日，Shadow Brokers公布了之前泄露文檔中出現(xiàn)的Windows相關(guān)部分的文件，該泄露資料中包含了一套針對(duì)Windows系統(tǒng)相關(guān)的遠(yuǎn)程代碼利用框架及漏洞利用工具（涉及的網(wǎng)絡(luò)服務(wù)范圍包括SMB、RDP、IIS及各種第三方的郵件服務(wù)器）。這批數(shù)據(jù)和工具是Shadow Brokers在2016年以來數(shù)次公布的數(shù)據(jù)中最有價(jià)值也同時(shí)最具攻擊力的一部分，其中涉及SMB服務(wù)的影響面最廣而且最穩(wěn)定的ETERNALBLUE漏洞利用工具直接催生了WannaCry勒索蠕蟲。

同日，微軟也發(fā)布了相應(yīng)的通告，Shadow Brokers公布的大部分之前未知的漏洞，在2017年3月14日的例行補(bǔ)丁包中已經(jīng)被修復(fù)，只要打好補(bǔ)丁，就可以免于攻擊。至于Shadow Brokers為何是要等到微軟已經(jīng)給系統(tǒng)打了補(bǔ)丁之后披露相關(guān)網(wǎng)絡(luò)武器，我們不得而知。

2017年5月12日，北京時(shí)間下午3點(diǎn)多前后，WannaCry勒索蠕蟲開始爆發(fā)。

2017年5月12日，北京時(shí)間晚上11點(diǎn)多，英國安全研究人員@MalwareTechBlog得到并分析了WannaCry蠕蟲樣本，發(fā)現(xiàn)樣本關(guān)聯(lián)了一個(gè)域名并將其注冊(cè)，在當(dāng)時(shí)他并不非常清楚此域名的作用。事實(shí)上由于惡意代碼本身的邏輯，此域名如果獲得有效的解析蠕蟲就會(huì)退出不再執(zhí)行后續(xù)破壞性的加密操作，所以此域名的注冊(cè)極大地抑制了勒索蠕蟲的破壞作用。之后該Twitter作者寫了文章成，“How to Accidentally Stop a Global Cyber Attacks”描述了他是如何第一時(shí)間注意到這次攻擊事件，并迅速做出應(yīng)對(duì)的過程。

2017年5月12日下午，360啟動(dòng)應(yīng)急響應(yīng)機(jī)制。同時(shí)，CNCert、網(wǎng)信、公安等也在全國范圍內(nèi)展開了積極的應(yīng)急響應(yīng)，并與包括360在內(nèi)的專業(yè)安全廠商進(jìn)行了積極的合作與聯(lián)動(dòng)。

2017年5月16日，經(jīng)歷過兩天的工作日，最終確認(rèn)，WannaCry的感染量不再增加，沒有出現(xiàn)不可控發(fā)展趨勢(shì)，針對(duì)WannaCry的應(yīng)急響應(yīng)告一段落。

（二） WannaCry模塊對(duì)比

通過對(duì)WannaCry程序代碼和實(shí)際發(fā)送的攻擊數(shù)據(jù)包進(jìn)行分析，我們發(fā)現(xiàn)程序使用的漏洞攻擊代碼和開源黑客工具所利用的永恒之藍(lán)漏洞攻擊近乎一致。

圖14是程序攻擊數(shù)據(jù)包的對(duì)比分析：左圖為病毒程序的逆向代碼，右圖為黑客工具metasploit的開源代碼，可以看到攻擊代碼的內(nèi)容幾乎一致。

圖59

圖60

我們?cè)賹⒆ト〉降?，程序的真?shí)攻擊網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析對(duì)比，發(fā)現(xiàn)攻擊的關(guān)鍵數(shù)據(jù)包也完全一致。

（三） 軍用武器的民用化

諸如永恒之藍(lán)這類軍用網(wǎng)絡(luò)攻擊武器被用于民用網(wǎng)絡(luò)攻擊領(lǐng)域的現(xiàn)象令人不安，這也暗示著基于NSA工具的SMB服務(wù)漏洞正在積極地被蠕蟲式利用傳播。在WannaCry勒索蠕蟲肆虐期間就出現(xiàn)了很多個(gè)去除掉自殺開關(guān)的修改版本，之后還發(fā)現(xiàn)了幾乎捆綁NSA所有可用SMB漏洞攻擊工具進(jìn)行傳播的EternalRocks（永恒之石）家族，這些派生的和其他惡意代碼家族理論上具備更強(qiáng)的傳播力，甚至?xí)饾u取代WannaCry蠕蟲的主流地位。

WannaCry蠕蟲的加密勒索行為會(huì)促使中招用戶盡快進(jìn)行處置，重裝系統(tǒng)、安裝補(bǔ)丁，以減少后續(xù)的感染源。但是，如果其他利用SMB漏洞進(jìn)行傳播的蠕蟲只是秘密地潛伏控制，不做更多引起用戶注意的事情，則可能持續(xù)地保持活躍狀態(tài)。2003年的SQL Slammer蠕蟲，就一個(gè)400多字節(jié)的UDP Payload，只存在于內(nèi)存中，理論上只要為數(shù)不多的受感染的系統(tǒng)同時(shí)重啟一次，蠕蟲就會(huì)被消滅，可是就這樣一個(gè)蠕蟲存活了至少十年（也許現(xiàn)在還活著）。2008年爆發(fā)的Conficker蠕蟲到現(xiàn)在都還處于活躍狀態(tài)，從監(jiān)測(cè)到的已感染的源IP數(shù)量來看，完全有可能再活躍10十年。

此外，Shadow Brokers還宣稱，將會(huì)在未來一段時(shí)間里，披露更多的NSA利用0day漏洞進(jìn)行攻擊的網(wǎng)絡(luò)武器。如果此言成真，很可能引起網(wǎng)絡(luò)安全更大的災(zāi)難。

四、 WannaCry的變種分析

就在WannaCry原始版本的蠕蟲泛濫成災(zāi)之時(shí)，360互聯(lián)網(wǎng)安全中心又監(jiān)測(cè)到了大量基于原始版本進(jìn)行修改的變種，總量達(dá)到數(shù)百個(gè)，在情報(bào)中心的圖關(guān)聯(lián)搜索中可以很直觀地看到部分關(guān)聯(lián)。見圖。

圖61

從圖中可以看到：

1）MD5值：d5dcd28612f4d6ffca0cfeaefd606bcf

  此變種和原始版本蠕蟲只有細(xì)微的差別，只是通過二進(jìn)制Patch的方法修改了自殺開關(guān)，病毒鏈接的URL的地址被改為http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

以后發(fā)現(xiàn)的多個(gè)類似變種也都采用了這種通過簡單二進(jìn)制Patch的方式修改開關(guān)域名的方法，與原始版本相關(guān)，整個(gè)惡意代碼只有域名部分的字節(jié)被進(jìn)行了修改。

 

圖62

WannaCry部分變種樣本及對(duì)應(yīng)開關(guān)域名如下表：

樣本 自殺開關(guān)

550ea639584fbf13a54eccdaa359d398 http://www.udhridhfowhgibe9vheiviehfiehbfvieheifheih.com

c2559b51cfd37bdbd5fdb978061c6c16 http://www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com

0156edf6d8d35def2bf71f4d91a7dd22 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

61f75bb0c76fe332bccfb3383e5e0178 http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

4287e15af6191f5cab1c92ff7be8dcc3 http://www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com

dd7216f5cb34dcf9bd42879bd528eaf4 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.cum

圖是原始版本W(wǎng)annaCry的開關(guān)域名與其中一個(gè)修改后域名的解析量對(duì)比。其中從對(duì)DNS訪問量的監(jiān)測(cè)來看，此類樣本對(duì)整體感染面影響基本可以忽略不計(jì)。

圖63

從圖中還可以看出，開關(guān)域名對(duì)蠕蟲的傳播影響非常大，在域名被安全研究者注冊(cè)，形成有效解析和訪問以后，初始的指數(shù)級(jí)感染趨勢(shì)很快被抑制，之后再也沒有超過最早快速上升階段所形成的高峰。

至于那些通過簡單Patch得到的蠕蟲為什么無法流行開來，我們猜測(cè)的原因倒并不是越來越多的系統(tǒng)被及時(shí)打上了補(bǔ)?。ㄟ@無法解釋為什么非WannaCry蠕蟲但同樣利用NSA SMB系列漏洞的其他惡意代碼感染量持續(xù)上升的趨勢(shì)），而是因?yàn)橹鳈C(jī)上的防病毒工具所起的作用。這些簡單Patch過的惡意代碼與原始版本太像了，基于特征碼的病毒查殺引擎就能非常有效地識(shí)別并做自動(dòng)化的處理，如果這類派生蠕蟲不像WannaCry那樣在活動(dòng)的早期感染量以鏈?zhǔn)椒磻?yīng)一樣迅速突破一個(gè)臨界值就很難再流行開來。

2）MD5值：d724d8cc6420f06e8a48752f0da11c66

該變種樣本在原版樣本的基礎(chǔ)上，從二進(jìn)制Patch直接去除了檢查開關(guān)域名以停止加密的功能，可以直接進(jìn)入感染流程。圖18為修改前后的比較。

圖64

但是，該樣本在勒索模塊的部分可能是由于作者疏忽，樣本里硬編碼的用于解壓zip的密碼還是WNcry@2ol7, 這個(gè)密碼并不能解壓成功，導(dǎo)致勒索流程被廢掉了。接來下的變種可能會(huì)修復(fù)這個(gè)“Bug”，而使攻擊的威脅程度大增。事實(shí)上，后來也確實(shí)出現(xiàn)了完全去除自殺開關(guān)并且可工作的版本。

綜上，這些基于原始蠕蟲簡單修改的惡意代碼已經(jīng)構(gòu)不成嚴(yán)重威脅，更麻煩的在于那些潛伏下來讓人無感知的惡意代碼家族，這些才是真正值得擔(dān)心的東西。

附錄3  從DNS和sinkhole視角看WannaCry蠕蟲

域名系統(tǒng)(Domain Name System, DNS)數(shù)據(jù)作為全網(wǎng)流量數(shù)據(jù)的一種采樣方式，可以在大網(wǎng)尺度對(duì)域名做有效的度量和分析。我們利用DNS數(shù)據(jù)，在過去數(shù)年里對(duì)多個(gè)安全事件，包括Mirai等僵尸網(wǎng)絡(luò)、DGA等惡意域名，以及黑色產(chǎn)業(yè)鏈條進(jìn)行跟蹤和分析。對(duì)于最近爆發(fā)的WannaCry蠕蟲病毒，利用DNS數(shù)據(jù)進(jìn)行分析，也是很有意義的。

眾所周知，WannaCry蠕蟲病毒有一個(gè)開關(guān)域名。在蠕蟲感染過程中，有效載荷通過445端口上的 MS17-010漏洞投遞并成功啟動(dòng)后，會(huì)嘗試訪問特定域名的網(wǎng)頁。如果成功訪問網(wǎng)頁，則隨即退出，蠕蟲會(huì)被壓制，不會(huì)進(jìn)一步發(fā)作；如果訪問網(wǎng)頁失敗，蠕蟲會(huì)開始破壞動(dòng)作，并隨后彈框勒索贖金。本文首先從我們手頭的DNS數(shù)據(jù)視角，就開關(guān)域名和其他域名的訪問情況，描繪本次WannaCry蠕蟲病毒在國內(nèi)的感染和防御情況。

盡管在注冊(cè)開關(guān)域名時(shí)，Kryptos Logic Vantage的研究人員并沒有意識(shí)到這個(gè)域名的重要作用，但實(shí)際上，正是這個(gè)開關(guān)域名成功防止了WannaCry蠕蟲的蔓延，研究人員因此自嘲說“意外地拯救了世界”。得益于Kryptos Logic Vantage對(duì)我們的信任，我們獲得了關(guān)鍵域名sinkhole的部分日志數(shù)據(jù)。本文的第二部分，將基于sinkhole日志的統(tǒng)計(jì)信息，分析WannaCry的感染情況。

從DNS視角看WannaCry在國內(nèi)的感染和防御情況

這里，有必要先介紹一下我們?cè)贒NS方面“看見”的能力，從而向讀者確認(rèn)我們所見的數(shù)據(jù)能夠代表中國地區(qū)。我們及合作伙伴的DNS數(shù)據(jù)源每日高峰期處理超過100萬次/秒的DNS請(qǐng)求和響應(yīng)，客戶來源覆蓋國內(nèi)各地理區(qū)域、行業(yè)、運(yùn)營商等不同領(lǐng)域。

在這次WannaCry事件中，我們估算能夠看到全國大約10%的相關(guān)DNS流量。如果將整個(gè)國內(nèi)互聯(lián)網(wǎng)視為一個(gè)復(fù)雜系統(tǒng)，DNSPAI則是對(duì)DNS流量的一個(gè)采樣，而全部的DNS流量是對(duì)整個(gè)復(fù)雜系統(tǒng)在協(xié)議維度的一個(gè)采樣。在這個(gè)尺度上，即使只有1%的采樣比也是非常驚人的。通過合理設(shè)定數(shù)據(jù)處理管道和充分運(yùn)用大數(shù)據(jù)分析技術(shù)，我們能夠?qū)χ袊箨懙貐^(qū)的網(wǎng)絡(luò)安全情況有一個(gè)較為全面的了解。

一、 WannaCry在國內(nèi)的感染趨勢(shì)

（一） 早期感染階段

5月12日（周五）15:20（北京時(shí)間，下同），我們看到了首個(gè)訪問該域名的DNS請(qǐng)求。此時(shí)的域名解析是不成功的，自然無法訪問到目標(biāo)網(wǎng)頁，機(jī)器一旦感染蠕蟲，就會(huì)發(fā)作。這個(gè)階段的DNS訪問曲線如圖所示。

圖65

這段時(shí)間又可以劃分為如下若干更小的時(shí)間片。

1）15:00～17:00之間，每個(gè)小時(shí)的感染數(shù)量分別是 9，25和202，每個(gè)小時(shí)擴(kuò)大約一個(gè)數(shù)量級(jí)，這是極早期快速感染階段；

2）17:00～22:00之間，每小時(shí)新增感染達(dá)到了一個(gè)較高水平，最高達(dá)到2800/小時(shí)，這是第一次高峰階段；

3）22:00～23:00之間，感染速度逐漸下降，這應(yīng)該是夜間更多機(jī)器關(guān)機(jī)導(dǎo)致，可以歸納為夜間自然下降階段；

仔細(xì)觀察這段時(shí)間的感染情況，可以得出以下結(jié)論：1)我們有理由認(rèn)為15:00附近就是國內(nèi)蠕蟲最初感染發(fā)作的時(shí)間，盡管我們看到的僅是國內(nèi)DNS數(shù)據(jù)的采樣而非全部。這是因?yàn)樽畛醯母腥舅俣确浅Ｐ?，為個(gè)位數(shù)，并且在隨后的每個(gè)小時(shí)內(nèi)擴(kuò)充約1個(gè)數(shù)量級(jí)，如果我們把時(shí)間向前追溯，就可以得到這個(gè)結(jié)論。2)壓制域名的上線有重大意義：在整個(gè)早期感染階段，蠕蟲擴(kuò)張的速度非?？欤绻皇菈褐朴蛎麪幦×藭r(shí)間，所有后續(xù)的防御行動(dòng)都會(huì)困難很多。事實(shí)上，周五這天晚上22:00附近就是WannaCry感染速度的歷史最高水平，即使是后來的周一早上上班大開機(jī)的時(shí)刻也沒能超過這個(gè)水平。

（二） 域名壓制階段

開關(guān)域名于周五23:30左右上線，開始了對(duì)WannaCry的壓制。這段時(shí)間也可以繼續(xù)細(xì)分為如下若干時(shí)間片段。

壓制域名同步到全網(wǎng)階段

由于DNS本身的緩存，壓制域名雖然最早于23:30左右上線，但是這個(gè)案例中還需要大約30分鐘才能讓全網(wǎng)所有節(jié)點(diǎn)都能感知到。在這30分鐘里，全網(wǎng)范圍內(nèi)DNS應(yīng)答中，NXDOMAIN（域名不存在）和A（回應(yīng)IP地址）兩種類型同時(shí)存在。前者在回落，后者在上升。域名上線后大約5～10分鐘時(shí)，兩條曲線出現(xiàn)十字交叉，域名上線30分鐘后，NXDOMAIN被壓制到地板附近。

圖66

平穩(wěn)控制階段

NXDOMAIN被壓制以后，過度到了平穩(wěn)控制階段。在這個(gè)階段，一方面，微軟補(bǔ)丁更新和安全社區(qū)的共同努力減少了感染機(jī)器的數(shù)量；另一方面，總有機(jī)器因?yàn)楦鞣N原因被新增感染。總體而言，總感染量處于動(dòng)態(tài)平衡狀態(tài)，并且會(huì)隨著時(shí)間推移最終平穩(wěn)下降。從既往其他類似情況看，下降過程也許會(huì)耗費(fèi)數(shù)年，并且往往會(huì)出現(xiàn)以周為單位的規(guī)律性波動(dòng)

圖67

在這個(gè)階段，有以下情況值得一提。

在5月17日以后，DNS數(shù)據(jù)中信噪比逐漸下降，逐漸變得不再適合用來做分析和度量。這主要是由于開關(guān)域名被媒體和公眾大量關(guān)注，越來越多的針對(duì)開關(guān)域名的訪問是來自瀏覽器而非WannaCry。

盡管如此，每天的DNS訪問曲線仍然是不多的風(fēng)向標(biāo)之一。在感染的早期，每個(gè)人都無法預(yù)測(cè)WannaCry的后續(xù)發(fā)展趨向，只能嚴(yán)密監(jiān)視域名訪問情況。白天相對(duì)夜晚有個(gè)波峰，這是正?，F(xiàn)象；周日的波峰比周六更高一些，沒人知道這是個(gè)什么樣的兆頭；直到周一早晨9:00的波峰開始回落，確認(rèn)周一讀數(shù)小于周五，我們才能基本認(rèn)為感染情況大體得到控制；隨后，在周三和周四感染情況有所反彈，每個(gè)人的心又提到嗓子眼；直到再下一周數(shù)據(jù)整體回落，我們才能最終確認(rèn)局勢(shì)受控，從應(yīng)急狀態(tài)回到平穩(wěn)的工作狀態(tài)。

二、WannaCry不同變種感染情況對(duì)比

隨著時(shí)間推移，不斷有WannaCry的不同變種被曝光，有的樣本去掉了對(duì)開關(guān)域名的檢測(cè)（但是幸運(yùn)的是該樣本被改壞了，無法正常啟動(dòng)），有的樣本使用了不同的開關(guān)域名，但是從DNS數(shù)據(jù)層面來看，除了原始版本，其他版本并沒有得到廣泛傳播。

我們至少捕獲到以下WannaCry變種樣本：

hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

hxxp://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

hxxp://www.udhridhfowhgibe9vheiviehfiehbfvieheifheih.com

hxxp://www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com

hxxp://www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com

對(duì)應(yīng)域名的DNS訪問曲線如圖所示。

傳播的主體，是iuqerf的原始版本；

ifferf版本有少量傳播，比原始版本小了一個(gè)數(shù)量級(jí)；

其他版本只有零星訪問或者干脆沒有訪問。

圖68 

變種版本的感染范圍遠(yuǎn)小于原始版本，也許可以歸為補(bǔ)丁防御工作開始啟動(dòng)。無論如何，可以預(yù)期后續(xù)變種如果僅僅修改了開源域名，并不會(huì)比 ifferf版本帶來更大影響?？傮w而言，在這個(gè)案例中，非原始版本的WannaCry的感染情況不值得引起安全社區(qū)的密切關(guān)注。

三、微軟WSUS補(bǔ)丁更新服務(wù)的訪問情況

微軟補(bǔ)丁是本次WannaCry防御體系的關(guān)鍵，理應(yīng)獲得比WannaCry變種更多的關(guān)注。查詢微軟WSUS服務(wù)的官網(wǎng)可知，WSUS服務(wù)與下列域名訪問有關(guān)：

?hxxp://windowsupdate.microsoft.com

?hxxp://download.windowsupdate.com

?hxxp://download.microsoft.com

?hxxp://test.stats.update.microsoft.com

?hxxp://ntservicepack.microsoft.com

簡單查詢可知，download.windowsupdate.com的訪問量最大，我們選用這個(gè)域名的DNS訪問情況來代表補(bǔ)丁更新情況，如圖所示。

圖69

  

通常而言，補(bǔ)丁更新分發(fā)的高峰是在“星期二補(bǔ)丁日”的第二天。按照慣例，微軟是在每個(gè)月第二周的星期二發(fā)補(bǔ)丁，第二天（周三）是中國區(qū)用戶更新的高峰時(shí)間。但是這一次，5月15日（周一）當(dāng)天出現(xiàn)了一個(gè)波峰。這種情況可以理解為系統(tǒng)網(wǎng)絡(luò)管理員、個(gè)人在經(jīng)過周六和周日的宣傳后，大量用戶在周一更新了微軟補(bǔ)丁。

從這個(gè)意義上來說，這一次整個(gè)安全社區(qū)在周六、周日緊急行動(dòng)起來，向社會(huì)和公眾說明情況，提供防御手段和解決方案，是非常必要的。如果錯(cuò)過了周六和周日宣傳準(zhǔn)備的時(shí)間窗口，周一早上的開機(jī)時(shí)刻也許就是災(zāi)難時(shí)刻。

四、 從sinkhole視角看WannaCry的感染情況

如前所述，得益于Kryptos Logic Vantage對(duì)我們的信任，我們獲得了域名sinkhole的關(guān)鍵日志。這段數(shù)據(jù)覆蓋了全球，是WannaCry事件中全球視角的唯一權(quán)威數(shù)據(jù)。Kryptos Logic Vantage授權(quán)我們展示部分統(tǒng)計(jì)信息。

我們得到的sinkhole數(shù)據(jù)，發(fā)生在北京時(shí)間5月12日23:40～5月16日8:10，缺失了5約13日10:30～5月14日00:20之間的數(shù)據(jù)。這段數(shù)據(jù)顯示，開關(guān)域名共計(jì)被訪問了266萬次，涉及16萬個(gè)獨(dú)立來源IP。

五、 Sinkhole與DNS數(shù)據(jù)對(duì)比分析

將sinkhole數(shù)據(jù)與DNS數(shù)據(jù)放在一起對(duì)比，可以清晰地進(jìn)行分析。如圖所示，藍(lán)色部分為sinkhole數(shù)據(jù)，紅色部分為DNS數(shù)據(jù)。DNS數(shù)據(jù)在縱軸上縮放了10倍，以便清晰地展示數(shù)據(jù)的趨勢(shì)。

圖70

按時(shí)間順序解讀圖，可以得知：

1）域名剛剛上線后的5個(gè)小時(shí)之內(nèi)是sinkhole訪問的歷史高峰，每分鐘約3500次；

2）上線6小時(shí)后sinkhole訪問數(shù)量開始持續(xù)回落，到北京時(shí)間5月14日6時(shí)許降低到高峰時(shí)段的十分之一，到15日3時(shí)為最低點(diǎn)，約為歷史高峰水平的三十分之一。可以認(rèn)為，域名上線，有效壓制了蠕蟲的發(fā)展；

以上觀察結(jié)果與之前DNS數(shù)據(jù)觀察結(jié)果一致。我們猜測(cè)，缺失的14個(gè)小時(shí)的數(shù)據(jù)，趨勢(shì)也是一直在下降。

六、來源端口和Windows動(dòng)態(tài)端口范圍設(shè)定

除了時(shí)序方面，來源端口方面的數(shù)據(jù)分布也引起了我們的注意。端口49150前后的來源訪問次數(shù)差別非常大，端口1024前后也有一個(gè)局部的暴漲。下圖分別是全端口分布、端口49150附近數(shù)據(jù)縮放以及端口1024附近數(shù)據(jù)縮放。

圖71

圖72

圖73

我們查到，Windows操作系統(tǒng)對(duì)動(dòng)態(tài)端口范圍有如表所示的設(shè)定。

基于以上事實(shí)，我們有如下推測(cè)。

1）相當(dāng)比例機(jī)器被感染的時(shí)機(jī)，發(fā)生在Windows剛剛啟動(dòng)完成的階段，這時(shí)動(dòng)態(tài)端口幾乎都沒有被使用，操作系統(tǒng)按照預(yù)設(shè)范圍由低到高，給請(qǐng)求分配了范圍下限附近的端口；

2）處在下限邊緣但很少被使用到的端口，例如，49152/49153/49154和1024/1025/1026/1027，也許是被操作系統(tǒng)自身在啟動(dòng)過程中用掉；

3）絕大部分被感染版本是Windows Vista/Windows 7/WindowsServer2008及以后版本，之前版本感染的不多。

附錄4  360勒索軟件協(xié)同防御解決方案

360勒索軟件協(xié)同防御解決方案是360企業(yè)安全為了幫助政企單位規(guī)避勒索軟件等新興安全威脅而推出的整體解決方案，全面兼顧事前、事中、事后不同階段的不同安全需求，通過安全運(yùn)營提升安全管理水平和響應(yīng)處置能力，通過威脅情報(bào)提前洞悉風(fēng)險(xiǎn)隱患，通過協(xié)同防御響應(yīng)處置威脅，通過百萬敲詐先賠免除后顧之憂，讓政企單位能夠更加從容的面對(duì)日益猖獗的勒索軟件等安全威脅。

方案構(gòu)成

大數(shù)據(jù)分析是安全可見的基礎(chǔ)，而威脅情報(bào)則是能否發(fā)現(xiàn)威脅的關(guān)鍵。傳統(tǒng)的安全防御措施缺乏大數(shù)據(jù)存儲(chǔ)與分析挖掘能力，也沒有豐富的威脅情報(bào)作為支撐，產(chǎn)品之間更是各自為政，因此很難及時(shí)發(fā)現(xiàn)并層層阻斷高級(jí)威脅。

基于安全協(xié)同的理念，360勒索軟件協(xié)同防御解決方案為客戶構(gòu)建了威脅情報(bào)驅(qū)動(dòng)的，終端安全、邊界安全、大數(shù)據(jù)分析等安全設(shè)備聯(lián)動(dòng)的縱深防御體系，將威脅情報(bào)與數(shù)據(jù)分析能力貫穿于監(jiān)測(cè)與防御體系，通過對(duì)云端威脅情報(bào)、邊界網(wǎng)絡(luò)流量與本地終端數(shù)據(jù)的匯總分析與協(xié)同響應(yīng)，以及持續(xù)高效的安全運(yùn)營，讓政企客戶能夠?qū)账鬈浖刃屡d安全威脅“看得見、防得住、查得清、搞得定”。

方案特點(diǎn)

1）基于威脅情報(bào)的預(yù)警服務(wù)

2）邊界+終端+威脅情報(bào)多層次智慧防御體系

3）特征+威脅情報(bào)多維檢測(cè)精準(zhǔn)告警

4）大數(shù)據(jù)驅(qū)動(dòng)的自動(dòng)化+人工有效響應(yīng)機(jī)制

5）百萬敲詐先賠保障

應(yīng)用價(jià)值

構(gòu)建完整防御架構(gòu)。防御手段必須完善才能不給勒索軟件可乘之機(jī)。這就需要充分考慮到每一個(gè)可能突破的薄弱環(huán)節(jié)，例如安全主機(jī)加固、安全域劃分、終端準(zhǔn)入機(jī)制、安全運(yùn)維體系。

提供增強(qiáng)持續(xù)監(jiān)測(cè)能力。攻擊隨時(shí)都在發(fā)生，安全系統(tǒng)應(yīng)該也要適應(yīng)動(dòng)態(tài)的安全環(huán)境，因此要充分考慮對(duì)安全狀態(tài)持續(xù)的監(jiān)測(cè)及對(duì)突發(fā)安全威脅及時(shí)遏制的能力。

建立及時(shí)響應(yīng)處置機(jī)制。防御系統(tǒng)隨時(shí)可能被攻破，為減少攻擊造成的損失，需要建立正確的應(yīng)急響應(yīng)流程，減少處理中流程錯(cuò)誤情況；能夠自動(dòng)化的響應(yīng)處置，加快處理速度；具有溯源取證能力，以便了解攻擊來源途徑。

建立安全預(yù)警規(guī)范。建立與安全廠商實(shí)時(shí)聯(lián)動(dòng)的安全預(yù)警中心，實(shí)時(shí)獲取最新的安全動(dòng)態(tài)，更新自身的安全系統(tǒng)。在下一次攻擊發(fā)生之前與安全廠商共同完成對(duì)內(nèi)的預(yù)警動(dòng)作。

增強(qiáng)云虛擬化場(chǎng)景下的主機(jī)防護(hù)能力。近年來，云計(jì)算已經(jīng)廣泛應(yīng)用，運(yùn)行Windows Server及Linux的 VM也會(huì)面臨蠕蟲勒索病毒的威脅。因此，云平臺(tái)的安全隱患也需要給予高度重視。