周五,英国的一些医院遭受了一次奇特的攻击:计算机被劫持,内部数据被加密并被勒索,仅需支付300美元。此次攻击迅速蔓延,影响了150个国家,瘫痪了从西班牙的电信公司到俄罗斯的内政部的一切。然后,侥幸的是,WanaCryptor攻击在周末前被及时发现的“杀毒开关”意外阻止了。我们究竟应该如何看待这次有史以来规模最大的勒索软件攻击?
它基于被泄露的NSA“网络武器”
这个蠕虫病毒,也被称为WannaCry、WanaCryptor和WannaCrypt,针对的是运行微软操作系统的计算机。它建立在一个名为EternalBlue的漏洞利用之上,这是由一个名为Shadow Brokers的组织发布的众多NSA“网络武器”之一,该组织去年夏天首次开始泄露NSA的工具。
它在不利用用户互动的情况下传播
与网络钓鱼或鱼叉式网络钓鱼攻击(即计算机被破坏是因为用户点击了目标电子邮件中的链接)不同,WannaCry在不利用任何人为错误的情况下运行。
知名的网络安全公司卡巴斯基实验室在其关于此次攻击的详细FAQ中写道:“或许Wannacry如此成功的主要原因是EternalBlue漏洞利用可以在互联网上运行,而无需任何用户交互。”因为它通过网络传播,即使“杀毒开关”处于激活状态,它仍然可以在本地网络内造成破坏,因为“杀毒开关”需要互联网才能工作。
“杀毒开关”是一个简单的URL检查
在WannaCry传播之前,它会检查是否能连接到一个特定的域名。如果该域名已被注册并占用,则病毒停止传播,不再进行任何操作。如果连接失败,WannaCry就会按照设计进行传播,感染计算机并要求支付赎金。
这个“杀毒开关”是由英国的一位年轻计算机安全研究员发现的,他注册了WannaCry程序中指定的域名,然后将流量重定向到一个用于捕获僵尸网络的“汇聚服务器”。这位安全研究员撰写了一篇关于捕捉WannaCry经历的精彩文章,链接在此。
为了表示感谢,这位化名的研究员的身份被英国小报泄露。保持匿名的一个原因是,可以更容易地完成安全工作,而不会成为他试图阻止的攻击者的特定目标。这对WannaCry尤其重要,因为未来版本的勒索软件(其中一些可能已经上线并正在传播)可能不会包含“杀毒开关”,这将使它们更难被阻止。
它以未打补丁的计算机为目标
微软发布了针对易受攻击操作系统的补丁,可以防止当前版本的WannaCry感染已打补丁的计算机。第一个保护此类攻击的补丁于3月发布,但并非所有用户都会自动下载和安装所有补丁或软件更新。微软为Windows XP 发布了一个补丁,这是一个16年前的操作系统,已不再官方支持,但仍被许多计算机使用。(微软还为另外两个仍处于“客户支持”阶段的操作系统发布了补丁:Windows 8和Windows Server 2003)。在其发布的关于此次攻击的客户指南中,微软建议自动更新作为一种预防措施。
思科的Talos威胁监控和保护团队还建议阻止TOR出口节点,这样WannaCry就无法通过匿名路由工具传播到组织内部。此外,Talos的建议包括行业最佳实践,例如只使用积极支持并接收安全更新的操作系统、及时安装安全补丁、运行反恶意软件、以及最重要的是,制定灾难恢复计划,定期备份数据并将其存储在离线设备上。存储的冗余数据越多,黑客越难访问,人们就越不愿意支付赎金。
防止和恢复此类攻击既昂贵又复杂
WannaCry的成功是多种复杂情况共同作用的结果。比特币作为向匿名罪犯支付赎金的方式的可用性,以及NSA本身开发的漏洞利用,都助长了此次攻击。两者都发生在人们和组织仍在使用旧软件的背景下,而且微软这样的公司很容易将责任推给NSA(制造了漏洞利用)和用户(未安装补丁)。
网络安全评论员Stilgherrian写道:“技术被 shipped 时充满了漏洞,以至于行业中很大一部分是由大量训练有素的专业人士组成,他们全力以赴地堵塞所有漏洞。然后,当客户不可避免地失误并陷入这个漏洞的洪流中时,供应商和网络安全专业人士就会指责他们不会游泳。”
或者,正如Pinboard的所有者(Stilgherrian引用的)更简洁地说
更宽泛地说,购买技术的组织希望将其用于预期用途,并且通常没有预算或专业知识来确保任何给定的技术都能完成其声明的任务并且没有安全漏洞。正如我们在周五WannaCry传播时指出的那样,安全研究人员早在11月份就发现NHS在使用过时的软件。修复该软件不仅仅是找到一个新的操作系统,而是找到并安装一个不会破坏现有系统的操作系统,然后培训所有需要使用它的人如何操作,然后希望新软件不会过时。持续的安全对于每个人来说都很昂贵,尤其是对于最终用户。而当事情出错时,可能会花费数千万美元,几乎所有成本都转移到了软件购买者身上,而不是软件制造商。
