安天安全研究與應(yīng)急處理中心(Antiy CERT)發(fā)現(xiàn)，北京時(shí)間2017年5月12日20時(shí)左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，我國(guó)大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染，教育網(wǎng)受損嚴(yán)重，攻擊造成了教學(xué)系統(tǒng)癱瘓，甚至包括校園一卡通系統(tǒng)。

據(jù)BBC報(bào)道，今天全球很多地方爆發(fā)一種軟件勒索病毒，只有繳納高額贖金(有的要比特幣)才能解密資料和數(shù)據(jù)，英國(guó)多家醫(yī)院中招，病人資料威脅外泄，同時(shí)俄羅斯，意大利，整個(gè)歐洲，包括中國(guó)很多高校……

經(jīng)過(guò)安天CERT緊急分析，判定該勒索軟件是一個(gè)名稱(chēng)為“wannacry”的新家族，目前無(wú)法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機(jī)的原因是利用了基于445端口傳播擴(kuò)散的SMB漏洞MS17-101，微軟在今年3月份發(fā)布了該漏洞的補(bǔ)丁。2017年4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進(jìn)行了這次全球性的大規(guī)模攻擊事件。

安天CERT在2017年4月14日發(fā)布的《2016年網(wǎng)絡(luò)安全威脅的回顧與展望》中提到“網(wǎng)絡(luò)軍火”的擴(kuò)散全面降低攻擊者的攻擊成本和勒索模式帶動(dòng)的蠕蟲(chóng)的回潮不可避免等觀點(diǎn)。結(jié)果未滿1個(gè)月，安天的這種“勒索軟件+蠕蟲(chóng)”的傳播方式預(yù)測(cè)即被不幸言中，并迅速進(jìn)入全球性的感染模式。

安天依托對(duì)“勒索軟件”的分析和預(yù)判，不僅能夠有效檢測(cè)防御目前“勒索軟件”的樣本和破壞機(jī)理，還對(duì)后續(xù)“勒索軟件”可能使用的技巧進(jìn)行了布防。安天智甲終端防御系統(tǒng)完全可以阻止此次勒索軟件新家族“wannacry”加密用戶磁盤(pán)文件。

事件分析

經(jīng)過(guò)安天CERT緊急分析，判定該勒索軟件是一個(gè)名稱(chēng)為“wannacry”的新家族，目前無(wú)法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機(jī)的原因是利用了基于445端口傳播擴(kuò)散的SMB漏洞MS17-101，微軟在今年3月份發(fā)布了該漏洞的補(bǔ)丁。2017年4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進(jìn)行了些次全球性的大規(guī)模攻擊事件。

當(dāng)系統(tǒng)被該勒索軟件入侵后，彈出勒索對(duì)話框：

圖1 勒索界面

加密系統(tǒng)中的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類(lèi)型的文件，被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。

圖 2 加密后的文件名

攻擊者極其囂張，號(hào)稱(chēng)“除攻擊者外，就算老天爺來(lái)了也不能恢復(fù)這些文檔” (該勒索軟件提供免費(fèi)解密數(shù)個(gè)加密文件以證明攻擊者可以解密加密文件，“點(diǎn)擊 按鈕，就可以免費(fèi)恢復(fù)一些文檔。”該勒索軟件作者在界面中發(fā)布的聲明表示，“3天內(nèi)付款正常，三天后翻倍，一周后不提供恢復(fù)”)。現(xiàn)實(shí)情況非常悲觀，勒索軟件的加密強(qiáng)度大，沒(méi)有密鑰的情況下，暴力破解需要極高的運(yùn)算量，基本不可能成功解密。

圖3 可解密數(shù)個(gè)文件

該勒索軟件采用包括英語(yǔ)、簡(jiǎn)體中文、繁體中文等28種語(yǔ)言進(jìn)行“本地化”。

圖4 28種語(yǔ)言

該勒索軟件會(huì)將自身復(fù)制到每個(gè)文件夾下，并重命名為“@WanaDecryptor@.exe”。同時(shí)衍生大量語(yǔ)言配置等文件：

圖5 衍生文件

該勒索軟件AES和RSA加密算法，加密的文件以“WANACRY!”開(kāi)頭：

圖6 加密文件

加密如下后綴名的文件：

PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注：該勒索軟件的部分版本在XP系統(tǒng)下因文件釋放未成功而未加密用戶文件。

圖7

臨時(shí)解決方案 -開(kāi)啟系統(tǒng)防火墻 -利用系統(tǒng)防火墻高級(jí)設(shè)置阻止向445端口進(jìn)行連接(該操作會(huì)影響使用445端口的服務(wù)) -打開(kāi)系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝

Win7、Win8、Win10的處理流程

1、打開(kāi)控制面板-系統(tǒng)與安全-Windows防火墻，點(diǎn)擊左側(cè)啟動(dòng)或關(guān)閉Windows防火墻

圖8

2、選擇啟動(dòng)防火墻，并點(diǎn)擊確定

圖9

3、點(diǎn)擊高級(jí)設(shè)置

圖10

4、點(diǎn)擊入站規(guī)則，新建規(guī)則

圖11

5、選擇端口，下一步

圖12

6、特定本地端口，輸入445，下一步

圖13

7、選擇阻止連接，下一步

圖14

8、配置文件，全選，下一步

圖15

9、名稱(chēng)，可以任意輸入，完成即可。

圖16

3.2 XP系統(tǒng)的處理流程

1、依次打開(kāi)控制面板，安全中心，Windows防火墻，選擇啟用

圖17

2、點(diǎn)擊開(kāi)始，運(yùn)行，輸入cmd，確定執(zhí)行下面三條命令

net stop rdr

net stop srv

net stop netbt

3、由于微軟已經(jīng)不再為XP系統(tǒng)提供系統(tǒng)更新，建議用戶盡快升級(jí)到高版本系統(tǒng)。

安天的有效應(yīng)對(duì)策略建議　　安天CERT曾發(fā)布多篇勒索軟件報(bào)告[2]：

《揭開(kāi)勒索軟件的真面目》

《"攻擊WPS樣本"實(shí)為敲詐者》

《郵件發(fā)送js腳本傳播敲詐者木馬的分析報(bào)告》

《首例具有中文提示的比特幣勒索軟件"LOCKY"》

《多起利用POWERSHELL傳播惡意代碼的事件分析》

《勒索軟件簡(jiǎn)史》

安天CERT曾在2004年繪制了當(dāng)時(shí)的主流蠕蟲(chóng)與傳播入口示意圖，該圖曾被多位研究者引用?？梢钥隙ǖ氖?，盡管其中很多方式在DEP和ASLR等安全強(qiáng)化措施下已經(jīng)失效，但存在問(wèn)題的老版本系統(tǒng)依然存在。勒索模式帶動(dòng)的蠕蟲(chóng)回潮不可避免，同時(shí)利用現(xiàn)有僵尸網(wǎng)絡(luò)分發(fā)，針對(duì)新興IoT場(chǎng)景漏洞傳播和制造危害等問(wèn)題都會(huì)廣泛出現(xiàn)。而從已經(jīng)發(fā)生的事件來(lái)看，被敲詐者不僅包括最終用戶，而且在大規(guī)模用戶被綁架后，廠商也遭到敲詐。

圖18 蠕蟲(chóng)時(shí)代的傳播入口到勒索軟件的傳播入口

圖19 需要警惕的勒索軟件入口

勒索軟件給國(guó)內(nèi)政企網(wǎng)絡(luò)安全也帶來(lái)了新的挑戰(zhàn)。在較長(zhǎng)時(shí)間內(nèi)，國(guó)內(nèi)部分政企機(jī)構(gòu)把安全的重心放在類(lèi)似網(wǎng)站是否被篡改或DDoS等比較容易被感知和發(fā)現(xiàn)的安全事件上，但對(duì)網(wǎng)絡(luò)內(nèi)部的竊密威脅和資產(chǎn)侵害則往往不夠重視，對(duì)惡意代碼治理更投入不足。因?yàn)槎鄶?shù)惡意代碼感染事件難以被直觀地發(fā)現(xiàn)，但“敲詐者”以端點(diǎn)為侵害目標(biāo)，其威脅后果則粗暴可見(jiàn)。同時(shí)，對(duì)于類(lèi)似威脅，僅僅依靠網(wǎng)絡(luò)攔截是不夠的，必須強(qiáng)化端點(diǎn)的最后一道防線，必須強(qiáng)調(diào)終端防御的有效回歸。安天智甲終端防御系統(tǒng)研發(fā)團(tuán)隊(duì)依托團(tuán)隊(duì)對(duì)“敲詐者”的分析和預(yù)判，依托安天反病毒引擎和主動(dòng)防御內(nèi)核，完善了多點(diǎn)布防，包括文檔訪問(wèn)的進(jìn)程白名單、批量文件篡改行為監(jiān)控、誘餌文件和快速文件鎖定等。經(jīng)過(guò)這些功能的強(qiáng)化，安天不僅能夠有效檢測(cè)防御目前“敲詐者”的樣本，并能夠分析其破壞機(jī)理，還對(duì)后續(xù)“敲詐者”可能使用的技巧進(jìn)行了布防。除了PC端的防護(hù)產(chǎn)品，安天AVL TEAM對(duì)Android平臺(tái)的反勒索技術(shù)做了很多前瞻性的研究工作，并應(yīng)用于安天移動(dòng)反病毒引擎中。安天能在網(wǎng)絡(luò)流量測(cè)使用探海威脅檢測(cè)系統(tǒng)檢測(cè)勒索軟件的傳播。

金錢(qián)夜未眠，在巨大的經(jīng)濟(jì)利益驅(qū)使下，未來(lái)勒索軟件的傳播途徑和破壞方式也會(huì)變得愈加復(fù)雜和難以防范。作為安天智甲的開(kāi)發(fā)者，我們期望幫助更多用戶防患于未然。

5完善內(nèi)網(wǎng)縱深防御體系和能力勢(shì)在必行　　從NSA網(wǎng)路軍火泄露ETERNALBLUE漏洞利用工具，到本次利用相關(guān)漏洞傳播的勒索軟件全球爆發(fā)，安天在本年度首次啟動(dòng)了A級(jí)風(fēng)險(xiǎn)預(yù)警到大規(guī)模安全風(fēng)險(xiǎn)應(yīng)急。

這是自心臟出血、破殼和mirai之后，安天又一次啟動(dòng)A級(jí)風(fēng)險(xiǎn)應(yīng)急，并為本次事件逐步從A級(jí)安全風(fēng)險(xiǎn)提升到大規(guī)模A級(jí)安全災(zāi)難。

在過(guò)去幾年間，類(lèi)似“紅色代碼”、“震蕩波”、“沖擊波”等大規(guī)模蠕蟲(chóng)感染帶來(lái)的網(wǎng)絡(luò)擁塞，系統(tǒng)大面積異常等事件日趨減少。而對(duì)基于PC節(jié)點(diǎn)的大規(guī)模僵尸網(wǎng)絡(luò)的關(guān)注也開(kāi)始不斷下降，類(lèi)似Mirai等IoT僵尸網(wǎng)絡(luò)開(kāi)始成為注意力的焦點(diǎn)。這使傳統(tǒng)IT網(wǎng)絡(luò)開(kāi)始陷入一種假想的“平靜”當(dāng)中。由于Windows自身在DEP、ASLR等方面的改善， 使一擊必殺的系統(tǒng)漏洞確實(shí)在日趨減少，主流的攻擊面也開(kāi)始向應(yīng)用開(kāi)始轉(zhuǎn)移。在這種表面上的平靜之中，以竊密、預(yù)制為目的的APT攻擊，則由于其是高度隱秘的、難以為IT資產(chǎn)的管理者感知到的攻擊，始終未能得到足夠的重視。而黑產(chǎn)犯罪的長(zhǎng)尾化，針對(duì)性的特點(diǎn)，也使其并不依賴極為龐大的受害人群分布，即可獲得穩(wěn)定的黑色收益。因此在過(guò)去幾年，內(nèi)網(wǎng)安全風(fēng)險(xiǎn)是圍繞高度隱蔽性和定向性展開(kāi)的，這種風(fēng)險(xiǎn)難以感知的特點(diǎn)，導(dǎo)致內(nèi)網(wǎng)安全未得到有效的投入和重視。也為導(dǎo)致今天的大規(guī)模安全災(zāi)難形成了必然基礎(chǔ)。勒索軟件的一大特點(diǎn)，是其威脅后果是直接可見(jiàn)的。這種極為慘烈的損失，昭示了內(nèi)網(wǎng)安全的欠賬。也說(shuō)明我們長(zhǎng)期在簡(jiǎn)單的邊界防護(hù)、物理隔離和內(nèi)部的好人假定的基礎(chǔ)上經(jīng)營(yíng)出安全圖景，是一種“眼不見(jiàn)為凈”式的自欺，無(wú)法通過(guò)攻擊者的檢驗(yàn)。

當(dāng)前，我國(guó)在內(nèi)網(wǎng)安全體系上的能力缺陷，一方面是安全產(chǎn)品未能得到全面部署和有效使用，另一方面則首先是其規(guī)劃建設(shè)中沒(méi)有落實(shí)“三同步”的原則，缺少基礎(chǔ)的安全架構(gòu)和。安天、360等能力型安全廠商共同認(rèn)同的滑動(dòng)標(biāo)尺模型，認(rèn)為安全能力可以劃分成架構(gòu)安全、被動(dòng)防御、積極防御、威脅情報(bào)等層次。各層次構(gòu)成一個(gè)有機(jī)的整體，網(wǎng)絡(luò)安全規(guī)劃以基礎(chǔ)的安全架構(gòu)和可靠的被動(dòng)防御手段為基礎(chǔ)，疊加有效的積極防御和威脅情報(bào)手段。如果沒(méi)有架構(gòu)安全和被動(dòng)防御的基礎(chǔ)支撐，那么上層能力難以有效發(fā)揮;如果沒(méi)有積極防御和威脅情報(bào)的有效引入，僅靠基礎(chǔ)措施也無(wú)法有效的對(duì)抗深度的威脅。每個(gè)安全層次解決不同的問(wèn)題，有不同的價(jià)值。相對(duì)更低的層次付出的成本更低，但解決的問(wèn)題更基礎(chǔ)廣泛。從網(wǎng)絡(luò)安全投入上看，越是網(wǎng)絡(luò)初期越要打好底層的工作，而越是保障高等級(jí)的資產(chǎn)，就需要在積極防御和威脅層面做出投入延展。