信息來源：FreeBuf

摘    要

2017年1-11月，360互聯(lián)網(wǎng)安全中心共截獲電腦端新增勒索軟件變種183種，新增控制域名238個。全國至少有472.5多萬臺用戶電腦遭到了勒索軟件攻擊，平均每天約有1.4萬臺國內(nèi)電腦遭到勒索軟件攻擊。

在向360互聯(lián)網(wǎng)安全中心求助的勒索軟件受害者中，Cerber、Crysis、WannaCry這三大勒索軟件家族的受害者最多，共占到總量的58.4%。其中，Cerber占比為21.0%，Crysis 占比為19.9%，WannaCry占比為17.5%。

2017年，勒索軟件的傳播方式主要有以下五種：服務(wù)器入侵傳播、利用漏洞自動傳播、郵件附件傳播、通過軟件供應(yīng)鏈進行傳播和利用掛馬網(wǎng)頁傳播。

遭遇勒索軟件攻擊的國內(nèi)電腦用戶遍布全國所有省份。其中，廣東占比最高，為14.9%，其次是浙江8.2%，江蘇7.7%。排名前十省份占國內(nèi)所有被攻擊總量的64.1%。

抽樣調(diào)研顯示，在遭到勒索軟件攻擊的政企機構(gòu)中，能源行業(yè)是遭受勒索軟件攻擊最多的行業(yè)，占比為42.1%，其次是醫(yī)療行業(yè)為22.8%，金融行業(yè)為17.8%。

2017年，勒索軟件的攻擊主要呈現(xiàn)以下特點：無C2服務(wù)器加密技術(shù)流行、攻擊目標轉(zhuǎn)向政企機構(gòu)、攻擊目的開始多樣化、勒索軟件平臺化運營、境外攻擊者多于境內(nèi)攻擊者。

2017年，約15%的勒索軟件攻擊是針對中小企業(yè)服務(wù)器發(fā)起的定向攻擊，尤以Crysis、xtbl、wallet、arena、Cobra等家族為代表。

2017年1月至11月，360反勒索服務(wù)共接到了2325位遭遇勒索軟件攻擊的受害者求助。調(diào)研數(shù)據(jù)顯示，男性是最容易受到勒索軟件攻擊的對象，占比高達90.5%，而女性占比僅為9.5%。

在向360互聯(lián)網(wǎng)安全中心求助的所有勒索軟件受害者中，IT/互聯(lián)網(wǎng)行業(yè)的受害者最多，占比為27.0%；其次是制造業(yè)，占比為18.6%；教育行業(yè)占比為14.8%。

從求助的受害者工作職位來看，普通職員超過受害者總數(shù)的一半以上，占51.8%，其次是經(jīng)理、高級經(jīng)理，占33.0%，企業(yè)中、中高管理層，占13.4%，CEO、董事長、總裁等占比為1.8%。

從求助的受害者文件感染類型可以看出，87.6%是受害者電腦上的辦公文檔被感染，其次，77.4%的圖片文件被感染，54.0%的視頻文件被感染，48.7%的音頻文件被感染，8.2%的數(shù)據(jù)庫文件被感染。

在求助的受害者中，已有5.8%的受害者為了恢復(fù)文件而支付贖金，另外94.2%的受害者選擇了拒絕為恢復(fù)文件而支付贖金。

2017年5月，影響全球的勒索軟件永恒之藍勒索蠕蟲（WannaCry）大規(guī)模爆發(fā)。它利用了據(jù)稱是竊取自美國國家安全局的黑客工具EternalBlue（永恒之藍）實現(xiàn)了全球范圍內(nèi)的快速傳播，在短時間內(nèi)造成了巨大損失。

不同行業(yè)遭受永恒之藍勒索蠕蟲攻擊的情況也有所不同，工程建設(shè)行業(yè)是遭受攻擊最多的行業(yè)，占比為20.5%，其次制造業(yè)為17.3%，能源行業(yè)為15.3%。

本次報告還總結(jié)了勒索軟件攻擊與應(yīng)急響應(yīng)的十大典型案例，其中五個為永恒之藍攻擊與響應(yīng)典型案例，另五個為服務(wù)器入侵攻擊與響應(yīng)典型案例。

2018年勒索軟件攻擊趨勢預(yù)測：從整體態(tài)勢來看，勒索軟件的質(zhì)量和數(shù)量將不斷攀升，并且會越來越多的使用免殺技術(shù)；從攻擊特點來看，勒索軟件的自我傳播能力將越來越強，靜默期也會不斷延長；從攻擊目標來看，勒索軟件攻擊的操作系統(tǒng)類型將越來越多，同時定向攻擊能力也將更加突出；此外，勒索軟件造成的經(jīng)濟損失會越來越大，受害者支付贖金的數(shù)量也會越來越多，但由于各種原因，通過支付贖金恢復(fù)文件的成功率將大幅下降。

在反勒索軟件方面，以下技術(shù)最有可能成為主流趨勢：文檔自動備份隔離保護技術(shù)、智能誘捕技術(shù)、行為追蹤技術(shù)、智能文件格式分析技術(shù)和數(shù)據(jù)流分析技術(shù)等。對于企業(yè)級用戶來說，云端免疫技術(shù)、密碼保護技術(shù)等也將起到至關(guān)重要的作用。

研究背景

勒索軟件是近兩年來影響最大，也最受關(guān)注的網(wǎng)絡(luò)安全威脅形式之一。攻擊者通過電子郵件、網(wǎng)絡(luò)滲透、蠕蟲病毒等多種形式，向受害者的電腦終端或服務(wù)器發(fā)起攻擊，加密系統(tǒng)文件并勒索贖金。

2016年，包括IBM、Symantec、360等國內(nèi)外多家知名安全機構(gòu)已經(jīng)開始高度關(guān)注勒索軟件攻擊。2016年12月，360互聯(lián)網(wǎng)安全中心發(fā)布了《2016 敲詐者病毒威脅形勢分析報告（年報）》。報告指出，2016年，全國至少有497萬多臺用戶電腦遭到了勒索軟件攻擊，成為對網(wǎng)民直接威脅最大的一類木馬病毒。

2017年，勒索軟件繼續(xù)呈現(xiàn)出全球性蔓延態(tài)勢，攻擊手法和病毒變種也進一步多樣化。特別是2017年5月全球爆發(fā)的永恒之藍勒索蠕蟲（WannaCry，也有譯作“想哭”病毒）和隨后在烏克蘭等地流行的Petya病毒，使人們對于勒索軟件的關(guān)注達到了空前的高度。在全球范圍內(nèi)，政府、教育、醫(yī)院、能源、通信、制造業(yè)等眾多關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域都遭受到了前所未有的重大損失。

與WannaCry無差別的顯性攻擊相比，針對中小企業(yè)網(wǎng)絡(luò)服務(wù)器的精準攻擊則是隱性的，不為多數(shù)公眾所知，但卻也已成為2017年勒索軟件攻擊的另一個重要特點。統(tǒng)計顯示，在2017年的國內(nèi)勒索軟件的攻擊目標中，至少有15%是明確針對政企機構(gòu)的，其中由以中小企業(yè)為主要目標。相比于一般的個人電腦終端或辦公終端，服務(wù)器數(shù)據(jù)的珍貴程度和不可恢復(fù)性更強（針對服務(wù)器的滲透式勒索攻擊一般不會留下死角或備份），因此被勒索者支付贖金的意愿也相對更強。

為進一步深入研究勒索軟件的攻擊特點和技術(shù)手段，幫助個人電腦用戶和廣大政企機構(gòu)做好網(wǎng)絡(luò)安全防范措施，360互聯(lián)網(wǎng)安全中心對2017年的勒索軟件攻擊形勢展開了全面的研究，分別從攻擊規(guī)模、攻擊特點、受害者特征、典型案例、趨勢預(yù)測等幾個方面進行深入分析。

第一章勒索軟件的大規(guī)模攻擊

2017年以來，360互聯(lián)網(wǎng)安全中心監(jiān)測到大量針對普通網(wǎng)民和政企機構(gòu)的勒索軟件攻擊。勒索軟件已成為對網(wǎng)民直接威脅最大的一類木馬病毒。本章內(nèi)容主要針對，2017年1月-11月期間，360互聯(lián)網(wǎng)安全中心監(jiān)測到的勒索軟件的相關(guān)數(shù)據(jù)進行分析。

一、勒索軟件的攻擊量

2017年1-11月，360互聯(lián)網(wǎng)安全中心共截獲電腦端新增勒索軟件變種183種，新增控制域名238個。全國至少有472.5多萬臺用戶電腦遭到了勒索軟件攻擊，平均每天約有1.4萬臺國內(nèi)電腦遭到勒索軟件攻擊。

特別說明，2017年截獲的某些勒索病毒，如Cerber病毒，會向某個IP地址段進行群呼，以尋找可能響應(yīng)的控制服務(wù)器。病毒這樣做的目的可能是為了避免其服務(wù)器被攔截。如果沒有服務(wù)器響應(yīng)群呼消息，病毒則會按照其他既定流程執(zhí)行代碼。2017年，360互聯(lián)網(wǎng)安全中心共截獲新增此類IP地址段51個。

下圖給出了勒索軟件1月至11月期間每月攻擊用戶數(shù)的情況。從圖中可見，4月攻擊高峰期時的攻擊量為81.1萬，一天之內(nèi)被攻擊的電腦平均可達2.7萬臺。11月是第二個攻擊小高峰，一天之內(nèi)被攻擊的電腦平均可達3.1萬臺。下圖分別給出了2017年1月至11月勒索軟件每月攻擊的態(tài)勢分析圖形。注意，此部分攻擊態(tài)勢分析數(shù)據(jù)不包含WannaCry勒索蠕蟲的相關(guān)數(shù)據(jù)。

圖1

2017年四月份發(fā)生的大規(guī)模勒索軟件攻擊，主要是因為Shadow Brokers（影子經(jīng)紀人）組織公開了披露美國國家安全局發(fā)現(xiàn)的漏洞“永恒之藍”，雖然“WannaCry”是在五月份爆發(fā)的，但此漏洞一直都有被別的勒索軟件利用進行攻擊。

10月至11月發(fā)生的大規(guī)模勒索軟件攻擊，主要是因為在10月份時出現(xiàn)了一種以.arena為后綴的勒索軟件，11月份時出現(xiàn)了一種以.java為后綴的勒索軟件。這兩款勒索軟件主要是由攻擊者通過嫻熟的手法入侵服務(wù)器后釋放勒索病毒的。以.arena和.java為后綴的勒索軟件在10月至11月流行的主要原因有三：

1）攻擊者入侵手段升級導(dǎo)致成功率大幅提高；

2）這兩款勒索軟件成功入侵了大量企業(yè)的服務(wù)器；

3）以.arena和.java為后綴的這兩款勒索軟件都屬于Crysis家族，這個家族每次更換新的私鑰都會換一個后綴（10月份是.arena后綴，11月份是.Java后綴）。新出現(xiàn)的.arena和.java替代了.wallet開始流行。

二、勒索軟件的家族分布

統(tǒng)計顯示，在向360互聯(lián)網(wǎng)安全中心求助的勒索軟件受害者中，Cerber、Crysis、WannaCry這三大勒索軟件家族的受害者最多，共占到總量的58.4%。其中，Cerber占比為21.0%，Crysis 占比為19.9%，WannaCry占比為17.5%，具體分布如下圖所示。

圖2

結(jié)合360互聯(lián)網(wǎng)安全中心的大數(shù)據(jù)監(jiān)測分析，下圖給出了2017年不同勒索軟件家族在國內(nèi)的活躍時間分析。特別需要說明的是：“類Petya”勒索病毒（該病毒說明請參考第四章的第二節(jié)介紹），雖然在國外發(fā)動了大規(guī)模的攻擊行為，產(chǎn)生了及其重要影響，但是在國內(nèi)基本就沒有傳播，所以在下圖中沒有體現(xiàn)這兩個家族。

圖3

三、勒索軟件的傳播方式

360互聯(lián)網(wǎng)安全中心監(jiān)測顯示，黑客為了提高勒索軟件的傳播效率，也在不斷更新攻擊方式，釣魚郵件傳播依然是黑客常用的傳播手段，服務(wù)器入侵的手法更加嫻熟運用，同時也開始利用系統(tǒng)自身的漏洞進行傳播。今年勒索軟件主要采用以下五種傳播方式：

1）服務(wù)器入侵傳播

以Crysis家族為代表的勒索軟件主要采用此類攻擊方式。黑客首先通過弱口令、系統(tǒng)或軟件漏洞等方式獲取用戶名和密碼，再通過RDP（遠程桌面協(xié)議）遠程登錄服務(wù)器，一旦登錄成功，黑客就可以在服務(wù)器上為所欲為，例如：卸載服務(wù)器上的安全軟件并手動運行勒索軟件。所以，在這種攻擊方式中 ，一旦 服務(wù)器被入侵，安全軟件一般是不起作用的。

服務(wù)器能夠被成功入侵的主要原因還是管理員的帳號密碼被破解。而造成服務(wù)器帳號密碼被破解的主要原因有以下幾種：為數(shù)眾多的系統(tǒng)管理員使用弱密碼，被黑客暴力破解；還有一部分是黑客利用病毒或木馬潛伏在用戶電腦中，竊取密碼；除此之外還有就是黑客從其他渠道直接購買賬號和密碼。黑客得到系統(tǒng)管理員的用戶名和密碼后，再通過遠程登錄服務(wù)器，對其進行相應(yīng)操作。

2）利用漏洞自動傳播

今年，通過系統(tǒng)自身漏洞進行傳播擴散成為勒索軟件的一個新的特點。上半年震動世界的WannaCry勒索病毒就是利用微軟的永恒之藍（EternalBlue）漏洞進行傳播。黑客往往抓住很多人認為打補丁沒用還會拖慢系統(tǒng)的錯誤認識，從而利用剛修復(fù)不久或大家重視程度不高的漏洞進行傳播。如果用戶未及時更新系統(tǒng)或安裝補丁，那么即便用戶未進行任何不當操作，也有可能在完全沒有預(yù)兆的情況下中毒。此類勒索軟件在破壞功能上與傳統(tǒng)勒索軟件無異，都是加密用戶文件勒索贖金。但因為傳播方式不同，導(dǎo)致更加難以防范，需要用戶自身提高安全意識，盡快更新有漏洞的軟件或安裝對應(yīng)的安全補丁。

3）軟件供應(yīng)鏈攻擊傳播

軟件供應(yīng)鏈攻擊是指利用軟件供應(yīng)商與最終用戶之間的信任關(guān)系，在合法軟件正常傳播和升級過程中，利用軟件供應(yīng)商的各種疏忽或漏洞，對合法軟件進行劫持或篡改，從而繞過傳統(tǒng)安全產(chǎn)品檢查達到非法目的的攻擊類型。

2017年爆發(fā)的Fireball、暗云III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner等后門事件均屬于軟件供應(yīng)鏈攻擊。而在烏克蘭爆發(fā)的類Petya勒索軟件事件也是其中之一，該病毒通過稅務(wù)軟件M.E.Doc的升級包投遞到內(nèi)網(wǎng)中進行傳播。

4）郵件附件傳播

通過偽裝成產(chǎn)品訂單詳情或圖紙等重要文檔類的釣魚郵件，在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開郵件附件，便會執(zhí)行里面的腳本，釋放勒索病毒。這類傳播方式的針對性較強，主要瞄準公司企業(yè)、各類單位和院校，他們最大的特點是電腦中的文檔往往不是個人文檔，而是公司文檔。最終目的是給公司業(yè)務(wù)的運轉(zhuǎn)制造破壞，迫使公司為了止損而不得不交付贖金。

5）利用掛馬網(wǎng)頁傳播

通過入侵主流網(wǎng)站的服務(wù)器，在正常網(wǎng)頁中植入木馬，讓訪問者在瀏覽網(wǎng)頁時利用IE或Flash等軟件漏洞進行攻擊。這類勒索軟件屬于撒網(wǎng)抓魚式的傳播，并沒有特定的針對性，一般中招的受害者多數(shù)為裸奔用戶，未安裝任何殺毒軟件。

四、勒索軟件攻擊的地域

360互聯(lián)網(wǎng)安全中心監(jiān)測顯示，遭遇勒索軟件攻擊的國內(nèi)電腦用戶遍布全國所有省份。其中，廣東占比最高，為14.9%，其次是浙江8.2%，江蘇7.7%。排名前十省份占國內(nèi)所有被攻擊總量的64.1%。

圖4

2017年勒索軟件攻擊地域分布如下圖所示。

圖5

五、勒索軟件服務(wù)器分布

360互聯(lián)網(wǎng)安全中心針對最為活躍的部分勒索軟件的C2服務(wù)器域名后綴的歸屬地進行了分析，結(jié)果顯示：.com域名被使用的最多，約為總量的一半，為48.7%，.net和.org占比分別為3.8%和1.7%。此外，屬于歐洲國家的域名最多，占31.9%，其次是亞洲國家4.6%，南美洲國家1.7%，大洋洲國家1.7%，北美洲國家1.3%。

特別值得注意的是，主流的大勒索家族都不再使用C2服務(wù)器加密技術(shù)了，但還是有很多小眾勒索家族在使用C2服務(wù)器的加密技術(shù)。

圖6

六、勒索軟件攻擊的行業(yè)

為更加深入的了解各行業(yè)勒索軟件遭到攻擊的情況，360威脅情報中心 聯(lián)合全國一百余家政府機構(gòu)、事業(yè)單位和大中型企業(yè)的IT管理人員，對各企業(yè)遭勒索軟件攻擊情況展開了深入的調(diào)查分析。并希望此項研究能夠?qū)Ω鄼C構(gòu)的網(wǎng)絡(luò)管理者提供有價值的參考信息。

不同行業(yè)政企機構(gòu)遭受勒索軟件攻擊的情況分析顯示，能源行業(yè)是遭受攻擊最多的行業(yè)，占比為42.1%，其次為醫(yī)療行業(yè)為22.8%，金融行業(yè)為17.8%，具體分布如下圖所示。需要說明的是，遭到攻擊多不代表被感染的設(shè)備多。攻擊量是通過企業(yè)級終端安全軟件的監(jiān)測獲得的。

圖7

從上圖中，我們知道能源、醫(yī)療衛(wèi)生、金融是遭受勒索軟件攻擊最多的三個行業(yè)，那么究竟是哪些家族對這三個行業(yè)發(fā)動的攻擊呢？下表分別給出了每個行業(yè)遭受勒索軟件攻擊最多的前五個家族，具體如下表所示。可以看出，針對不同行業(yè)，攻擊者者所使用的勒索軟件類型是有很大區(qū)別的。

表 1   能源、醫(yī)療衛(wèi)生、金融行業(yè)遭受勒索攻擊的家族TOP5

七、勒索軟件的攻擊特點

如果說，掛馬攻擊是2016年勒索軟件攻擊的一大特點，那么2017年，勒索軟件的攻擊則呈現(xiàn)出以下六個明顯的特點：無C2服務(wù)器加密技術(shù)流行、攻擊目標轉(zhuǎn)向政企機構(gòu)、攻擊目的開始多樣化、勒索軟件平臺化運營、影響大的家族贖金相對少、境外攻擊者多于境內(nèi)攻擊者。

(一)無C2服務(wù)器加密技術(shù)流行

2017年，我們發(fā)現(xiàn)黑客在對文件加密的過程中，一般不再使用C2服務(wù)器了，也就是說現(xiàn)在的勒索軟件加密過程中不需要回傳私鑰了。

這種技術(shù)的加密過程大致如下：

1）在加密前隨機生成新的加密密鑰對（非對稱公、私鑰）

2）使用該新生成新的公鑰對文件進行加密

3）把新生成的私鑰采用黑客預(yù)埋的公鑰進行加密保存在一個ID文件或嵌入在加密文件里

解密過程大致如下：

1）通過郵件或在線提交的方式，提交ID串或加密文件里的加密私鑰（該私鑰一般黑客會提供工具提取）；

2）黑客使用保留的預(yù)埋公鑰對應(yīng)的私鑰解密受害者提交過來的私鑰；

3）把解密私鑰或解密工具交付給受害者進行解密。

圖8

通過以上過程可以實現(xiàn)每個受害者的解密私鑰都不相同，同時可以避免聯(lián)網(wǎng)回傳私鑰。這也就意味著不需要聯(lián)網(wǎng)，勒索病毒也可以對終端完成加密，甚至是在隔離網(wǎng)環(huán)境下，依然可以對文件和數(shù)據(jù)進行加密。顯然 ，這種技術(shù)是針對采用了各種隔離措施的政企機構(gòu)所設(shè)計的。

(二)攻擊目標轉(zhuǎn)向政企機構(gòu)

2017年，勒索軟件的攻擊進一步聚焦在高利潤目標上，其中包括高凈值個人、連接設(shè)備和企業(yè)服務(wù)器。特別是針對中小企業(yè)網(wǎng)絡(luò)服務(wù)器的攻擊急劇增長，已經(jīng)成為2017年勒索軟件攻擊的一大鮮明特征。據(jù)不完全統(tǒng)計，2017年，約15%的勒索軟件攻擊是針對中小企業(yè)服務(wù)器發(fā)起的定向攻擊，尤以Crysis、xtbl、wallet、arena、Cobra等家族為代表。

客觀的說，中小企業(yè)往往安全架構(gòu)單一，相對容易被攻破。同時，勒索軟件以企業(yè)服務(wù)器為攻擊目標，往往也更容易獲得高額贖金。例如：針對Linux服務(wù)器的勒索軟件Rrebus，雖然名氣不大，卻輕松從韓國Web托管公司Nayana收取了100萬美元贖金，是震驚全球的永恒之藍全部收入的7倍之多。Nayana所以屈服，是因為超150臺服務(wù)器受到攻擊，上面托管著3400多家中小企業(yè)客戶的站點。這款勒索病毒的覆蓋面有限，韓國幾乎是唯一的重災(zāi)區(qū)。

(三)針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊

以WannaCry、類Petya為代表的勒索軟件，則是將關(guān)鍵信息基礎(chǔ)設(shè)施作為了主要攻擊目標，這在以往是從未出現(xiàn)過的嚴峻情況。關(guān)鍵基礎(chǔ)設(shè)施為社會生產(chǎn)和居民生活提供公共服務(wù)，保證國家或地區(qū)社會經(jīng)濟活動正常進行，其一旦被攻擊將嚴重影響人們的日常生活，危害巨大。

(四)攻擊目的開始多樣化

顧名思義，勒索軟件自然就是要勒索錢財。但這種傳統(tǒng)認知已經(jīng)在2017年被打破。以網(wǎng)絡(luò)破壞、組織破壞為目的的勒索軟件已經(jīng)出現(xiàn)并開始流行。其中最為典型的代表就是類Petya。與大多數(shù)勒索軟件攻擊不同，類Petya的代碼不是為了向受害者勒索金錢，而是要摧毀一切。類Petya病毒的主要攻擊目的就是為了破壞數(shù)據(jù)而不是獲得金錢。此外，以Spora為代表的竊密型勒索軟件在加密用戶文檔時，還會竊取用戶賬號密碼和鍵盤輸入等信息，屬于功能復(fù)合型勒索軟件。

這些不僅以“勒索”為目的的“勒索軟件”，實際上只是結(jié)合了傳統(tǒng)勒索軟件對文件進行加密的技術(shù)方法來實現(xiàn)其數(shù)據(jù)破壞、信息竊取等其他攻擊目的。相比于勒索金錢，這種攻擊將給對手帶來更大的破壞和更大的威脅。這不僅會引發(fā)網(wǎng)絡(luò)犯罪“商業(yè)模式”的新變種，而且會反過來刺激網(wǎng)絡(luò)保險市場的進一步擴張。

(五)勒索軟件平臺化運營

2017年，勒索軟件已經(jīng)不再是黑客單打獨斗的產(chǎn)物，而是做成平臺化的上市服務(wù)，形成了一個完整的產(chǎn)業(yè)鏈條。在勒索軟件服務(wù)平臺上，勒索軟件的核心技術(shù)已經(jīng)直接打包封裝好了，小黑客直接購買調(diào)用其服務(wù)，即可得到一個完整的勒索軟件。這種勒索軟件的生成模式我們稱其為RaaS服務(wù)，而黑市中一般用“Satan Ransomware（撒旦勒索軟件）”來指代由RaaS服務(wù)生成的勒索軟件。

RaaS服務(wù)允許任何犯罪者注冊一個帳戶，并創(chuàng)建自己定制版本的撒旦勒索軟件。一旦勒索軟件被創(chuàng)建，那么犯罪分子將決定如何分發(fā)勒索軟件，而RaaS服務(wù)平臺將處理贖金支付和增加新功能。對于這項服務(wù)，RaaS服務(wù)平臺的開發(fā)者將收取受害者所支付贖金的30％，購買RaaS服務(wù)者將獲取剩余70％的贖金。

(六)境外攻擊者多于境內(nèi)攻擊者

2017年，勒索軟件的攻擊源頭以境外為主。絕大多數(shù)的勒索軟件攻擊者基本都是境外攻擊者，國內(nèi)攻擊者較少，而且國內(nèi)攻擊者技術(shù)水平也相對較低，制作水平也不高。有些國內(nèi)攻擊者編寫的勒索軟件程序甚至存在很多漏洞，因此也比較容易被破解。比如：MCR勒索病毒，我們可以直接獲取到密鑰從而恢復(fù)文件。

第二章勒索軟件受害者特征分析

2017年1月至11月，360反勒索服務(wù)共接到了2325位遭遇勒索軟件攻擊的受害者求助。為了更好的了解勒索軟件的感染原因及受害者特點，以幫助更多的用戶提高安全意識，免遭勒索軟件侵害，本次報告特別對這兩千多位求助受害者進行了隨機抽樣調(diào)研，并從中選取了有效的452份調(diào)研問卷進行分析。本報告的第二章內(nèi)容中的各項數(shù)據(jù)統(tǒng)計，均是來源于本次抽樣調(diào)研的統(tǒng)計結(jié)果。

一、受害者的求助情況

2017年1月至11月，360反勒索服務(wù)共接到了2325位遭遇勒索軟件攻擊的受害者求助。從數(shù)據(jù)統(tǒng)計中可以看到，5月份是受害者求助的高峰期，主要是因為WannaCry勒索蠕蟲的爆發(fā)。受害者每月求助情況具體如下圖所示。

圖9

調(diào)研發(fā)現(xiàn)，目前絕大多數(shù)求助用戶并不是在安裝了360安全衛(wèi)士，并開啟了反勒索服務(wù)的情況下感染的勒索軟件。特別值得注意的是，還有相當數(shù)量的受害者在感染勒索軟件時，電腦上沒有安裝任何安全軟件。

二、受害者的基本特征

調(diào)研數(shù)據(jù)顯示，男性是最容易受到勒索軟件攻擊的對象，占比高達90.5%，而女性占比僅為9.5%。

圖10

在360互聯(lián)網(wǎng)安全中心接到的受害者主動尋求幫助的人群中，63.5%為企業(yè)用戶，36.5%為個人用戶。通過對受害者的調(diào)研分析發(fā)現(xiàn)，攻擊者會針對企業(yè)用戶采取服務(wù)器入侵、郵件傳播等方式傳播勒索軟件，造成的危害比較高。企業(yè)用戶電腦中毒以后，由于被加密的多是相對更加重要的公司辦公和業(yè)務(wù)文件，因此，企業(yè)用戶往往會更加積極尋求解決辦法，特別是更加積極向?qū)I(yè)安全廠商尋求幫助。

圖11

從求助的受害者所在的行業(yè)分類（注：此處與上一章中根據(jù)攻擊量監(jiān)測進行的行業(yè)分析統(tǒng)計方法有所不同）中可以看出，IT/互聯(lián)網(wǎng)行業(yè)的受害者最多，占比為27.0%；其次是制造業(yè)，占比為18.6%；教育行業(yè)占比為14.8%。具體分布如下圖所示。

圖12

從求助的受害者所在的職位分類中可以看出，普通職員是遭遇勒索軟件攻擊次數(shù)最多的受害者，超過受害者總數(shù)的一半以上，占比為51.8%，其次是經(jīng)理、高級經(jīng)理，占比為33.0%，企業(yè)中、中高管理層，占比為13.4%，CEO、董事長、總裁等企業(yè)的掌舵者被勒索軟件攻擊的比例也達到1.8%。

圖13

三、受害者的感染情況

從求助的受害者感染勒索軟件的途徑可以看出，44.0%的受害者不知道自己是如何感染的勒索軟件，可見該病毒在感染、執(zhí)行過程中具有極強的隱蔽性，讓受害者難以察覺。20.4%的受害者是因為服務(wù)器被入侵而感染的勒索軟件，7.3%的受害者是因為開啟3389端口（Windows系統(tǒng)自帶的遠程控制端口），黑客通過遠程控制用戶的電腦，進而讓其感染勒索軟件。具體如下圖所示?？梢?，2017年，帶毒電子郵件已經(jīng)不是再是勒索軟件傳播的主要途徑。

圖14

從求助的受害者文件感染類型可以看出，87.6%是受害者電腦上的辦公文檔被感染，其次，77.4%的圖片文件被感染，54.0%的視頻文件被感染，48.7%的音頻文件被感染，8.2%的數(shù)據(jù)庫文件被感染。數(shù)據(jù)庫文件被加密主要是由于今年發(fā)現(xiàn)了大量針對服務(wù)器的攻擊，尤其是針對網(wǎng)絡(luò)安全措施相對較弱的中小企業(yè)，從而導(dǎo)致數(shù)據(jù)庫被加密的現(xiàn)象時有發(fā)生。

圖15

在被詢問到哪種被病毒加密的文件類型造成損失更加重大的問題時，77.4%的受害者認為辦公文檔被加密造成的損失破壞最大；其次是認為照片視頻文件造成的損失嚴重，占比為46.7%；郵件和聊天記錄占比為13.5%；數(shù)據(jù)庫類文件占比為11.9%；游戲存檔類文件占比為4.2%。

圖16

我們發(fā)現(xiàn)，在主動尋求幫助的受害者中，辦公文檔是感染數(shù)量最多，同時也是導(dǎo)致受害者損失最大的文件類型。因為辦公文檔中往往含有我們工作中用到的重要資料，更加被我們重視和關(guān)注。

四、贖金支付與支付方式

根據(jù)360反勒索服務(wù)平臺對受到勒索軟件攻擊用戶的統(tǒng)計數(shù)據(jù)顯示，絕大多數(shù)的勒索軟件均以比特幣為贖金支付方式，從而使資金流向和攻擊者本人都無法被追蹤。但是，9月底時比特幣在中國已經(jīng)全面停止交易了，導(dǎo)致受害者文件被勒索病毒感染后更加難以恢復(fù)。

抽樣調(diào)查顯示，在這些求助的受害者中，已有5.8%的受害者為了恢復(fù)文件而支付贖金，另外94.2%的受害者選擇了拒絕為恢復(fù)文件而支付贖金。

進一步調(diào)查顯示，在支付贖金的受害者中，46.2%的受害者是自己按照病毒提示兌換比特幣的方式付款的，26.9%的受害者是通過在淘寶平臺找代付贖金服務(wù)付款的，26.9%的受害者是通過請朋友幫助操作付款的。

圖17

另外，我們發(fā)現(xiàn)用戶通過不同方式支付贖金的成功率有很大的不同。比如，在淘寶平臺找勒索軟件代付贖金服務(wù)的用戶中，85.7%的受害者最終成功支付了贖金，并恢復(fù)了文件；朋友幫忙付款的，57.1%的受害者成功支付了贖金，并恢復(fù)了文件；而自己按照勒索軟件提示去兌換比特幣付款的用戶中，僅有50.0%的受害者成功支付贖金，并恢復(fù)了文件。

如前所述，絕大多數(shù)，即94.2%的受害者選擇了拒絕為恢復(fù)文件而支付贖金。本次報告也特別對這些受害者為什么會拒絕支付贖金的問題進行了調(diào)研。結(jié)果顯示：39.4%的受害者是因為不相信支付贖金后會給自己的文件解密，27.0%的受害者是因為不想繼續(xù)縱容黑客進而選擇拒絕支付贖金，15.5%的受害者是因為相信會有恢復(fù)工具能夠修復(fù)加密的文件，具體如下圖所示。

圖18

五、影響贖金支付的因素

用戶調(diào)研顯示，影響支付贖金的最重要、最根本的因素是被感染文檔本身的重要性。不過，除了文件本身的重要性之外，究竟還有哪些因素會影響用戶贖金支付意愿呢？本次報告從受害者的月收入和所在行業(yè)這兩個方面對用戶進行了調(diào)研。

從受害者的收入方面來看，月收入在1.5W以上的受害者最愿意支付贖金，他們選擇支付贖金的人占比為10.3%。對于高收入人群來說，電腦中的文件尤其是辦公文檔非常重要，而且他們支付能力更強，所以他們往往更愿意支付贖金。下圖給出了具體情況分析。

圖19

下圖給出了求助的不同行業(yè)受害者支付贖金的比例對比。統(tǒng)計顯示，金融行業(yè)中招的受害者竟無一人支付贖金，這與2016年的情況大相徑庭。在2016年的調(diào)研統(tǒng)計中，金融行業(yè)受害者支付贖金的比例最高，達33.3%。此外，2017年，求助的金融行業(yè)受害者僅占求助者總數(shù)的2.9%，相比去年4.5%有一定的下降趨勢。進一步的調(diào)研分析發(fā)現(xiàn)，造成這種明顯變化的主要原因是：金融機構(gòu)在2017年普遍加強了網(wǎng)絡(luò)安全建設(shè)和災(zāi)備恢復(fù)能力，雖然也有感染情況發(fā)生，但抗災(zāi)容災(zāi)能力明顯增強。

圖 20

綜合收入、職位和行業(yè)這三方面因素來看，受害者所屬的行業(yè)是對支付意愿影響最大的因素。

六、恢復(fù)感染文件的方法

感染勒索軟件后，對于用戶來說，最重要的是能否恢復(fù)被加密的文件。目前來看，成功支付贖金的受害者都成功的恢復(fù)了被加密的文件。可見，目前勒索軟件攻擊者的“信用”還是不錯的。此外，由于目前仍有相當一部分的勒索軟件并未規(guī)范使用加密算法，對文件進行加密，所以，對于感染了此類勒索軟件的用戶來說，即便不支付贖金，也可以通過專業(yè)安全機構(gòu)，如360等安全廠商提供的一些解密工具對文件進行解密。還有一些用戶提前對重要文件進行了備份，所以也最終成功恢復(fù)了文件。

總體來看，在接受調(diào)研的受害者中，有11.5%的受害者最終成功恢復(fù)了文件，另外88.5%的受害者沒有恢復(fù)文件。在受害者恢復(fù)文件的方式中，30.8%的受害者是通過支付贖金恢復(fù)的文件，25.0%的受害者是通過歷史備份（如云盤、移動硬盤等）恢復(fù)的文件，23.1%的受害者是通過解密工具恢復(fù)文件的，21.2%的受害者是通過專業(yè)人士破解恢復(fù)文件的。

圖21

用戶電腦感染勒索軟件后，需要進行及時的清除。但不同的人也會選擇不同的方法進行清除。抽樣調(diào)查結(jié)果顯示：38.9%的受害者通過重裝系統(tǒng)清除了病毒，18.1%的受害者通過安裝安全軟件查殺掉病毒，6.0%的受害者直接刪除中毒文件。

特別值得注意的是，我們發(fā)現(xiàn)有36.9%的受害者在知道自己電腦已經(jīng)感染勒索軟件后，沒有采取任何措施清除病毒。這是十分危險的，因為盡管目前已知的絕大多數(shù)勒索軟件的攻擊都是“一次性”的，但也有一部分病毒會帶有諸如“下載者”這樣的病毒成分，不及時處理，電腦就有可能會持續(xù)不斷的遭到更多的木馬病毒的侵害。

圖22

另外，研究發(fā)現(xiàn)，受害者選擇采用何種方式清除病毒，與用戶是否支付了贖金沒有關(guān)系。

還有一點特別值得注意。在我們協(xié)助受害者進行電腦檢測時發(fā)現(xiàn)，有相當數(shù)量的受害者在感染勒索軟件時，并未安裝任何安全軟件。

調(diào)查中還發(fā)現(xiàn)，對于沒有安裝安全軟件的受害者，在感染勒索軟件后會首先下載并安裝安全軟件進行病毒查殺。但是，這種操作是存在一定的風險性的。如果受害者自行清除病毒，可能會同時刪除掉被加密的文件和本地保留的密鑰文件，造成文檔無法解密。

第三章 WannaCry勒索軟件的大規(guī)模攻擊

2017年5月，影響全球的勒索軟件永恒之藍勒索蠕蟲（WannaCry）大規(guī)模爆發(fā)，它利用了據(jù)稱是竊取自美國國家安全局的黑客工具EternalBlue（永恒之藍）實現(xiàn)了全球范圍內(nèi)的快速傳播，在短時間內(nèi)造成了巨大損失。本章主要針對永恒之藍勒索蠕蟲事件進行分析。關(guān)于WannaCry的深入技術(shù)分析，詳見本報告“附錄2 WannaCry攻擊技術(shù)詳解”。

一、勒索蠕蟲的空前影響

永恒之藍勒索蠕蟲(WannaCry)可能是自沖擊波病毒以來，影響范圍最廣，破壞程度最大的一款全球性病毒。特別是在該病毒的攻擊過程中，大量“不聯(lián)網(wǎng)”的、一向被認為是相對比較安全的企業(yè)和機構(gòu)的內(nèi)網(wǎng)設(shè)備也被感染，這給全球所有企業(yè)和機構(gòu)都敲響了警鐘：沒有絕對的隔離，也沒有絕對的安全，不聯(lián)網(wǎng)的不一定比聯(lián)網(wǎng)的更加安全。

作為一款“破壞性”病毒，WannaCry的傳播速度和影響都是十分驚人的。360互聯(lián)網(wǎng)安全中心于2017年5月12日中午13點44分，截獲了WannaCry的首個攻擊樣本，是世界上最早截獲該病毒的公司。而在隨后的短短幾個小時內(nèi)，就有包括中國、英國、美國、德國、日本、土耳其、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等國家被報告遭到了WannaCry的攻擊，大量機構(gòu)設(shè)備陷入癱瘓。

根據(jù)360互聯(lián)網(wǎng)安全中心的數(shù)據(jù)統(tǒng)計，僅僅30多個小時，截至2017年5月13日20:00時，360互聯(lián)網(wǎng)安全中心便已截獲遭WannaCry病毒攻擊的我國政企機構(gòu)IP地址29372個。而從后續(xù)國內(nèi)外媒體披露的情況來看，在全球范圍內(nèi)遭受此次WannaCry病毒攻擊的國家已超過了100個。

WannaCry感染電腦設(shè)備后，會將電腦中的辦公文檔、照片、視頻等文件加密，并向用戶勒索比特幣。

2017年5月12日下午14時許，距發(fā)現(xiàn)WannaCry病毒僅僅十幾分鐘，360安全監(jiān)測與響應(yīng)中心就啟動了針對WannaCry的黃色應(yīng)急響應(yīng)程序，并于當日下午14:26，通過360安全衛(wèi)士微博發(fā)出全面預(yù)警通告。與此同時，CNCert、各地網(wǎng)信辦、公安機關(guān)等部門也都先后啟動了全國范圍內(nèi)的大規(guī)模應(yīng)急響應(yīng)預(yù)警和處置工作。經(jīng)過全國安全工作者大約72小時的連續(xù)奮戰(zhàn)，截至2017年5月15日下午，WannaCry的快速傳播得到了有效的抑制，到5月16日，新增感染者數(shù)量已經(jīng)非常有限。

二、WannaCry攻擊態(tài)勢分布

360互聯(lián)網(wǎng)安全中心監(jiān)測顯示，WannaCry自被發(fā)現(xiàn)以來，相關(guān)網(wǎng)絡(luò)攻擊一直存在，而且攻擊范圍越來越廣。

WannaCry病毒入侵到用戶的電腦后，首先會先訪問一個特定的，原本并不存在的網(wǎng)站：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果連接成功則退出程序，連接失敗則繼續(xù)攻擊（相當于是個開關(guān)）。但在WannaCry大爆發(fā)第二天（2017年5月13日晚），英國的一個分析人員對這個域名進行了注冊，病毒再訪問這個網(wǎng)站就發(fā)現(xiàn)能訪問了，即不再加密用戶數(shù)據(jù)。所以5月份之后，遭到WannaCry攻擊的聯(lián)網(wǎng)電腦中的文件不會被實質(zhì)性加密。也就是說雖然該病毒還在傳播，但已經(jīng)沒有實際危害了。2017年5月-11月，永恒之藍勒索蠕蟲WannaCry攻擊態(tài)勢分析如下圖所示。

圖23

360威脅情報中心及360天擎的監(jiān)測信息顯示，不同行業(yè)遭受永恒之藍勒索蠕蟲攻擊的情況也有所不同，工程建設(shè)行業(yè)是遭受攻擊最多的行業(yè)，占比為20.5%，其次制造業(yè)為17.3%，能源行業(yè)為15.3%，具體分布如下圖所示。需要說明的是，該數(shù)據(jù)是根據(jù)2017年5-11月的總體情況進行分析和統(tǒng)計的，與5月份永恒之藍勒索蠕蟲剛剛爆發(fā)時相關(guān)數(shù)據(jù)統(tǒng)計有一定的區(qū)別。

圖24

三、三位一體的新型病毒

從事后分析來看，WannaCry的大規(guī)模傳播絕非偶然。除了政企機構(gòu)普遍存在的電腦更新不及時，系統(tǒng)防護能力弱等客觀原因外，WannaCry所獨有的一些新型特點也是其得以成功傳播的關(guān)鍵。WannaCry最主要的特點是：勒索軟件+蠕蟲病毒+永恒之藍。也正是由于這一特點，360互聯(lián)網(wǎng)安全中心將該病毒的中文名稱譯為：永恒之藍勒索蠕蟲。

首先，WannaCry是首次被發(fā)現(xiàn)的勒索軟件與蠕蟲病毒的組合體。

勒索軟件是最近一兩年開始流行起來的一種趨利明顯的惡意程序，它會使用非對稱加密算法加密受害者電腦內(nèi)的重要文件并以此來向受害者索要贖金，除非受害者支付贖金，否則被加密的文件無法被恢復(fù)。而以往的勒索軟件，大多是通過掛馬、郵件以及其他一些社工手段進行點對點的傳播，從未出現(xiàn)過眾多用戶被自動攻擊的情況。

而蠕蟲病毒的歷史則比較久遠，最早可以追溯到1988年著名的莫里斯蠕蟲。這類病毒主要是利用系統(tǒng)漏洞，對聯(lián)網(wǎng)設(shè)備進行掃描，并發(fā)起自動攻擊。早些年也曾出現(xiàn)過類似“沖擊波”這樣破壞性明顯的蠕蟲病毒，但近年來，蠕蟲病毒則主要被用于制造僵尸網(wǎng)絡(luò)，用以發(fā)動諸如垃圾郵件攻擊和DDoS攻擊等，少量蠕蟲會進行盜竊數(shù)字資產(chǎn)等活動。

但WannaCry則是首次將“勒索”與“蠕蟲”相結(jié)合，從而使勒索軟件獲得了一種超低成本的攻擊方式，并在現(xiàn)實攻擊中得以猖獗。從結(jié)果來看，WannaCry破壞了海量的數(shù)據(jù)，不僅導(dǎo)致了信息的損毀，還直接導(dǎo)致依賴文件進行工作的電腦和設(shè)備失去服務(wù)能力，引發(fā)業(yè)務(wù)的中斷，影響從線上波及線下，甚至使很多政府機構(gòu)對外辦事機構(gòu)都停了工。

第二，WannaCry是軍用武器民用化的產(chǎn)物。

蠕蟲病毒的攻擊其實每天都在發(fā)生。但如果只是一般的蠕蟲病毒，也不至于傳播得如此廣泛。而WannaCry的一個重要特點，就是整合了Shadow Brokers（影子經(jīng)紀人，黑客組織）所公布的，據(jù)稱是NSA數(shù)字武器庫中最好用的武器：ETERNALBLUE（永恒之藍） SMB漏洞利用工具。盡管在WannaCry爆發(fā)時，永恒之藍所利用的系統(tǒng)漏洞已經(jīng)被微軟的官方補丁修護，但由于該漏洞補丁僅推出一個月，很多政企機構(gòu)還未能及時給自己的內(nèi)網(wǎng)設(shè)備全面更新，加之永恒之藍是一款軍用級網(wǎng)絡(luò)攻擊武器，未打補丁的設(shè)備很難有效防護，所以使得WannaCry的攻擊異常順利。

事實上，早在2015年Hacking Team武器庫泄漏事件后，軍用網(wǎng)絡(luò)武器的民用化趨勢就已經(jīng)呈現(xiàn)了出來，WannaCry的出現(xiàn)，使這種趨勢成為了噩夢。

四、自殺開關(guān)的成敗得失

WannaCry在邏輯設(shè)計上，有一個非常不可思議的特點，就是該病毒啟動時，會首先訪問一個原本并不存在的網(wǎng)址URL：http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。之后，WannaCry會根據(jù)對該URL的訪問結(jié)果來決定是否再繼續(xù)執(zhí)行下去：如果訪問成功，程序會直接退出；如果訪問失敗，程序才會繼續(xù)攻擊下去。

下圖是逆向的程序啟動邏輯的C語言偽代碼。

圖25

圖26

這的確是一個非常罕見的病毒設(shè)計邏輯。起初我們猜測這個啟動邏輯可能是蠕蟲作者為了控制蠕蟲活躍度而設(shè)計的一個云開關(guān)，而蠕蟲作者最終可能是因為害怕被追蹤而放棄了注冊這個域名。但在分析該病毒的其他部分代碼時，我們發(fā)現(xiàn)WannaCry的作者應(yīng)該是一名對病毒檢測對抗擁有豐富經(jīng)驗的人，所以我們又猜測作者可能是出于對抗檢測的目的而設(shè)計了這個開關(guān)。

具體來說，目前的病毒檢測分為在線檢測和離線檢測兩種。離線檢測能保證病毒檢測系統(tǒng)以安全高效的方式工作。但要做“離線病毒分析”，就需要對病毒檢測系統(tǒng)做很多特殊處理，比如檢測系統(tǒng)需要欺騙病毒程序使其認為自己是運行在連線的網(wǎng)絡(luò)環(huán)境中。這就需要使用到Fake Responses（欺騙響應(yīng)）技術(shù)：即病毒的所有網(wǎng)絡(luò)請求都會被病毒檢測系統(tǒng)模擬響應(yīng)。所以，病毒作者可能是想使用這個啟動邏輯來識別病毒檢測系統(tǒng)是否有網(wǎng)絡(luò)欺騙行為，以保護病毒在傳播初期不被殺毒廠商快速檢測封殺，從而錯過控制蠕蟲病毒大范圍感染傳播的最佳時機。而一旦病毒感染的設(shè)備達到一定的規(guī)模，就會呈現(xiàn)幾何基數(shù)的快速增長，進而變得不可控。

但從實戰(zhàn)情況來看，也恰恰這個被特殊設(shè)計的自殺開關(guān)，成為了安全人員追蹤和反制WannaCry傳播的重要方法。首先，由于英國的一組安全研究人員快速注冊了這個本不存在URL，從而直接避免了大量聯(lián)網(wǎng)設(shè)備感染W(wǎng)annaCry后被鎖；第二，我們可以通過WannaCry對該URL的訪問請求量或DNS解析量進行分析，來實現(xiàn)對WannaCry感染疫情的總體監(jiān)控。360互聯(lián)網(wǎng)安全中心也正是基于DNS解析量的分析，快速實現(xiàn)了對WannaCry感染疫情態(tài)勢感知。

在WannaCry后期的各類變種中，有的修改了自殺開關(guān)的URL地址，有的則是直接刪除了該自殺開關(guān)。

五、WannaCry整體攻擊流程

WannaCry整體攻擊流程大致如下：

1）利用永恒之藍工具，通過MS17-010漏洞，入侵用戶電腦；

2）執(zhí)行一個dll文件，釋放可執(zhí)行模塊mssecsvc.exe；

3）訪問指定URL，即自殺開關(guān)；

4）若指定URL連接不上，則釋放mssecsvc2.0；

5）釋放Dropper，對電腦中的文件進行加密及發(fā)送勒索消息；

6）感染其他電腦。

圖27

六、WannaCry穿透內(nèi)網(wǎng)原因

2017年5月，影響全球的永恒之藍勒索蠕蟲（Wannacry）大規(guī)模爆發(fā)后，有兩個重要問題一直讓很多我國政企機構(gòu)管理者和安全從業(yè)者感到困惑：一個是內(nèi)網(wǎng)穿透問題，一個是同業(yè)差距問題。

1）內(nèi)網(wǎng)穿透問題

WannaCry傳播和攻擊的一個明顯的特點，就是內(nèi)網(wǎng)設(shè)備遭感染的情況要比互聯(lián)網(wǎng)設(shè)備遭感染的情況嚴重得多。雖然說，未打補丁是內(nèi)網(wǎng)設(shè)備中招的根本原因，但WannaCry究竟是如何穿透的企業(yè)網(wǎng)絡(luò)隔離環(huán)境，特別是如何穿透了物理隔離的網(wǎng)絡(luò)環(huán)境，一直是令業(yè)界困惑的問題。

2）同業(yè)差距問題

WannaCry傳播和攻擊的另外一個重要特點，就是有些機構(gòu)大面中招，而有些機構(gòu)則幾乎無一中招。而且，即便是在同行業(yè)、同規(guī)模、同級別，甚至是安全措施都差不太多的大型政企機構(gòu)中，也是有的機構(gòu)全面淪陷，有的機構(gòu)卻安然無事。究竟是什么原因?qū)е逻@種天差地別的結(jié)果呢？

為能深入研究上述兩個問題，尋找國內(nèi)政企機構(gòu)安全問題的癥結(jié)所在及有效的解決途徑，360威脅情報中心聯(lián)合360安全監(jiān)測與響應(yīng)中心，對5月12日-5月16日間，國內(nèi)1700余家大中型政企機構(gòu)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)情況進行了抽樣調(diào)研。并對上述問題得出了一些初步結(jié)論。

此次調(diào)研顯示，在大量感染W(wǎng)annaCry的機構(gòu)案例中，病毒能夠成功入侵政企機構(gòu)內(nèi)部網(wǎng)絡(luò)，主要原因有以下幾類：

1）一機雙網(wǎng)缺乏有效管理

一機雙網(wǎng)或一機多網(wǎng)問題，是此次WannaCry能夠成功入侵物理隔離網(wǎng)絡(luò)的首要原因。一機雙網(wǎng)問題是指一臺電腦設(shè)備既連接在物理隔離的網(wǎng)絡(luò)中，同時又直接與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)相連。病毒首先通過互聯(lián)網(wǎng)感染某臺設(shè)備，隨后再通過這臺染毒設(shè)備攻擊內(nèi)網(wǎng)系統(tǒng)中的其他設(shè)備。

2）缺陷設(shè)備被帶出辦公區(qū)

將未打補丁或有安全缺陷的設(shè)備帶出辦公場所，并與互聯(lián)網(wǎng)相連，是此次WannaCry感染內(nèi)網(wǎng)設(shè)備的第二大主要原因。WannaCry爆發(fā)初期，時逢“一帶一路”大會前夕。很多機構(gòu)在此期間進行了聯(lián)合集中辦公，其中就不乏有機構(gòu)將內(nèi)部辦公網(wǎng)上電腦設(shè)備被搬到了集中辦公地點使用。這些電腦日常缺乏有效維護，未打補丁，結(jié)果不慎與互聯(lián)網(wǎng)相連時就感染了WannaCry。而這些被帶出辦公區(qū)的缺欠電腦，又由于工作需要，持續(xù)的，或不時的會通過VPN、專線等方式與機構(gòu)內(nèi)網(wǎng)相連，于是又將WannaCry感染到了機構(gòu)的內(nèi)網(wǎng)設(shè)備中。

3）協(xié)同辦公網(wǎng)絡(luò)未全隔離

這是一類比較特殊的問題，但在某些政企機構(gòu)中比較突出。即，某些機構(gòu)在其辦公系統(tǒng)或生產(chǎn)系統(tǒng)中，同時使用了多個功能相互獨立，但又需要協(xié)同運作的網(wǎng)絡(luò)系統(tǒng)；而這些協(xié)同工作的網(wǎng)絡(luò)系統(tǒng)中至少有一個是可以與互聯(lián)網(wǎng)相連的，從而導(dǎo)致其他那些被“物理隔離”的網(wǎng)絡(luò)，在協(xié)同工作過程中，因網(wǎng)絡(luò)通信而被病毒感染。

4）防火墻未關(guān)閉445端口

這一問題主要發(fā)生在政企機構(gòu)內(nèi)部的不同子網(wǎng)之間。大型政企機構(gòu)，或存在跨地域管理的政企機構(gòu)之中，發(fā)生此類問題的較多。一般來說，企業(yè)使用的防火墻設(shè)備，大多會對互聯(lián)網(wǎng)訪問關(guān)閉445端口。但很多企業(yè)在內(nèi)部多個子網(wǎng)系統(tǒng)之間的防火墻（內(nèi)部防火墻）上，卻沒有關(guān)閉445端口。從而導(dǎo)致這些政企機構(gòu)內(nèi)部的某個子網(wǎng)中一旦有一臺設(shè)備感染了WannaCry（可能是前述任何一種原因），病毒就會穿透不同子網(wǎng)之間防火墻，直接對其他子網(wǎng)系統(tǒng)中的設(shè)備發(fā)動攻擊，最終導(dǎo)致那些看起來相互隔離的多個子網(wǎng)系統(tǒng)全部淪陷，甚至有個別企業(yè)的共享服務(wù)器被感染后，直接導(dǎo)致其在各地分支機構(gòu)的網(wǎng)絡(luò)設(shè)備全部中招。

5）辦公網(wǎng)與生活網(wǎng)未隔離

這一問題在某些超大型政企機構(gòu)中比較突出。受到歷史、地理等復(fù)雜因素的影響，這些機構(gòu)大多自行建設(shè)了規(guī)模非常龐大的內(nèi)部網(wǎng)絡(luò)，而且這些網(wǎng)絡(luò)本身并未進行非常有效的功能隔離。特別是這些企業(yè)在辦公區(qū)附近自建的家屬樓、飯店、網(wǎng)吧，及其他一些娛樂場所，其網(wǎng)絡(luò)也往往是直接接入了企業(yè)的內(nèi)部網(wǎng)絡(luò)，而沒有與辦公區(qū)的網(wǎng)絡(luò)進行有效隔離。這也就進一步加劇了不同功能區(qū)電腦設(shè)備之間的交叉感染情況。

6）外網(wǎng)設(shè)備分散無人管理

這也是一類比較特殊，但在某些政企機構(gòu)中比較突出的問題。產(chǎn)生這一問題的主要原因是：某些政企機構(gòu)，出于管轄、服務(wù)等目的，需要將自己的電腦設(shè)備放在關(guān)聯(lián)第三方的辦公環(huán)境中使用；但這些關(guān)聯(lián)第三方可能是多家其他的政企機構(gòu)，辦公網(wǎng)點也可能分散在全國各地，甚至是一個城市中的多處不同地點；由此就導(dǎo)致了這些設(shè)備雖然被經(jīng)常使用，但卻長期無人進行安全管理和維護，電腦系統(tǒng)長期不打補丁，也不殺毒的情況，所以也有相當數(shù)量的電腦中招。

七、其他暴露出來的問題簡析

(一)意識問題

員工甚至IT管理者的安全意識差，輕視安全問題，不能對突發(fā)安全事件做出正確的判斷，是本次永恒之藍勒索蠕蟲在某些機構(gòu)中未能做到第一時間有效處理的重要原因。具體表現(xiàn)在以下幾個主要方面：

1）病毒預(yù)警不在乎：很多企業(yè)員工或管理者根本不相信會有嚴重的病毒爆發(fā)，即便是看到國家有關(guān)部門的預(yù)警公告后，也毫不在意。這種傾向在越低層的員工中越明顯。

2）管理規(guī)定不遵守：政企機構(gòu)中普遍存在上班時間上網(wǎng)購物，上色情網(wǎng)站的情況；還有很多私自搭建WiFi熱點，造成了機構(gòu)內(nèi)網(wǎng)暴露。而這些行為，在絕大多數(shù)機構(gòu)中都是明文禁止的。

3）應(yīng)急方案不執(zhí)行：看到企業(yè)緊急下發(fā)的安全須知、應(yīng)急辦法和開機操作規(guī)范等材料，很多機構(gòu)員工仍然我行我素，不按要求操作。

4）風險提示不滿意：有很多員工看到安全軟件進行風險提示，仍然選擇放行相關(guān)程序或網(wǎng)頁；甚至有人反饋要求安全廠商不要對某些惡意軟件或惡意網(wǎng)站進行風險提示。

(二)管理問題

從永恒之藍勒索蠕蟲事件來看，凡是出現(xiàn)較大問題的政企機構(gòu)，其內(nèi)部的安全管理也普遍存在非常明顯的問題。具體也表現(xiàn)在以下幾個方面：

1）業(yè)務(wù)優(yōu)先忽視安全：很多政企機構(gòu)非常強調(diào)業(yè)務(wù)優(yōu)先，并要求任何安全措施的部署都不得影響或減緩業(yè)務(wù)工作的開展；甚至有個別機構(gòu)在明知自身網(wǎng)絡(luò)系統(tǒng)及電腦設(shè)備存在重大安全漏洞或已大量感染病毒的情況，仍然要求業(yè)務(wù)系統(tǒng)帶毒運行，拒絕安全排查和治理。更有個別機構(gòu)為保證信息傳達的及時，上級部門領(lǐng)導(dǎo)即便收到了帶毒郵件，看到了安全軟件的風險提示后，仍然會堅持向下級部門進行轉(zhuǎn)發(fā)。

2）安全監(jiān)管地位較低：政企機構(gòu)中的安全監(jiān)管機構(gòu)，安全監(jiān)管領(lǐng)導(dǎo)的行政級別較低，缺乏話語權(quán)和推動力，難以推動落實網(wǎng)絡(luò)安全規(guī)范，無法及時有效應(yīng)對實時威脅，也是大規(guī)模中招企業(yè)普遍存在的一個典型特征。

3）管理措施無法落實：由于安全監(jiān)管部門在機構(gòu)內(nèi)的地位較低，日常的安全教育和培訓又十分缺乏，從而導(dǎo)致了很多政企機構(gòu)內(nèi)部的安全管理措施無法落實。

(三)技術(shù)問題

客觀的說，通過員工教育來提高整體安全意識，在實踐中往往是難以實現(xiàn)的。采用必要的技術(shù)手段還是十分必須的。從永恒之藍勒索蠕蟲的應(yīng)急過程來看，政企機構(gòu)內(nèi)網(wǎng)設(shè)備遭大規(guī)模感染的主要技術(shù)原因有以下幾個方面：

1）物理隔離網(wǎng)絡(luò)缺乏外聯(lián)檢測控制：很多采用物理隔離網(wǎng)絡(luò)的機構(gòu)，僅僅是在網(wǎng)絡(luò)建設(shè)方面搭建了一張與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)，而對聯(lián)網(wǎng)設(shè)備本身是否真的會連接到互聯(lián)網(wǎng)上，則沒有采取任何實際有效的技術(shù)檢測或管理方法。

2）邏輯隔離網(wǎng)絡(luò)缺乏內(nèi)網(wǎng)分隔管理：采取邏輯隔離的網(wǎng)絡(luò)，很多都存在內(nèi)部子網(wǎng)之間邊界不清的問題。這一方面表現(xiàn)為很多不同功能的網(wǎng)絡(luò)設(shè)備完全沒有任何隔離措施——如前述的某些大型政企機構(gòu)自建的家屬區(qū)、飯店、網(wǎng)吧等的網(wǎng)絡(luò)與辦公網(wǎng)沒有隔離；另一方面則表現(xiàn)為盡管子網(wǎng)之間有相互隔離，但由于配置不當導(dǎo)致措施不夠有效。

3）隔離網(wǎng)內(nèi)電腦不打補丁情況嚴重：電腦不打補丁，是永恒之藍勒索蠕蟲能夠大范圍攻擊內(nèi)網(wǎng)設(shè)備的根本原因。而政企單位內(nèi)部隔離網(wǎng)絡(luò)中的設(shè)備不打補丁的情況實際上非常普遍，但原因卻是多種多樣的。

我們不妨先來看看永恒之藍相關(guān)的幾個關(guān)鍵時間點： 

表2  永恒之藍關(guān)鍵事件對應(yīng)的時間點

也就是說，永恒之藍勒索蠕蟲在爆發(fā)之前，我們是有58天的時間可以布防的，但因為很多政企單位在意識、管理、技術(shù)方面存在一些問題，導(dǎo)致平時的安全運營工作沒有做到位，才會在永恒之藍來臨之際手忙腳亂。

對于為何有大量的政企機構(gòu)不給內(nèi)網(wǎng)電腦打補丁這個具體問題，我們也一并在這里進行一個歸納總結(jié)。具體如下：

1）認為隔離措施足夠安全

很多機構(gòu)管理者想當然的認為隔離的網(wǎng)絡(luò)是安全的，特別是物理隔離可以100%的保證內(nèi)網(wǎng)設(shè)備安全，因此不必增加打補丁、安全管控和病毒查殺等配置。

2）認為每月打補丁太麻煩

在那些缺乏補丁集中管理措施的機構(gòu)，業(yè)務(wù)系統(tǒng)過于復(fù)雜的機構(gòu)，或者是打補丁后很容易出現(xiàn)異常的機構(gòu)中，此類觀點非常普遍。

3）打補丁影響業(yè)務(wù)占帶寬

很多帶寬資源緊張或是內(nèi)網(wǎng)設(shè)備數(shù)量眾多的機構(gòu)都持這一觀點。有些機構(gòu)即便是采用了內(nèi)網(wǎng)統(tǒng)一下發(fā)補丁的方式，仍然會由于內(nèi)網(wǎng)帶寬有限、防火墻速率過低，或補丁服務(wù)器性能不足等原因，導(dǎo)致內(nèi)部網(wǎng)絡(luò)擁塞，進而影響正常業(yè)務(wù)。

4）打補丁影響系統(tǒng)兼容性

因為很多機構(gòu)內(nèi)部的辦公系統(tǒng)或業(yè)務(wù)系統(tǒng)都是自行研發(fā)或多年前研發(fā)的，很多系統(tǒng)早已多年無人維護升級，如果給內(nèi)網(wǎng)電腦全面打補丁，就有可能導(dǎo)致某些辦公系統(tǒng)無法再正常使用。

5）打補丁可能致電腦藍屏

這主要是因為某些機構(gòu)內(nèi)部電腦的軟硬件環(huán)境復(fù)雜，容易出現(xiàn)系統(tǒng)沖突。如主板型號過老，長期未更新的軟件或企業(yè)自用軟件可能與微軟補丁沖突等，都有可能導(dǎo)致電腦打補丁后出現(xiàn)藍屏等異常情況。

綜上所述，很多政企機構(gòu)不給隔離網(wǎng)環(huán)境下的電腦打補丁，也并不都是因為缺乏安全意識或怕麻煩，也確實有很多現(xiàn)實的技術(shù)困難。但從更深的層次來看，絕大多數(shù)政企機構(gòu)在給電腦打補丁過程中所遇到的問題，本質(zhì)上來說都是信息化建設(shè)與業(yè)務(wù)發(fā)展不相稱造成的，進而導(dǎo)致了必要的安全措施無法實施的問題。所以，企業(yè)在不斷加強網(wǎng)絡(luò)安全建設(shè)的同時，也必須不斷提高信息化建設(shè)的整體水平，逐步淘汰老舊設(shè)備，老舊系統(tǒng)，老舊軟件。否則，再好的安全技術(shù)與安全系統(tǒng)，也未必能發(fā)揮出最好的，甚至是必要的作用。

第四章 勒索軟件攻擊與響應(yīng)典型案例

一、永恒之藍攻擊與響應(yīng)典型案例

永恒之藍來勢洶洶，在最為關(guān)鍵的72小時內(nèi)，所有政企單位都在爭分奪秒：已經(jīng)感染的要控制風險擴散，尚未感染的要加固防線避免感染。

(一)某大型能源機構(gòu)的應(yīng)急響應(yīng)處置方案

場景回顧

2017年5月12日14:26，360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)安全態(tài)勢異常，啟動黃色應(yīng)急響應(yīng)程序，安全衛(wèi)士在其官方微博上發(fā)布永恒之藍緊急預(yù)警。5月13日凌晨1:23’，360安全監(jiān)測與響應(yīng)中心接到某大型能源企業(yè)的求助，反映其內(nèi)部生產(chǎn)設(shè)備發(fā)現(xiàn)大規(guī)模病毒感染跡象，部分生產(chǎn)系統(tǒng)已被迫停產(chǎn)。360安全監(jiān)測與響應(yīng)中心的安全服務(wù)人員在接到求助信息后，立即趕往該單位總部了解實際感染情況。

疫情分析

初步診斷認為：WannaCry病毒已在該機構(gòu)全國范圍內(nèi)的生產(chǎn)系統(tǒng)中大面積傳播和感染，短時間內(nèi)病毒已在全國各地內(nèi)迅速擴散，但仍處于病毒傳播初期；其辦公網(wǎng)環(huán)境、各地業(yè)務(wù)終端（專網(wǎng)環(huán)境）都未能幸免，系統(tǒng)面臨崩潰，業(yè)務(wù)無法開展，事態(tài)非常嚴重。

進一步研究發(fā)現(xiàn)，該機構(gòu)大規(guī)模感染W(wǎng)annaCry的原因與該機構(gòu)業(yè)務(wù)系統(tǒng)架構(gòu)存在一定的關(guān)聯(lián)；用戶系統(tǒng)雖然處于隔離網(wǎng)，但是存在隔離不徹底的問題；且存在某些設(shè)備、系統(tǒng)的協(xié)同機制通過445端口來完成的情況。

處置方案

安服人員第一時間建議全網(wǎng)斷開445端口，迅速對中招電腦與全網(wǎng)機器進行隔離，形成初步處置措施。隨后，針對該企業(yè)實際情況，制定了應(yīng)急處置措施，提供企業(yè)級免疫工具并開始布防。該企業(yè)在全國范圍內(nèi)針對該病毒發(fā)送緊急通知，發(fā)布內(nèi)部應(yīng)急處理和避免感染病毒的終端擴大傳播的公告。

5月16日，病毒蔓延得到有效控制，染毒終端數(shù)量未繼續(xù)增長，基本完成控制及防御工作。整個過程中，該企業(yè)和安全廠商全力協(xié)作配合，監(jiān)控現(xiàn)場染毒情況、病毒查殺情況，最終使病毒得到有效控制。

(二)某全國聯(lián)網(wǎng)機構(gòu)的應(yīng)急響應(yīng)處置方案

場景回顧

5月13日上午9:00許，某大型政府機構(gòu)接到安全廠商（360）工作人員打來的安全預(yù)警電話。在全面了解“永恒之藍”病毒的爆發(fā)態(tài)勢后，總局領(lǐng)導(dǎo)高度重視，立刻提高病毒應(yīng)對等級。隨機，安全公司在該機構(gòu)的駐廠人員立即對該政府機構(gòu)進行現(xiàn)場勘測。

疫情分析

檢測結(jié)果顯示：該機構(gòu)在各地都布置了防火墻設(shè)備，并且445端口處于關(guān)閉狀態(tài)，而且統(tǒng)一在全國各地布置了終端安全軟件，但是仍有終端電腦存在未及時打補丁情況。盡管該機構(gòu)尚未出現(xiàn)中毒電腦，但是系統(tǒng)仍然存在安全隱患、有重大潛在風險。

處置方案

應(yīng)急指揮小組與安全公司駐廠工作人員協(xié)同明確應(yīng)對方案：首先，優(yōu)先升級總局一級控制中心病毒庫、補丁庫，確保補丁、病毒庫最新；隨后，開始手動升級省級二級控制中心，確保升級到最新病毒庫和補丁庫；對于不能級聯(lián)升級的采用遠程升級或者通知相關(guān)管理員手動更新；進一步對系統(tǒng)內(nèi)各終端開展打補丁、升級病毒庫、封閉端口工作。

最終，在病毒爆發(fā)72小時之內(nèi)，該機構(gòu)未出現(xiàn)一起感染事件。

(三)某市視頻監(jiān)控系統(tǒng)應(yīng)急響應(yīng)處置方案

場景回顧

5月13日凌晨3:00許，360安全監(jiān)測與響應(yīng)中心接到某單位（市級）電話求助，稱其在全市范圍內(nèi)的的視頻監(jiān)控系統(tǒng)突然中斷了服務(wù)，大量監(jiān)控設(shè)備斷開，系統(tǒng)基本癱瘓。安服人員第一時間進行了遠程協(xié)助，初步判斷：猜測可能是監(jiān)控系統(tǒng)的服務(wù)器遭到攻擊感染了勒索病毒，進而感染了終端電腦，建議立即逐臺關(guān)閉Server服務(wù)，并運行免疫工具，同時提取病毒樣本進行分析。

疫情分析

安服人員現(xiàn)場實地勘察后發(fā)現(xiàn)：確實是該視頻監(jiān)控系統(tǒng)的服務(wù)器中招了，罪魁禍首正是WannaCry，并且由于服務(wù)器中招已經(jīng)使部分辦公終端中招。溯源分析顯示，“永恒之藍”先在一臺視頻網(wǎng)絡(luò)服務(wù)器上發(fā)作，然后迅速擴散，導(dǎo)致該市局視頻專網(wǎng)終端及部分服務(wù)器（大約20多臺）設(shè)備被病毒感染，數(shù)據(jù)均被加密，導(dǎo)致大量監(jiān)控攝像頭斷開連接。斷網(wǎng)將對當?shù)氐纳a(chǎn)生活產(chǎn)生重要影響。

處置方案

安服人員首先在交換機上配置445端口阻塞策略；其次，分發(fā)勒索病毒免疫工具，在未被感染的終端和服務(wù)器上運行，防止病毒進一步擴散；另外，對于在線終端，第一時間推送病毒庫更新和漏洞補丁庫；由于部分被加密的服務(wù)器在被感染之前對重要數(shù)據(jù)已經(jīng)做了備份，因此對這些服務(wù)器進行系統(tǒng)還原，并及時采取封端口、打補丁等措施，避免再次感染。

至5月16日，該機構(gòu)的視頻監(jiān)控系統(tǒng)已經(jīng)完全恢復(fù)正常運行，13日凌晨被感染的終端及服務(wù)器以外，沒有出現(xiàn)新的被感染主機。

(四)某大企業(yè)提前預(yù)警緊急處置避免感染

場景回顧

5月13日，某單位信息化部門工作人員看到了媒體報道的永恒之藍勒索蠕蟲事件。雖然該單位內(nèi)部尚未發(fā)現(xiàn)感染案例，但考慮到自身沒有全面部署企業(yè)級安全管理軟件，所以對自身安全非常擔憂。5月14日上午8:00，該單位緊急打電話向360安全監(jiān)測與響應(yīng)中心求助。

疫情分析

安服人員現(xiàn)場實際勘測后發(fā)現(xiàn)：該機構(gòu)實際上已經(jīng)部署了防火墻、上網(wǎng)行為管理等網(wǎng)關(guān)設(shè)備，但是內(nèi)部沒有使用企業(yè)級安全軟件，使用的是個人版安全軟件。所以難以在很短的時間內(nèi)摸清內(nèi)部感染情況。

處置方案

在安服人員協(xié)助下，該單位開始進行全面的排查，并采取必要的防護措施。在NGFW設(shè)備上開啟控制策略，針對此次重點防護端口445、135、137、138、139進行阻斷；同時，將威脅特征庫、應(yīng)用協(xié)議庫立即同步至最新狀態(tài)；在上網(wǎng)行為管理設(shè)備中更新應(yīng)用協(xié)議庫狀態(tài)，部署相應(yīng)控制策略，對“永恒之藍勒索蠕蟲”進行全網(wǎng)阻塞。

在病毒爆發(fā)72小時之內(nèi)，該機構(gòu)未出現(xiàn)一起感染事件。但是，在第一時間該機構(gòu)無法準確判斷自己的實際感染情況，造成恐慌。經(jīng)過此次事件，該機構(gòu)已經(jīng)充分認識到企業(yè)級終端安全管理的重要性。

(五)某新能源汽車廠商的工業(yè)控制系統(tǒng)被勒索

場景回顧

2017年6月9日，某新能源汽車制造商的工業(yè)控制系統(tǒng)開始出現(xiàn)異常。當日晚上19時，該機構(gòu)生產(chǎn)流水線的一個核心部分：動力電池生產(chǎn)系統(tǒng)癱瘓。這也就意味著所有電動車的電力電機都出不了貨，對該企業(yè)的生產(chǎn)產(chǎn)生了極其重大的影響。該機構(gòu)緊急向360安全監(jiān)測與響應(yīng)中心進行了求助。

實際上，這是永恒之藍勒索蠕蟲的二次突襲，而該企業(yè)的整個生產(chǎn)系統(tǒng)已經(jīng)幸運的躲過了5月份的第一輪攻擊，卻沒有躲過第二次。監(jiān)測顯示，這種第二輪攻擊才被感染情況大量存在，并不是偶然的。

疫情分析

安服人員現(xiàn)場實際勘測發(fā)現(xiàn)：該機構(gòu)的工業(yè)控制系統(tǒng)已經(jīng)被WannaCry感染，而其辦公終端系統(tǒng)基本無恙，這是因其辦公終端系統(tǒng)上安裝了比較完善的企業(yè)級終端安全軟件。但在該企業(yè)的工業(yè)控制系統(tǒng)上，尚未部署任何安全措施。感染原因主要是由于其系統(tǒng)存在公開暴露在互聯(lián)網(wǎng)上的接口。后經(jīng)綜合檢測分析顯示，該企業(yè)生產(chǎn)系統(tǒng)中感染W(wǎng)annaCry的終端數(shù)量竟然占到了整個生產(chǎn)系統(tǒng)電腦終端數(shù)量的20%。

事實上，該企業(yè)此前早已制定了工業(yè)控制系統(tǒng)的安全升級計劃，但由于其生產(chǎn)線上的設(shè)備環(huán)境復(fù)雜，操作系統(tǒng)五花八門（WinCE終端、WinXP終端及其他各種各樣的終端都會碰到），硬件設(shè)備也新老不齊（事后測試發(fā)現(xiàn)，其流水線上最老的電腦設(shè)備有10年以上歷史），所以部署安全措施將面臨巨大的兼容性考驗，所以整個工控系統(tǒng)的安全措施遲遲沒有部署。

處置方案

因該廠商的生產(chǎn)系統(tǒng)中沒有企業(yè)級終端安全軟件，于是只能逐一對其電腦進行排查。一天之后也僅僅是把動力電池的生產(chǎn)系統(tǒng)救活。此后，從6月9日開始一直到7月底差不多用了兩個月時間，該企業(yè)生產(chǎn)網(wǎng)里中的帶毒終端才被全部清理干凈。經(jīng)過此次事件，該機構(gòu)對工業(yè)控制系統(tǒng)安全性更加重視，目前已經(jīng)部署了工控安全防護措施。經(jīng)過測試和驗證，兼容性問題也最終得到了很好的解決。

二、混入升級通道的類Petya勒索病毒

病毒簡介

類Petya病毒是2017年全球流行并造成嚴重破壞的一類勒索軟件。具體包括Petya病毒，NotPetya病毒和BadRabbit病毒（壞兔子）三種。從純粹的技術(shù)角度看，類Petya病毒的三個子類并不屬于同一木馬家族，但由于其攻擊行為具有很多相似之處，因此有很多安全工作者將其歸并為一類勒索軟件，即類Petya病毒。

Petya病毒主要通過誘導(dǎo)用戶下載的方式進行傳播。病毒會修改中招機器的MBR（主引導(dǎo)記錄，Master Boot Record）并重啟設(shè)備。重啟后，被感染電腦中MBR區(qū)的惡意代碼會刪除磁盤文件索引（相當于刪除所有文件） ，導(dǎo)致系統(tǒng)崩潰和文件丟失。

NotPetya主要通過永恒之藍漏洞進行初次傳播。破壞方式同Petya相同（具體實現(xiàn)上的技術(shù)細節(jié)略有不同）。其后期版本還會通過局域網(wǎng)弱口令或漏洞進行二次傳播。2017年6月底爆發(fā)在烏克蘭、俄羅斯多個國家的勒索軟件攻擊事件，實際上就是NotPetya的攻擊活動。由于其行為與Petya及其類似，因此一開始被很對人誤認為是Petya病毒攻擊。由于NotPetya存在破壞性刪除文件的行為，因此，即便支付了贖金，數(shù)據(jù)恢復(fù)的可能性也不大。關(guān)于NotPetya的真實攻擊目的，目前業(yè)界也還有很多不同的看法。

BadRabbit主要通過誘導(dǎo)用戶下載進行初次傳播。會通過一般的勒索軟件常用的不對稱加密算法加密用戶文件，并修改MBR導(dǎo)致用戶無法進入系統(tǒng)。同時，還會通過局域網(wǎng)弱口令或漏洞進行二次傳播。

場景回顧

2017年6月27日晚，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國遭受大規(guī)模“類Petya”勒索病毒襲擊，該病毒遠程鎖定設(shè)備，然后索要贖金。其中，烏克蘭地區(qū)受災(zāi)最為嚴重，政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機場都不同程度的受到了影響，包括首都基輔的鮑里斯波爾國際機場（Boryspil International Airport）、烏克蘭國家儲蓄銀行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄羅斯石油公司（Rosneft）和烏克蘭一些商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊。

疫情分析

根據(jù)事后的分析，此次事件在短時間內(nèi)肆虐歐洲大陸，在于其利用了在烏克蘭流行的會計軟件M.E.Doc進行傳播。這款軟件是烏克蘭政府要求企業(yè)安裝的，覆蓋率接近50%。更為嚴重的是，根據(jù)安全機構(gòu)的研究，M.E.Doc公司的升級服務(wù)器在問題爆發(fā)前接近三個月就已經(jīng)被控制。也就是說，攻擊者已經(jīng)控制了烏克蘭50%的公司的辦公軟件升級達三個月之久。類Petya攻擊只是這個為期三個月的控制的最后終結(jié)，目的就是盡可能多的破壞掉，避免取證。至于在之前的三個月當中已經(jīng)進行了什么活動，已無法得知了。

三、服務(wù)器入侵攻擊與響應(yīng)典型案例

(一)某關(guān)鍵基礎(chǔ)設(shè)施的公共服務(wù)器被加密

病毒簡介

勒索病毒是個舶來品，無論是英文版的勒索信息，還是比特幣這一贖金交付方式，都透漏著濃濃的國際化味道。而最近，360威脅情報中心卻發(fā)現(xiàn)一款國產(chǎn)化的勒索病毒。該病毒為國內(nèi)黑客制造，并第一次以樂隊名字MCR命名，即稱該病毒為MCR勒索病毒。該病毒在2017年7月底首次出現(xiàn)，采用python語言編寫。

該病毒加密文件后，文件擴展名會變?yōu)椤?MyChemicalRomance4EVER”。而擴展名中的“My Chemical Romance”，其實是源自一支美國新澤西州的同名朋克樂隊。該樂隊成立于2002年，十一年后的2013年宣告解散。朋克這種充滿了叛逆與不羈的音樂風格向來深受年輕人的喜愛。

該勒索軟件的特點是：在加密的文件類型列表中，除了大量的文檔類型外，還包括有比特幣錢包文件和一些較重要的數(shù)據(jù)庫文件。而另一個更大的特點則是，該木馬不同于以往的勒索軟件使用不對稱加密算法，而是采用了AES對稱加密算法，并且用于加/解密的密鑰則是硬編碼在腳本中的：“MyChemicalRomance4EVER_tkfy_lMCR”中。因為使用對稱加密算法，并且密鑰可以從腳本中獲得。所以在不支付贖金的情況，被加密的文件資料也可以比較容易的被解密恢復(fù)。

場景回顧

2017年8月5日，某公共服務(wù)系統(tǒng)單位的工作人員在對服務(wù)器進行操作時，發(fā)現(xiàn)服務(wù)器上的Oracle數(shù)據(jù)庫后綴名都變?yōu)榱恕?MyChemicalRomance4EVER”，所有文件都無法打開。該IT人員懷疑自己的服務(wù)器被勒索軟件進行了加密，因此向360安全監(jiān)測與響應(yīng)中心進行求助。

圖28、29

疫情分析

安全人員現(xiàn)場勘測發(fā)現(xiàn)，該公共服務(wù)系統(tǒng)感染的是MCR勒索病毒。該病毒名字起的很“朋克”，但傳播方式卻頗為老套，即偽裝成一些對廣大網(wǎng)民比較有吸引力的軟件對外發(fā)布，誘導(dǎo)受害者下載并執(zhí)行。比如我們現(xiàn)場截獲并拿來分析的這個樣本，就自稱是一款叫做“VortexVPN”的VPN軟件。除此之外，還有類似于PornDownload、ChaosSet、BitSearch等，基本都是廣大網(wǎng)友都懂得的各種工具軟件。

而與眾不同的是，這款病毒竟然是用Python語言編寫了木馬腳本，然后再打包成一個.exe的可執(zhí)行程序。首先，木馬會判斷自身進程名是否為systern.exe。如果不是，則將自身復(fù)制為C:\Users\Public\systern.exe并執(zhí)行。之后，木馬釋放s.bat批處理腳本，關(guān)閉各種數(shù)據(jù)庫和Web服務(wù)及進程。接下來，就是遍歷系統(tǒng)中所有文件并加密且留下勒索信息了。當然，為了避開敏感的系統(tǒng)文件，代碼有意避開了“C:\Documents and Settings”和“C:\Windows”兩個目錄。最終木馬會調(diào)用系統(tǒng)的wevtutil命令，對系統(tǒng)日志中的“系統(tǒng)”、“安全”和“應(yīng)用程序”三部分日志內(nèi)容進行清理，并刪除自身，以求不留痕跡。

處置方案

安服人員發(fā)現(xiàn)該勒索軟件程序?qū)懙挠新┒?，可直接利?60解密工具恢復(fù)數(shù)據(jù)。因此，在未向黑客支付一分錢的前提下，360幫助該單位成功的恢復(fù)了所有被加密的文件。建議該企業(yè)員工：不要從不明來源下載程序；安裝殺毒軟件并開啟監(jiān)控；更不要相信所謂外掛、XX工具、XX下載器一類的程序宣稱的殺軟誤報論。

(二)某云平臺服務(wù)上托管的服務(wù)器被加密

病毒簡介

2016年2月，在國外最先發(fā)現(xiàn)的一款能夠通過Java Applet傳播的跨平臺（Windows、MacOS）惡意軟件Crysis開始加入勒索功能，并于8月份被發(fā)現(xiàn)用于攻擊澳大利亞和新西蘭的企業(yè)。Crysis惡意軟件甚至能夠感染VMware虛擬機，還能夠全面收集受害者的系統(tǒng)用戶名密碼，鍵盤記錄，系統(tǒng)信息，屏幕截屏，聊天信息，控制麥克風和攝像頭，現(xiàn)在又加入了勒索功能，其威脅性大有取代TeslaCrypt和對手Locky勒索軟件的趨勢。

Crysis勒索軟件的可怕之處在于其使用暴力攻擊手段，任何一個技能嫻熟的黑客都可以使用多種特權(quán)升級技術(shù)來獲取系統(tǒng)的管理權(quán)限，尋找到更多的服務(wù)器和加密數(shù)據(jù)來索取贖金。主要攻擊目標包括Windows服務(wù)器（通過遠程爆破RDP賬戶密碼入侵）、MAC、個人PC電腦等。該勒索軟件最大特點是除了加密文檔外，可執(zhí)行文件也加密，只保留系統(tǒng)啟動運行關(guān)鍵文件，破壞性極大。

場景回顧

2017年10月15日，某云平臺服務(wù)商，發(fā)現(xiàn)托管在自己機房的用戶服務(wù)器上的數(shù)據(jù)均被加密，其中包含大量合同文件、財務(wù)報表等文件都無法打開。該IT人員懷疑自己的服務(wù)器被勒索軟件進行了加密，因此向360安全監(jiān)測與響應(yīng)中心進行求助。

疫情分析

安服人員現(xiàn)場實際勘測發(fā)現(xiàn)：該機構(gòu)的公共服務(wù)器被暴露在公網(wǎng)環(huán)境中，并且使用的是弱密碼；黑客通過暴力破解，獲取到該服務(wù)器的密碼，并使用遠程登錄的方式，成功的登錄到該服務(wù)器上。黑客在登陸服務(wù)器后，手動釋放了Crysis病毒。

處置方案

因其服務(wù)器上存儲著大量重要信息，其對企業(yè)發(fā)展產(chǎn)生至關(guān)重要的作用，所以該機構(gòu)選擇支付贖金，成功恢復(fù)所有被加密的文檔。下圖為該機構(gòu)支付贖金的解密過程示意圖。

圖30

(三)江蘇某大型房地產(chǎn)企業(yè)服務(wù)器被加密

病毒簡介

GlobeImposter病毒最早出現(xiàn)是在2016年12月份左右，第一個版本存在漏洞，可解密，但后期版本只能支付贖金解密。2017年5月份出現(xiàn)新變種，7、8月初進入活躍期。該病毒從勒索文檔的內(nèi)容看跟Globe家族有一定的相似性。

場景回顧

2017年7月12日，某大型房地產(chǎn)企業(yè)發(fā)現(xiàn)自己的服務(wù)器上數(shù)據(jù)庫被加密，該企業(yè)的IT技術(shù)人員擔心受到責罰，隱瞞實際情況未上報。10月18日，該企業(yè)領(lǐng)導(dǎo)在查詢數(shù)據(jù)時，發(fā)現(xiàn)服務(wù)器上的數(shù)據(jù)均已經(jīng)被加密，且長達數(shù)月之久，意識到自己內(nèi)部員工無法解決此問題，于是向360安全監(jiān)測與響應(yīng)中心進行求助。

圖31

疫情分析

安全廠商人員實際勘測發(fā)現(xiàn)：攻擊者主要是使用帶有惡意附件的郵件進行釣魚攻擊。受害者在點擊了附件中的VBS腳本文件，即GlobeImposter病毒后，VBS腳本文件負責從網(wǎng)絡(luò)上下載勒索軟件，通過rundll32.exe并帶指定啟動參數(shù)進行加載。樣本執(zhí)行后在內(nèi)存中解密執(zhí)行，解密后才是真正的功能代碼。該勒索軟件會對系統(tǒng)中的文件進行掃描，對磁盤上指定類型的文件進行加密，被樣本加密后的文件后綴為.thor。樣本加密文件所使用的密鑰為隨機生成，加密算法為AES-CBC-256，用樣本內(nèi)置的RSA公鑰，通過RSA-1024算法對隨機生成的AES加密密鑰進行加密處理。

處置方案

由于距離加密時間太久，黑客密鑰已經(jīng)過期，被加密的數(shù)據(jù)和文件無法恢復(fù)，給該企業(yè)造成了大量的財產(chǎn)損失。

(四)某市政務(wù)系統(tǒng)的服務(wù)器被加密

病毒簡介

CryptON病毒最早出現(xiàn)在2016年12月，該病毒是一系列Cry9，Cry36，Cry128，Nemsis等勒索病毒的統(tǒng)稱，早期版本可通過對比加密和未加密的文件來暴力運算破解獲取解密密鑰，后期版本無法解密。

場景回顧

2017年11月26日，某市政務(wù)系統(tǒng)被發(fā)現(xiàn)其服務(wù)器上的數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)不能使用，文件內(nèi)容無法存儲，所有文件都打不開了。該機構(gòu)緊急向360安全監(jiān)測與響應(yīng)中心進行求助。

圖32

疫情分析

安服人員現(xiàn)場勘測發(fā)現(xiàn)：該系統(tǒng)感染的勒索軟件為CryptON病毒。攻擊者首先使該機構(gòu)的IT運維人員的電腦感染木馬程序，之后在IT人員登錄服務(wù)器時竊取了賬號和密碼，再通過竊得的帳號密碼遠程登錄到服務(wù)器上，最后釋放勒索軟件。

處置方案

由于CryptON病毒的不可解性，要想恢復(fù)數(shù)據(jù)文件，只能支付贖金。該機構(gòu)在得知只有支付贖金才能解密的情況下，放棄了數(shù)據(jù)恢復(fù)，直接重裝了系統(tǒng)，并加強了對運維人員電腦的監(jiān)控與管理。

(五)某知名咨詢公司的兩臺服務(wù)器被加密

場景回顧

2017年11月，某知名咨詢公司發(fā)現(xiàn)其服務(wù)器上所有文件被加密，懷疑自己感染了勒索病毒，緊急向360安全監(jiān)測與響應(yīng)中心進行求助。

根據(jù)該企業(yè)IT人員介紹：被鎖定的服務(wù)器一共有兩臺，一臺是主服務(wù)器，存儲了大量該咨詢公司為國內(nèi)外多家大型企業(yè)提供咨詢服務(wù)的歷史資料，十分珍貴；而另一臺是備份服務(wù)器，主要是出于安全考慮，用于備份主服務(wù)器資料。兩臺設(shè)備同時被鎖，意味著備份數(shù)據(jù)已不存在；同時，目前只要將U盤插入服務(wù)器，U盤數(shù)據(jù)也會被立即加密。在發(fā)現(xiàn)服務(wù)器中毒后，他們已經(jīng)對當日與服務(wù)器連接過的所有辦公終端進行了排查，未發(fā)現(xiàn)有任何電腦的中毒跡象。

圖33

疫情分析

安服人員現(xiàn)場勘測發(fā)現(xiàn)：該企業(yè)未曾部署過任何企業(yè)級安全軟件或設(shè)備，其服務(wù)器上安裝的是某品牌免費的個人版安全軟件，所有200余臺辦公電腦安裝的也都是個人版安全軟件，且未進行過統(tǒng)一要求。中招服務(wù)器升級了5月份的漏洞補丁，后續(xù)月份的補丁都沒有升級過；同時，其內(nèi)部辦公終端與服務(wù)器之間也沒有進一步的安全防護措施，僅僅靠用戶名和密碼來進行驗證。

經(jīng)確認，該公司兩臺服務(wù)器感染的勒索軟件為Crysis的變種，文件被加密后的后綴名為為.java，目前這個勒索軟件無解。這個家族有一個特點就是針對的都是服務(wù)器，攻擊的方式都是通過遠程桌面進去，爆破方式植入。而之所以會發(fā)生U盤插入后數(shù)據(jù)全部被加密的情況，是因為服務(wù)器上的勒索軟件一直沒有停止運行。

圖34

處置方案

在安服人員的遠程指導(dǎo)下，該企業(yè)IT人員首先斷開了服務(wù)器的網(wǎng)絡(luò)鏈接；隨后卸載了服務(wù)器上已經(jīng)安裝的安全軟件。這一步的處置措施還是十分必要的，因為一旦安全軟件發(fā)揮作用殺掉了勒索軟件，那么對于已經(jīng)感染勒索軟件的電腦來說，有可能導(dǎo)致勒索軟件被破壞，被加密的數(shù)據(jù)無法恢復(fù)。

因被加密的兩臺服務(wù)器上存儲著該企業(yè)及其重要的資料，且無其他備份。所以該企業(yè)在得知無法解密的情況下，選擇向攻擊者支付贖金，進而文件恢復(fù)。

特別的是，攻擊者顯然是對該企業(yè)的網(wǎng)絡(luò)服務(wù)系統(tǒng)進行了長期、細致的研究，同時攻擊主服務(wù)器和備份服務(wù)器是經(jīng)過精心設(shè)計和周密考慮的。

第五章 2018年勒索軟件趨勢預(yù)測

2017年，勒索軟件的攻擊形式和攻擊目標都已經(jīng)發(fā)生了很大的變化。本章將給出我們對2018年勒索軟件攻擊趨勢的預(yù)測。

一、整體態(tài)勢

(一)勒索軟件的質(zhì)量和數(shù)量將不斷攀升

2017年勒索軟件在暗網(wǎng)上獲得規(guī)模性增長，相關(guān)產(chǎn)品銷售額高達623萬美元，是2016年的25倍，而一款DIY勒索軟件售價從50美分到3000美元不等，中間價格一般在10.5美元左右。2017年7月，根據(jù)谷歌、加州大學圣地亞哥分校和紐約大學坦登工程學院的研究人員聯(lián)合發(fā)布的一份報告顯示，在過去兩年，勒索軟件已迫使全球受害者累計支付了超過2500萬美元的贖金。

無論對制作者還是使用者而言，影響廣泛、物美價廉、門檻低獲利快的勒索軟件都是當前比較“靠譜”的獲利方式，因此，制作者會不斷采用新的技術(shù)來提升勒索軟件的質(zhì)量，使用者則會通過使用更多數(shù)量的勒索軟件來廣開財路。

(二)勒索軟件會越來越多的使用免殺技術(shù)

成功進駐系統(tǒng)并運行是敲詐勒索的前提。因此，為了獲得更大的經(jīng)濟利益，在勒索軟件的制作、傳播過程中，首先要做的就是“自我保護”，即躲避殺毒軟件的查殺。以Petrwrap為例，它在6月底在歐洲引發(fā)大面積感染，俄羅斯、烏克蘭、波蘭、法國、意大利、英國及德國也被其感染。但根據(jù)《黑客新聞》6月27日報道，最近的VirusTotal掃描顯示，61款殺毒軟件當中只有16款能夠成功檢測到該病毒。

在各界充分認識到勒索軟件引發(fā)的可怕后果的前提下，攻擊者必然會在2018年趁熱打鐵，充分利用這種擔心和恐慌獲取更多的贖金，不斷使用更新的技術(shù)和更多的變種來突破殺毒軟件的防線將成為必然。

二、攻擊特點

(一)勒索軟件的傳播手段將更加多樣化

相比于個人受害者，組織機構(gòu)更有可能支付大額贖金，而感染更多設(shè)備從而給組織機構(gòu)造成更大的損失是提升贖金支付可能性的重要手段。因此，除了通過更多的漏洞、更隱蔽的通道進行原始傳播，勒索軟件的自我傳播能力也將會被無限的利用起來，類似WannaCry、類Petya、壞兔子等以感染的設(shè)備為跳板，然后利用漏洞進行橫向移動，攻擊局域網(wǎng)內(nèi)的其他電腦，形成“一臺中招，一片遭殃”的情況將會在2018年愈演愈烈。針對各企業(yè)對于軟件供應(yīng)鏈的管理弱點，通過軟件供應(yīng)鏈通道進行原始傳播在未來一年有很大概率被再次利用。

(二)勒索軟件的靜默期會不斷延長

震驚全球的WannaCry的大規(guī)模爆發(fā)開始于5月12日（星期五）下午，周末正好是組織機構(gòu)使用電腦的低峰期，這給安全廠商和組織機構(gòu)應(yīng)急處置以免蠕蟲快速擴散提供了足夠的緩沖時間，也讓攻擊者失去了獲得更多贖金的可能。

為了避免“虧本”，獲得更多的贖金，未來的勒索軟件會在獲得更多“勒索籌碼”之前盡可能隱蔽自己，一邊延長自己的生命周期，一邊選擇合適的時間發(fā)作，讓安全廠商合組織機構(gòu)“措手不及”。

事實上，“永恒之石”病毒就是很好的佐證，它采用了7個被影子經(jīng)紀人黑客團伙放出的據(jù)稱是NSA開發(fā)的漏洞利用工具，被稱為可突然襲擊的“世界末日”級蠕蟲。一旦進入系統(tǒng)，它會下載Tor的私有瀏覽器，發(fā)送信號到其隱藏服務(wù)器，然后進入等待狀態(tài)，24小時內(nèi)沒有任何動作，之后服務(wù)器便會響應(yīng)，開始下載和自我復(fù)制動作。目前為止，“永恒之石”依然靜靜地傳播和感染更多計算機中，有鑒于其隱秘本質(zhì)，有多少臺電腦已經(jīng)被“永恒之石”感染尚未可知，它會被武器化成什么樣子也還不明朗。

三、攻擊目標

(一)勒索軟件攻擊的操作系統(tǒng)類型將越來越多

目前，絕大多數(shù)勒索軟件攻擊的都是Windows操作系統(tǒng)，但針對MacOS的勒索軟件MacRansom已經(jīng)出現(xiàn)在暗網(wǎng)中；針對Linux服務(wù)器的勒索軟件Rrebus也已經(jīng)造成了巨大的損失；針對安卓系統(tǒng)的勒索軟件也在國內(nèi)網(wǎng)絡(luò)中出現(xiàn)。但這也許只是開始，越自認為“安全”、越小眾的系統(tǒng)，防護能力可能越弱，一旦被攻破，支付贖金的可能性也就越大，因此，勒索軟件不會放過任何一個系統(tǒng)。

(二)勒索軟件定向攻擊能力將更加突出

2017年影響面最大的兩個勒索軟件，WannaCry（永恒之藍）攻擊者收到的贖金可能不足15萬美元，類Petya的攻擊者更是只拿到可憐的11181美元贖金，但針對Linux服務(wù)器的勒索軟件Rrebus看似名不見經(jīng)傳，卻輕松從韓國Web托管公司Nayana收取100萬美元贖金，僅此一家繳納的贖金就是永恒之藍從全球獲得贖金的7倍之多。

由此可見，針對特定行業(yè)、關(guān)鍵業(yè)務(wù)系統(tǒng)的敲詐勒索更容易成功，更容易獲得高額贖金，這將讓以敲詐勒索為核心目的的攻擊者逐漸舍棄華而不實的廣撒網(wǎng)式攻擊，將重心轉(zhuǎn)移到發(fā)動更有針對性的定向攻擊。

四、造成損失

(一)經(jīng)濟損失與贖金支付都將持續(xù)升高

安全意識培訓公司KnowBe4曾估測：WannaCry的大規(guī)模爆發(fā)，在其前4天里，就已經(jīng)造成了10億美元的經(jīng)濟損失。而隨著勒索軟件技術(shù)的進一步成熟和平臺化，勒索軟件的攻擊也將會更加頻繁，攻擊范圍更加廣泛，造成的經(jīng)濟損失也會不斷攀升。

美國網(wǎng)絡(luò)安全機構(gòu)Cybersecurity Ventures在2017年5月發(fā)布的報告中預(yù)測，2017年勒索軟件攻擊在全球造成的實際損失成本將達到 50 億美元，預(yù)計2019年的攻擊損失可能升至115億美元。而相關(guān)數(shù)據(jù)還顯示，勒索軟件在2015年給全球造成的實際損失僅為3.25億美元。

以類Petya勒索病毒為例，根據(jù)全球各地媒體的相關(guān)報道，僅僅是它給4家全球知名公司造成的經(jīng)濟損失就已經(jīng)遠超10億美金，如下表所示。

表格 3  知名企業(yè)遭到的重大損失情況

經(jīng)濟損失的不斷提高也將促使更多的政企機構(gòu)向攻擊者支付贖金。預(yù)計到2018年，攻擊者在不斷提升勒索軟件自身能力的同時，也將進一步鎖定風險承受能力較差的攻擊目標實施攻擊，并在加密數(shù)據(jù)基礎(chǔ)上使用更多的威脅方式，例如不支付贖金就將關(guān)鍵信息公開在互聯(lián)網(wǎng)上等，迫使組織機構(gòu)不得不繳納高額的贖金。

鑒于很多組織機構(gòu)即便承受巨額損失也沒有交納贖金，將來攻擊者還可能會開展“針對性服務(wù)”，讓感染者支付其“能力范圍內(nèi)”的贖金。例如攻擊者就與Nayana進行了漫長的談判，將贖金從最初的440萬美元降至100萬美元，才出現(xiàn)了2017年的單筆最高贖金事件。

所以，未來迫不得已支付贖金的政企機構(gòu)中招者會越來越多，也會出現(xiàn)更多類似韓國Web托管公司Nayana支付100萬美元贖金的大戶，攻擊者獲得的贖金總額必將持續(xù)升高。

(二)通過支付贖金恢復(fù)文件的成功率將大幅下降

對于中招的組織機構(gòu)而言，在嘗試各種方式解密被勒索軟件加密的數(shù)據(jù)無果后，即便想要通過支付贖金的方式來解決問題，其成功率也將大幅下降。其主要原因倒不是勒索者的信用會快速下降，而是很多現(xiàn)實的網(wǎng)絡(luò)因素可能會大大限制你支付贖金恢復(fù)文件的成功率。

首先，你可能“沒錢可付”，絕大多數(shù)的勒索軟件均以比特幣為贖金支付方式，但9月底比特幣在中國已經(jīng)全面停止交易了。

其次，你也可能“來不及付”，交納贖金一般是有時間限制的，一般為1-2天，但國產(chǎn)勒索病毒Xiaoba只給了200秒的反應(yīng)時間。

第三，你即便通過各種方式支付了贖金，也可能“無法提供付款證明”給攻擊者，因為很多勒索軟件要求受害者向特定郵箱發(fā)送支付證明，黑客才會為其解鎖，但越來越多的郵件供應(yīng)方無法忍受攻擊者通過其平臺非法獲利，而會第一時間將其郵箱關(guān)停。

第六章 勒索軟件防御技術(shù)新趨勢

一、個人終端防御技術(shù)

(一)文檔自動備份隔離保護

文檔自動備份隔離技術(shù)是360獨創(chuàng)的一種勒索軟件防護技術(shù)。這一技術(shù)在未來一兩年內(nèi)可能會成為安全軟件反勒索技術(shù)的標配。

鑒于勒索軟件一旦攻擊成功往往難以修復(fù)，而且具有變種多，更新快，大量采用免殺技術(shù)等特點，因此，單純防范勒索軟件感染并不是“萬全之策”。但是，無論勒索軟件采用何種具體技術(shù)，無論是哪一家族的哪一變種，一個基本的共同特點就是會對文檔進行篡改。而文檔篡改行為具有很多明顯的技術(shù)特征，通過監(jiān)測系統(tǒng)中是否存在文檔篡改行為，并對可能被篡改的文檔加以必要的保護，就可以在相當程度上幫助用戶挽回勒索軟件攻擊的損失。

文檔自動備份隔離技術(shù)就是在這一技術(shù)思想的具體實現(xiàn)，360將其應(yīng)用于360文檔衛(wèi)士功能模塊當中。只要電腦里的文檔出現(xiàn)被篡改的情況，它會第一時間把文檔自動備份在隔離區(qū)保護起來，用戶可以隨時恢復(fù)文件。無論病毒如何變化，只要它有篡改用戶文檔的行為，就會觸發(fā)文檔自動備份隔離，從而使用戶可以免遭勒索，不用支付贖金也能恢復(fù)文件。

360文檔衛(wèi)士的自動備份觸發(fā)條件主要包括亮點：一、開機后第一次修改文檔；二、有可疑程序篡改文檔。當出現(xiàn)上述兩種情況時，文檔衛(wèi)士會默認備份包括Word、Excel、PowerPoint、PDF等格式在內(nèi)的文件，并在備份成功后出現(xiàn)提示信息。用戶還可以在設(shè)置中選擇添加更多需要備份的文件格式。比如電腦里的照片非常重要，就可以把jpg等圖片格式加入保護范圍。

此外，360文檔衛(wèi)士還集合了“文件解密”功能，360安全專家通過對一些勒索軟件家族進行逆向分析，成功實現(xiàn)了多種類型的文件解密，如2017年出現(xiàn)的“縱情文件修復(fù)敲詐者病毒”等。如有網(wǎng)友電腦已不慎中招，可以嘗試通過“文檔解密”一鍵掃描并恢復(fù)被病毒加密的文件。

(二)綜合性反勒索軟件技術(shù)

與一般的病毒和木馬相比，勒索軟件的代碼特征和攻擊行為都有很大的不同。采用任何單一防范技術(shù)都是不可靠的。綜合運用各種新型安全技術(shù)來防范勒索軟件攻擊，已經(jīng)成為一種主流的技術(shù)趨勢。

下面就以360安全衛(wèi)士的相關(guān)創(chuàng)新功能來分析綜合性反勒索軟件技術(shù)。相關(guān)技術(shù)主要包括：智能誘捕、行為追蹤、智能文件格式分析、數(shù)據(jù)流分析等，具體如下。

智能誘捕技術(shù)是捕獲勒索軟件的利器，其具體方法是：防護軟件在電腦系統(tǒng)的各處設(shè)置陷阱文件；當有病毒試圖加密文件時，就會首先命中設(shè)置的陷阱，從而暴露其攻擊行為。這樣，安全軟件就可以快速無損的發(fā)現(xiàn)各類試圖加密或破壞文件的惡意程序。

行為追蹤技術(shù)是云安全與大數(shù)據(jù)綜合運用的一種安全技術(shù)?；?60的云安全主動防御體系，通過對程序行為的多維度智能分析，安全軟件可以對可疑的文件操作進行備份或內(nèi)容檢測，一旦發(fā)現(xiàn)惡意修改則立即阻斷并恢復(fù)文件內(nèi)容。該技術(shù)主要用于攔截各類文件加密和破壞性攻擊，能夠主動防御最新出現(xiàn)的勒索病毒。

智能文件格式分析技術(shù)是一種防護加速技術(shù)，目的是盡可能的降低反勒索功能對用戶體驗的影響。實際上，幾乎所有的反勒索技術(shù)都會或多或少的增加安全軟件和電腦系統(tǒng)的負擔，相關(guān)技術(shù)能否實用的關(guān)鍵就在于如何盡可能的降低其對系統(tǒng)性能的影響，提升用戶體驗。360研發(fā)的智能文件格式分析技術(shù)，可以快速識別數(shù)十種常用文檔格式，精準識別對文件內(nèi)容的破壞性操作，而基本不會影響正常文件操作，在確保數(shù)據(jù)安全的同時又不影響用戶體驗。

數(shù)據(jù)流分析技術(shù)，是一種將人工智能技術(shù)與安全防護技術(shù)相結(jié)合的新型文檔安全保護技術(shù)。首先，基于機器學習的方法，我們可以在電腦內(nèi)部的數(shù)據(jù)流層面，分析出勒索軟件對文檔的讀寫操作與正常使用文檔情況下的讀寫操作的區(qū)別；而這些區(qū)別可以用于識別勒索軟件攻擊行為；從而可以在“第一現(xiàn)場”捕獲和過濾勒索軟件，避免勒索軟件的讀寫操作實際作用于相關(guān)文檔，從而實現(xiàn)文檔的有效保護。

二、企業(yè)級終端防御技術(shù)

(一)云端免疫技術(shù)

如本報告第三章相關(guān)分析所述，在國內(nèi)，甚至全球范圍內(nèi)的政企機構(gòu)中，系統(tǒng)未打補丁或補丁更新不及時的情況都普遍存在。這并非是簡單的安全意識問題，而是多種客觀因素限制了政企機構(gòu)對系統(tǒng)設(shè)備的補丁管理。因此，對無補丁系統(tǒng)，或補丁更新較慢的系統(tǒng)的安全防護需求，就成為一種“強需求”。而云端免疫技術(shù)，就是解決此類問題的有效方法之一。這種技術(shù)已經(jīng)被應(yīng)用于360的終端安全解決方案之中。

所謂云端免疫，實際上就是通過終端安全管理系統(tǒng)，由云端直接下發(fā)免疫策略或補丁，幫助用戶電腦做防護或打補??；對于無法打補丁的電腦終端，免疫工具下發(fā)的免疫策略本身也具有較強的定向防護能力，可以阻止特定病毒的入侵；除此之外，云端還可以直接升級本地的免疫庫或免疫工具，保護用戶的電腦安全。

需要說明的事，云端免疫技術(shù)只是一種折中的解決方案，并不是萬能的或一勞永逸的，未打補丁系統(tǒng)的安全性仍然比打了補丁的系統(tǒng)的安全性有一定差距。但就當前國內(nèi)眾多政企機構(gòu)的實際網(wǎng)絡(luò)環(huán)境而諾言，云端免疫不失為一種有效的解決方案。

(二)密碼保護技術(shù)

針對中小企業(yè)網(wǎng)絡(luò)服務(wù)器的攻擊，是2017年勒索軟件攻擊的一大特點。而攻擊者之所以能夠滲透進入企業(yè)服務(wù)器，絕大多數(shù)情況都是因為管理員設(shè)置的管理密碼為弱密碼或帳號密碼被盜。因此，加強登陸密碼的安全管理，也是一種必要的反勒索技術(shù)。

具體來看，加強密碼保住主要應(yīng)從三個方面入手：一是采用弱密碼檢驗技術(shù)，強制網(wǎng)絡(luò)管理員使用復(fù)雜密碼；二是采用反暴力破解技術(shù)，對于陌生IP的登陸位置和登陸次數(shù)進行嚴格控制；三是采用VPN或雙因子認證技術(shù)，從而使攻擊者即便盜取了管理員帳號和密碼，也無法輕易的登陸企業(yè)服務(wù)器。

第七章 給用戶的安全建議

一、個人用戶安全建議

對于普通用戶，我們給出以下建議，以幫助用戶免遭勒索軟件的攻擊：

養(yǎng)成良好的安全習慣

1）電腦應(yīng)當安裝具有云防護和主動防御功能的安全軟件，不隨意退出安全軟件或關(guān)閉防護功能，對安全軟件提示的各類風險行為不要輕易放行；

2）使用安全軟件的第三方打補丁功能對系統(tǒng)進行漏洞管理，第一時間給操作系統(tǒng)和IE、Flash等常用軟件打好補丁，以免病毒利用漏洞自動入侵電腦；

 3）盡量使用安全瀏覽器，減少遭遇掛馬攻擊的風險；

4）重要文檔數(shù)據(jù)應(yīng)經(jīng)常做備份，一旦文件損壞或丟失，也可以及時找回。

減少危險的上網(wǎng)操作 

5）不要瀏覽來路不明的色情、賭博等不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常被用于發(fā)動掛馬、釣魚攻擊。

6）不要輕易打開陌生人發(fā)來的郵件附件或郵件正文中的網(wǎng)址鏈接。

7）不要輕易打開后綴名為js 、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序，對于陌生人發(fā)來的壓縮文件包，更應(yīng)提高警惕，應(yīng)先掃毒后打開。

8）電腦連接移動存儲設(shè)備，如U盤、移動硬盤等，應(yīng)首先使用安全軟件檢測其安全性。

9）對于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運行，從而避免木馬對實際系統(tǒng)的破壞。

采取及時的補救措施

10）安裝360安全衛(wèi)士并開啟反勒索服務(wù)，一旦電腦被勒索軟件感染，可以通過360反勒索服務(wù)申請贖金賠付，以盡可能的減小自身經(jīng)濟損失。

二、企業(yè)用戶安全建議

1）提升新興威脅對抗能力

傳統(tǒng)基于合規(guī)的防御體系對于勒索軟件等新興威脅的發(fā)現(xiàn)、檢測和處理已經(jīng)呈現(xiàn)出力不從心的狀態(tài)。而通過對抗式演習，從安全的技術(shù)、管理和運營等多個維度出發(fā)，對企業(yè)的互聯(lián)網(wǎng)邊界、防御體系及安全運營制度等多方面進行仿真檢驗，可以持續(xù)提升企業(yè)對抗新興威脅的能力。

2）及時給辦公終端和服務(wù)器打補丁修復(fù)漏洞，包括操作系統(tǒng)以及第三方應(yīng)用的補丁。

3）如果沒有使用的必要，應(yīng)盡量關(guān)閉不必要的常見網(wǎng)絡(luò)端口，比如：445、3389等。

4）企業(yè)用戶應(yīng)采用足夠復(fù)雜的登錄密碼登陸辦公系統(tǒng)或服務(wù)器，并定期更換密碼。

5）對重要數(shù)據(jù)和文件及時進行備份。

6）提高安全運維人員職業(yè)素養(yǎng)，除工作電腦需要定期進行木馬病毒查殺外，如有遠程家中辦公電腦也需要定期進行病毒木馬查殺。

附錄1  2017年勒索軟件重大攻擊事件

一、MongoDB 數(shù)據(jù)庫被竊取

2017年1月，GDI基金會的聯(lián)合創(chuàng)始人Victor Gevers警告說，MongoDB（分布式文檔存儲數(shù)據(jù)庫）在野外安裝的安全性很差。這位安全專家發(fā)現(xiàn)了196個MongoDB實例，這些實例可能被騙子們竊取并被勒索贖金。據(jù)悉，有多個黑客組織參與了此次攻擊，他們劫持服務(wù)器后，用勒索程序替換了其中的正常內(nèi)容。外媒稱，大多數(shù)被攻破的數(shù)據(jù)庫都在使用測試系統(tǒng)，其中一部分可能包含重要生產(chǎn)數(shù)據(jù)。部分公司最終只得支付贖金，結(jié)果發(fā)現(xiàn)攻擊者其實根本沒有掌握他們的數(shù)據(jù)，又被擺了一道。

二、知名搜索引擎 Elasticsearch 被勒索敲詐

2017年1月，數(shù)百臺存在安全缺陷的Elasticsearch服務(wù)器在幾個小時之內(nèi)遭到了勒索攻擊，并被擦除了服務(wù)器中的全部數(shù)據(jù)。安全研究專家Niall Merrigan估計，目前已經(jīng)有超過2711臺Elasticsearch服務(wù)器遭到了攻擊。

此次攻擊活動與之前的勒索攻擊一樣，攻擊者入侵了Elasticsearch服務(wù)器之后會將主機中保存的數(shù)據(jù)全部刪除，當服務(wù)器所有者向攻擊者支付了贖金之后他們才可以拿回自己的數(shù)據(jù)。因此，安全研究專家建議廣大Elasticsearch服務(wù)器的管理員們在官方發(fā)布了相應(yīng)修復(fù)補丁之前暫時先將自己的網(wǎng)站服務(wù)下線，以避免遭到攻擊者的勒索攻擊。

三、港珠澳橋資料遭黑客加密勒索

2017年5月，港珠澳大橋一地盤辦公室，其電腦伺服器遭黑客的勒索軟件攻擊，而且被加密勒索。據(jù)星島日報消息，香港路政署表示，今年3月2日，接到駐工地工程人員通知，指駐工地工程人員寫字樓內(nèi)的伺服器遭勒索軟件(Ransomware)攻擊，伺服器內(nèi)的部份檔案遭加密勒索。經(jīng)調(diào)查后發(fā)現(xiàn)，駐工地工程人員已即時切斷有關(guān)伺服器的網(wǎng)絡(luò)連線，并向警方求助。香港路政署已要求駐工地工程人員及承建商，更新其寫字樓內(nèi)所有電腦的網(wǎng)絡(luò)保安軟件，以加強網(wǎng)絡(luò)保安。有關(guān)事件并沒有影響該合約的工程進度。據(jù)悉，受害公司為奧雅納工程顧問公司，有傳黑客要求付錢才將檔案還原。

四、WannaCry 在全球大規(guī)模爆發(fā)

2017年5月，WannaCry在全球大規(guī)模爆發(fā)。該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB)，以類似于蠕蟲病毒的方式傳播，攻擊主機并加密主機上存儲的文件，然后要求以比特幣的形式支付贖金。2017年5月12日，WannaCry勒索病毒已經(jīng)攻擊了近100個國家，其中包括英國、美國、中國、俄羅斯、西班牙和意大利等。2017年5月14日，WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0，取消Kill Switch 傳播速度或更快。截止2017年5月15日，WannaCry已造成至少有150個國家受到網(wǎng)絡(luò)攻擊，已經(jīng)影響到金融，能源，醫(yī)療等行業(yè)，造成嚴重的危機管理問題。中國部分Window操作系統(tǒng)用戶也遭受感染，校園網(wǎng)用戶首當其沖，受害嚴重，大量實驗室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密。

360互聯(lián)網(wǎng)安全中心于2017年5月12日中午13點44分，截獲了WannaCry的首個攻擊樣本，是世界上最早截獲該病毒的公司。而在隨后的短短幾個小時內(nèi)，就有包括中國、英國、美國、德國、日本、土耳其、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等國家被報告遭到了WannaCry的攻擊，大量機構(gòu)設(shè)備陷入癱瘓。

截至2017年5月13日20:00時，360互聯(lián)網(wǎng)安全中心便已截獲遭WannaCry病毒攻擊的我國政企機構(gòu)IP地址29372個。而從后續(xù)國內(nèi)外媒體披露的情況來看，在全球范圍內(nèi)遭受此次WannaCry病毒攻擊的國家已超過了100個。

五、歐洲大規(guī)模爆發(fā)類 Petya 病毒

2017年6月，俄羅斯最大石油企業(yè)Rosneft等超過80家俄羅斯和烏克蘭公司遭到網(wǎng)絡(luò)襲擊，黑客向能源和交通等行業(yè)企業(yè)、銀行業(yè)和國家機構(gòu)等植入病毒并封鎖電腦，相關(guān)用戶被要求支付300美元的加密式數(shù)字貨幣以解鎖電腦。攻擊者通過感染烏克蘭流行會計軟件（M.E.Doc） 更新服務(wù)器，向用戶推送包含病毒的軟件更新。用戶更新軟件就會感染病毒，給企業(yè)系統(tǒng)和數(shù)據(jù)造成慘重損失。

烏克蘭受到的攻擊最為嚴重，烏克蘭政府官員報告稱，烏克蘭電網(wǎng)、銀行和政府部門的網(wǎng)絡(luò)系統(tǒng)遭到嚴重入侵。烏克蘭副總理Pavlo Rozenko在其推特上發(fā)布了一張黑暗的電腦屏幕的照片，并稱政府總部的電腦系統(tǒng)因受到攻擊已經(jīng)關(guān)閉。此外病毒攻擊已經(jīng)波及到英國、俄羅斯等歐洲多國的機場、銀行和大型企業(yè)的網(wǎng)絡(luò)系統(tǒng)。法國建筑巨頭圣戈班、俄羅斯石油公司(Rosneft)、丹麥貨運公司馬士基(Maersk)、西班牙食品巨頭Mondelez隨后相繼自曝受網(wǎng)絡(luò)襲擊。此外，挪威國家安全機構(gòu)、西班牙的企業(yè)都慘遭上述黑客攻擊。

六、多國正在遭遇彼佳勒索病毒襲擊

2017年6月，烏克蘭，俄羅斯，印度，西班牙，法國，以及英國歐洲多國正在遭遇彼佳勒索病毒襲擊；政府，銀行，電力系統(tǒng)，通訊系統(tǒng)，企業(yè)以及機場都不同程度的受到了影響。此次黑客使用的是彼佳勒索病毒的變種Petwarp，使用的攻擊方式和WannaCry相同。彼佳和傳統(tǒng)的勒索軟件不同，不會對電腦中的每個文件都進行加密，而是通過加密硬盤驅(qū)動器主文件表（MFT），使主引導(dǎo)記錄（MBR）不可操作，通過占用物理磁盤上的文件名，大小和位置的信息來限制對完整系統(tǒng)的訪問，從而讓電腦無法啟動。如果想要恢復(fù)，需要支付價值相當于300美元的比特幣。

七、韓國網(wǎng)絡(luò)托管公司 Nayana 再遭勒索

2017年6月，韓國IDC旗下的一家網(wǎng)絡(luò)托管公司Nayana遭遇了勒索軟件攻擊，其153臺Linux服務(wù)器被攻陷。最終，該公司同意向攻擊者支付價值100萬美元（約合683萬人民幣）的比特幣才獲得了“救贖”。

不過，Nayana似乎并沒有在付出高額經(jīng)濟代價之后吸取教訓。沒有修補漏洞或使用弱密碼的Linux服務(wù)器再次成為了勒索軟件的攻擊目標。Nayana在本月8日宣布，9臺托管于Nayana的服務(wù)器受到了勒索軟件的攻擊。攻擊者并沒有注明詳細的贖金數(shù)額，但留下了聯(lián)系方式。這和6月份的攻擊很相似，攻擊者似乎給了Nayana一個“討價還價”的余地。

八、Spora 竊取憑據(jù)并記錄您輸入的內(nèi)容

2017年8月，勒索惡意軟件已經(jīng)升級，使其能夠竊取瀏覽信息并記錄受感染PC的擊鍵。Spora勒索軟件是文件鎖定惡意軟件最常見的家族之一，它似乎緊隨著Cerber的腳步，獲得了從比特幣錢包中竊取密碼和貨幣的能力。通過竊取受害者的證件，罪犯確保了雙重發(fā)薪日，因為他們不僅可以通過勒索贖金賺錢，還可以在地下論壇上向其他犯罪分子出售被盜的信息。

從本質(zhì)上講，Spora在獲得竊取數(shù)據(jù)的能力之前已經(jīng)是一個強大的勒索軟件。Deep Instinct的安全研究人員發(fā)現(xiàn)了這個新的變種。這個Spora版本是在8月20日開始的48小時內(nèi)發(fā)布的，它是通過一個網(wǎng)絡(luò)釣魚攻擊傳播的，目標是一個Word文檔，聲稱是發(fā)票。為了查看文件的內(nèi)容，要求用戶啟用一個Windows腳本文件，它允許文檔放棄其惡意負載。這是Spora第一次嵌入到文檔中，而不是從Web服務(wù)器中提取。

九、勒索病毒壞兔子來襲俄烏等國中招

2017年10月24日，一種名叫“壞兔子（Bad Rabbit）”的新型勒索病毒從俄羅斯和烏克蘭最先開始發(fā)動攻擊，并且在東歐國家蔓延。俄羅斯最大的新聞通訊社之一國際文傳通訊社、《豐坦卡報》網(wǎng)站及另一家媒體24日也遭“壞兔子”病毒攻擊，國際文傳通訊社發(fā)稿受到影響。烏克蘭敖德薩國際機場一些航班被推遲。

烏克蘭國家機構(gòu)和基礎(chǔ)設(shè)施是此次攻擊的主要目標，奧德薩機場、基輔地鐵和烏克蘭基礎(chǔ)設(shè)施部門都受到了此次大規(guī)模網(wǎng)絡(luò)攻擊的影響。俄羅斯網(wǎng)絡(luò)安全廠商卡巴斯基實驗室10月25日報告，“壞兔子”已經(jīng)攻擊了位于俄羅斯、烏克蘭、土耳其和德國境內(nèi)的約200家公司的計算機網(wǎng)絡(luò)。其中，大部分目標位于俄羅斯境內(nèi)。

十、通用汽車制造中心遭勒索軟件攻擊

斯普林希爾（Spring Hill），是美國田納西州下轄的95個縣之一，也是重要的汽車制作中心，通用汽車的土星汽車制造工廠所在地。2017年11月3日晚些時候，這座城市遭遇了勒索軟件的攻擊。Spring Hill的發(fā)言人杰米·佩奇（Jamie Page）表示，當時一名政府雇員打開了一封不明來源的電子郵件，這一舉措導(dǎo)致Spring Hill城市管理系統(tǒng)的服務(wù)器被劫持、服務(wù)器文件被加密。一份贖金票據(jù)顯示在計算機屏幕上，攻擊者的贖金需求為25萬美元。Spring Hill政府方面并沒有向攻擊者支付贖金，而是下令其IT部門使用備份文件來重建數(shù)據(jù)庫。攻擊導(dǎo)致眾多城市服務(wù)被迫中斷，比如在線支付功能，包括水電氣費、交通罰款費以及證書辦理，包括營業(yè)執(zhí)照、食品安全許可證等。

附錄2  WannaCry 攻擊技術(shù)詳解

一、WannaCry的蠕蟲攻擊

（一） 針對445端口的掃描

作為一款蠕蟲病毒，WannaCry在感染某臺電腦后，便會對周邊聯(lián)網(wǎng)的其他電腦設(shè)備發(fā)起自動攻擊。具體的攻擊步驟是：

1）根據(jù)被感染電腦的IP地址等信息，判斷被感染電腦所處的環(huán)境是內(nèi)網(wǎng)還是互聯(lián)網(wǎng)；

2）如果被感染的電腦處于內(nèi)網(wǎng)中，則對整個內(nèi)網(wǎng)網(wǎng)段進行掃描；

3）如果被感染的電腦處于外網(wǎng)或互聯(lián)網(wǎng)上，則同時啟動128個線程，循環(huán)掃描隨機生成的IP地址。

4）掃描時，首先探測目標IP的445端口是否開啟，如果開啟，則使用永恒之藍工具發(fā)起遠程攻擊，向目標IP發(fā)送SMB協(xié)議的漏洞利用代碼。

根據(jù)360互聯(lián)網(wǎng)安全中心研發(fā)的全網(wǎng)掃描器實時監(jiān)測系統(tǒng)(http://scan.netlab.360.com/#/dashboard)顯示，在平日，針對445端口進行掃描的掃描源IP數(shù)約為3100個左右；而在5月12日WannaCry爆發(fā)當日，針對445端口進行掃描的掃描源IP數(shù)大幅上升到5600余個，見圖3。

圖35 

圖36

（二） 針對內(nèi)網(wǎng)設(shè)備的攻擊

針對內(nèi)網(wǎng)設(shè)備的攻擊過程分為兩步：

1）獲取本機IP和子網(wǎng)掩碼

圖37

2）根據(jù)子網(wǎng)掩碼生成局域網(wǎng)內(nèi)其他所有電腦的IP列表，并將它們都列為攻擊目標

圖38

(三) 針對互聯(lián)網(wǎng)設(shè)備的攻擊

由于外網(wǎng)，或互聯(lián)網(wǎng)上的IP地址空間要遠遠大于內(nèi)網(wǎng)或局域網(wǎng)，因此，WannaCry的攻擊方法要稍微復(fù)雜一些。具體來說，WannaCry會以2秒時間為間隔循環(huán)啟動1個攻擊線程，直到保持128個并發(fā)攻擊，每個線程會循環(huán)生成隨機的合法IP地址進行攻擊，這種攻擊方式會在被感染的電腦上持續(xù)進行24小時。

特別的，該病毒在選擇攻擊目標IP地址時，也采用了一些特別的處理：

1）IP地址的第一段會排除127和大于等于224的情況；

2）每隔40分鐘，病毒會對IP地址中的第一段進行一次隨機分配

3）每隔20分鐘，病毒會對IP地址中的第二段進行一次隨機分配

4）如果攻擊的IP地址445端口是開放的，會持續(xù)對這個IP地址的C段子網(wǎng)（x.x.x.1-x.x.x.254）發(fā)起254次攻擊

其具體攻擊代碼：

圖39

圖40

二、 WannaCry的勒索攻擊

作為一款勒索軟件，WannaCry的勒索攻擊也很有自己的特點。特別是對不同類型文件的分類分級加密，以及某些反病毒技術(shù)的使用，讓人印象深刻。

（一）WannaCry的文件掃描

對文件進行加密，是勒索軟件最基本的攻擊方式。WannaCry也不例外。WannaCry在感染電腦后，會首先從程序資源中的zip壓縮包中解壓釋放一個敲詐勒索功能相關(guān)的程序。見圖：

圖41

  

WannaCry的加密程序會首先按字母順序遍歷查找硬盤，從Z盤倒序遍歷盤符直到C盤，其中會跳過無法加密的光驅(qū)盤，還會特別注意移動硬盤設(shè)備，我們將WannaCry程序的文件遞歸函數(shù)抽象成了下圖的信息圖，以方便大家理解。

圖43

（二） WannaCry的分級加密

WannaCry會根據(jù)要加密文件的大小和類型等信息，對文件進行詳細的分類和分級，并使用不同的規(guī)則對不同類型的文件進行加密，目的是以最快的速度加密用戶最有價值的文件。

type列表1：

圖44

type列表2：

圖45

程序為了能盡快的加密其認為重要的用戶文件，設(shè)計了一套復(fù)雜的優(yōu)先級隊列:

1）對type2（滿足后綴列表1）進行加密（小于0×400的文件會降低優(yōu)先級）。

2）對type3（滿足后綴列表2）進行加密（小于0×400的文件會降低優(yōu)先級）。

3）處理剩下的文件（小于0×400的文件），或者其他一些文件。

（三） WannaCry的加密算法

在完成了需要加密文件的編輯處理后，程序就開始了最為關(guān)鍵的文件加密流程，整個加密過程使用了標準的RSA和AES加密算法，其中RSA加密功能使用了微軟的CryptoAPI函數(shù)實現(xiàn)，加密流程如圖所示：

圖46

程序加密文件的關(guān)鍵密鑰說明：

被加密后的文件格式如下圖：

圖47

值得注意的是，在加密過程中，程序會隨機選取一部分文件使用內(nèi)置的RSA公鑰來進行加密，其目的是為解密程序提供的免費解密部分文件功能。相關(guān)的C語言偽代碼見圖10：

圖48

而能免費解密的文件路徑則在文件f.wnry中

圖49

在完成加密之后，WanaCrypt0r會對其認為重要的文件進行隨機數(shù)填充，然后將文件移動到指定的臨時文件夾目錄然后刪除。此舉用于對抗文件恢復(fù)類軟件，同時兼顧加密文件的速度。

被隨機數(shù)填充的文件需要滿足以下幾點（見下圖）：

1）文件在特殊目錄中（桌面，我的文檔，用戶文件夾）。

2）文件小于200M。

3）文件后綴在type列表1。

具體填充的邏輯如下：

1）如果文件小于0×400,直接覆蓋對應(yīng)長度的隨機數(shù)。

2）如果文件大于0×400,對文件距離末尾0×400處進行覆蓋。

3）再次重定位文件指針到文件頭，以0×40000大小的緩沖區(qū)為單位向?qū)戨S機數(shù)直到文件末尾。

圖50

圖51

（四） WannaCry的文件刪除

為了加快加密速度，WannaCry并沒有在文件原文上進行加密處理，而是采用了先加密，后刪除的處理方法。但分析發(fā)現(xiàn)，在進行文件刪除操作時，病毒作者的處理邏輯不夠嚴謹，因此也就為數(shù)據(jù)的恢復(fù)提供了可能性。

WannaCry刪除文件的操作大致過程：首先嘗試將文件移動到臨時文件夾，生成一個臨時文件，然后再嘗試多種方法刪除文件。

1）當采用遍歷磁盤的方式加密文件的時候，會在當前盤符生成“$RECYCLE”+ 全局自增量+”.WNCYRT”(eg： “D:\\$RECYCLE\\1.WNCRYT”)路徑的臨時文件。

2）當盤符為系統(tǒng)盤(eg：C)時，使用的系統(tǒng)臨時目錄(%temp%)。

3）之后程序以固定時間間隔，來刪除臨時文件夾下的文件。

詳細的刪除文件流程信息圖見圖12：

圖52

（五） 文件的解密流程

首先，解密程序通過釋放的taskhsvc.exe向服務(wù)器查詢付款信息，若用戶已經(jīng)支付過，則將eky文件發(fā)送給作者，作者解密后獲得dky文件，這就是解密之后的Key。

解密流程與加密流程相反，解密程序?qū)姆?wù)器獲取的dky文件中導(dǎo)入Key。

圖53

圖54

可以看到，當不存在dky文件名的時候，使用的是內(nèi)置的Key，此時是用來解密免費的解密文件使用的。

圖55

圖56

之后解密程序從文件頭讀取加密的數(shù)據(jù)，使用導(dǎo)入的Key調(diào)用函數(shù)CryptDecrypt進行解密，解密出的數(shù)據(jù)作為AES的Key再次進行解密，得到原文件。

圖57

（六） WannaCry的對抗技術(shù)

從WannaCry的代碼來看，病毒作者具有一定反檢測對礦能力。這里舉兩個例子。

1）靜態(tài)文件特征查殺的技巧

WannaCry敲詐程序在啟動時使用了一個躲避殺毒軟件的靜態(tài)文件特征查殺的技巧。它會釋放一個DLL模塊到內(nèi)存中，直接在內(nèi)存中加載運行該DLL模塊，DLL模塊中的函數(shù)TaskStart用于啟動整個加密的流程，動態(tài)獲取文件系統(tǒng)和加密功能相關(guān)的API函數(shù)，用內(nèi)存中的動態(tài)行為來和殺毒軟件的文件靜態(tài)掃描特征對抗。相關(guān)的逆向代碼如下：

圖58

2）特定目錄躲避

WannaCry在文件遍歷的過程中會排除和比較一些路徑或者文件夾名稱，其中有一個很有意思的目錄名“ This folder protects against ransomware. Modifying it will reduce protection”。我們發(fā)現(xiàn)這個目標是國外的一款名為ransomfree的勒索防御軟件創(chuàng)建的防御目錄，勒索軟件如果觸碰這個目錄下的文件，就會被ransomfree查殺。所以，當WannaCry遇到這個目錄時，就會自動跳過去。這說明病毒作者有非常強的殺毒攻防對抗經(jīng)驗。

（七） 數(shù)據(jù)恢復(fù)的可行性

通過對WannaCry文件加密流程分析，我們會發(fā)現(xiàn)程序在加密線程中會對滿足條件的文件用隨機數(shù)或0×55進行覆寫，從而徹底破壞文件的結(jié)構(gòu)并防止數(shù)據(jù)被恢復(fù)。但是覆寫操作只限定于特定的文件夾和特定的后綴名。也就是說，程序只對滿足條件的文件進行了覆寫操作，受害者機器上仍然有很多的文件未被覆寫，這就為數(shù)據(jù)恢復(fù)提供了可能。

而在刪除線程中，我們發(fā)現(xiàn)程序是先將源文件通過Windows系統(tǒng)的MoveFileEx函數(shù)移動到其創(chuàng)建的臨時文件夾下，最后統(tǒng)一進行刪除。在這個過程中源文件的文件名會發(fā)生改變，常規(guī)數(shù)據(jù)恢復(fù)軟件不知道這個文件操作邏輯，導(dǎo)致大部分文件無法恢復(fù)，如果我們針對改變的文件名調(diào)整文件恢復(fù)策略，就可能恢復(fù)大部分文件。

另一方面，因為刪除操作和加密操作在不同的線程中，受用戶環(huán)境的影響，線程間的條件競爭可能存在問題，從而導(dǎo)致移動源文件的操作失敗，使得文件在當前位置被直接刪除，在這種情況下被加密的文件有很大概率可以進行直接恢復(fù)，但是滿足這種情形的文件是少數(shù)。

根據(jù)以上分析，我們發(fā)現(xiàn)了除了系統(tǒng)盤外的文件外，用我們精細化處理的方法進行數(shù)據(jù)恢復(fù)，被加密的文件有很大概率是可以完全恢復(fù)的。據(jù)此360公司開發(fā)了專門的恢復(fù)工具2.0版，以期幫助在此次攻擊中廣大的受害者恢復(fù)加密數(shù)據(jù)。

三、 WannaCry與永恒之藍

WannaCry的攻擊力極強，最主要的原因就是使用了NSA泄密的網(wǎng)絡(luò)武器永恒之藍。本章主要分析一下WannaCry與永恒之藍的具體關(guān)系。

（一） 永恒之藍的泄漏歷程

2016年8月13日，黑客組織Shadow Brokers聲稱攻破了為NSA開發(fā)網(wǎng)絡(luò)武器的美國黑客團隊Equation Group，并表示，如果得到100萬比特幣（現(xiàn)價約合5.68億美元），將公開這些工具。后來的事實證明，該組織從2016年8月1日開始，就已經(jīng)在為披露包括永恒之藍在內(nèi)的一系列的NSA網(wǎng)絡(luò)攻擊武器做準備。在這期間的13天里，該組織在Reddit，GitHub，Twitter，Imgur等多個平臺建立了相關(guān)的披露賬號，并且于13日開始將相關(guān)文檔在以上平臺進行披露。被泄露的工具包為一個256MB左右的壓縮文件，其中包含未加密的壓縮包eqgrp-free-file.tar.xz.gpg，及被用于拍賣的壓縮包eqgrp-auction-file.tar.xz.gpg。

2017年1月8日，Shadow Brokers再度開賣竊取方程式組織的Windows系統(tǒng)漏洞利用工具，此次拍賣的工具要價750比特幣（當時折合人民幣4650000元左右）。從公開的工具截圖來看此次的工具包括Windows的IIS、RPC、RDP和SMB等服務(wù)的遠程代碼執(zhí)行，還有一些后門、Shellcode以及一些其他的小工具。 

2017年2月10日，一個疑似早期版本的WannaCry加解密模塊程序被上傳到的VirusTotal，代碼的編譯時間是2月9日。在WannaCry爆發(fā)以后，通過代碼相似度比較，我們有相當大的把握認為這個版本與后來肆虐網(wǎng)絡(luò)的版本同源。

2017年4月14日，Shadow Brokers公布了之前泄露文檔中出現(xiàn)的Windows相關(guān)部分的文件，該泄露資料中包含了一套針對Windows系統(tǒng)相關(guān)的遠程代碼利用框架及漏洞利用工具（涉及的網(wǎng)絡(luò)服務(wù)范圍包括SMB、RDP、IIS及各種第三方的郵件服務(wù)器）。這批數(shù)據(jù)和工具是Shadow Brokers在2016年以來數(shù)次公布的數(shù)據(jù)中最有價值也同時最具攻擊力的一部分，其中涉及SMB服務(wù)的影響面最廣而且最穩(wěn)定的ETERNALBLUE漏洞利用工具直接催生了WannaCry勒索蠕蟲。

同日，微軟也發(fā)布了相應(yīng)的通告，Shadow Brokers公布的大部分之前未知的漏洞，在2017年3月14日的例行補丁包中已經(jīng)被修復(fù)，只要打好補丁，就可以免于攻擊。至于Shadow Brokers為何是要等到微軟已經(jīng)給系統(tǒng)打了補丁之后披露相關(guān)網(wǎng)絡(luò)武器，我們不得而知。

2017年5月12日，北京時間下午3點多前后，WannaCry勒索蠕蟲開始爆發(fā)。

2017年5月12日，北京時間晚上11點多，英國安全研究人員@MalwareTechBlog得到并分析了WannaCry蠕蟲樣本，發(fā)現(xiàn)樣本關(guān)聯(lián)了一個域名并將其注冊，在當時他并不非常清楚此域名的作用。事實上由于惡意代碼本身的邏輯，此域名如果獲得有效的解析蠕蟲就會退出不再執(zhí)行后續(xù)破壞性的加密操作，所以此域名的注冊極大地抑制了勒索蠕蟲的破壞作用。之后該Twitter作者寫了文章成，“How to Accidentally Stop a Global Cyber Attacks”描述了他是如何第一時間注意到這次攻擊事件，并迅速做出應(yīng)對的過程。

2017年5月12日下午，360啟動應(yīng)急響應(yīng)機制。同時，CNCert、網(wǎng)信、公安等也在全國范圍內(nèi)展開了積極的應(yīng)急響應(yīng)，并與包括360在內(nèi)的專業(yè)安全廠商進行了積極的合作與聯(lián)動。

2017年5月16日，經(jīng)歷過兩天的工作日，最終確認，WannaCry的感染量不再增加，沒有出現(xiàn)不可控發(fā)展趨勢，針對WannaCry的應(yīng)急響應(yīng)告一段落。

（二） WannaCry模塊對比

通過對WannaCry程序代碼和實際發(fā)送的攻擊數(shù)據(jù)包進行分析，我們發(fā)現(xiàn)程序使用的漏洞攻擊代碼和開源黑客工具所利用的永恒之藍漏洞攻擊近乎一致。

圖14是程序攻擊數(shù)據(jù)包的對比分析：左圖為病毒程序的逆向代碼，右圖為黑客工具metasploit的開源代碼，可以看到攻擊代碼的內(nèi)容幾乎一致。

圖59

圖60

我們再將抓取到的，程序的真實攻擊網(wǎng)絡(luò)數(shù)據(jù)包進行分析對比，發(fā)現(xiàn)攻擊的關(guān)鍵數(shù)據(jù)包也完全一致。

（三） 軍用武器的民用化

諸如永恒之藍這類軍用網(wǎng)絡(luò)攻擊武器被用于民用網(wǎng)絡(luò)攻擊領(lǐng)域的現(xiàn)象令人不安，這也暗示著基于NSA工具的SMB服務(wù)漏洞正在積極地被蠕蟲式利用傳播。在WannaCry勒索蠕蟲肆虐期間就出現(xiàn)了很多個去除掉自殺開關(guān)的修改版本，之后還發(fā)現(xiàn)了幾乎捆綁NSA所有可用SMB漏洞攻擊工具進行傳播的EternalRocks（永恒之石）家族，這些派生的和其他惡意代碼家族理論上具備更強的傳播力，甚至會逐漸取代WannaCry蠕蟲的主流地位。

WannaCry蠕蟲的加密勒索行為會促使中招用戶盡快進行處置，重裝系統(tǒng)、安裝補丁，以減少后續(xù)的感染源。但是，如果其他利用SMB漏洞進行傳播的蠕蟲只是秘密地潛伏控制，不做更多引起用戶注意的事情，則可能持續(xù)地保持活躍狀態(tài)。2003年的SQL Slammer蠕蟲，就一個400多字節(jié)的UDP Payload，只存在于內(nèi)存中，理論上只要為數(shù)不多的受感染的系統(tǒng)同時重啟一次，蠕蟲就會被消滅，可是就這樣一個蠕蟲存活了至少十年（也許現(xiàn)在還活著）。2008年爆發(fā)的Conficker蠕蟲到現(xiàn)在都還處于活躍狀態(tài)，從監(jiān)測到的已感染的源IP數(shù)量來看，完全有可能再活躍10十年。

此外，Shadow Brokers還宣稱，將會在未來一段時間里，披露更多的NSA利用0day漏洞進行攻擊的網(wǎng)絡(luò)武器。如果此言成真，很可能引起網(wǎng)絡(luò)安全更大的災(zāi)難。

四、 WannaCry的變種分析

就在WannaCry原始版本的蠕蟲泛濫成災(zāi)之時，360互聯(lián)網(wǎng)安全中心又監(jiān)測到了大量基于原始版本進行修改的變種，總量達到數(shù)百個，在情報中心的圖關(guān)聯(lián)搜索中可以很直觀地看到部分關(guān)聯(lián)。見圖。

圖61

從圖中可以看到：

1）MD5值：d5dcd28612f4d6ffca0cfeaefd606bcf

  此變種和原始版本蠕蟲只有細微的差別，只是通過二進制Patch的方法修改了自殺開關(guān)，病毒鏈接的URL的地址被改為http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

以后發(fā)現(xiàn)的多個類似變種也都采用了這種通過簡單二進制Patch的方式修改開關(guān)域名的方法，與原始版本相關(guān)，整個惡意代碼只有域名部分的字節(jié)被進行了修改。

 

圖62

WannaCry部分變種樣本及對應(yīng)開關(guān)域名如下表：

樣本 自殺開關(guān)

550ea639584fbf13a54eccdaa359d398 http://www.udhridhfowhgibe9vheiviehfiehbfvieheifheih.com

c2559b51cfd37bdbd5fdb978061c6c16 http://www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com

0156edf6d8d35def2bf71f4d91a7dd22 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

61f75bb0c76fe332bccfb3383e5e0178 http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

4287e15af6191f5cab1c92ff7be8dcc3 http://www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com

dd7216f5cb34dcf9bd42879bd528eaf4 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.cum

圖是原始版本W(wǎng)annaCry的開關(guān)域名與其中一個修改后域名的解析量對比。其中從對DNS訪問量的監(jiān)測來看，此類樣本對整體感染面影響基本可以忽略不計。

圖63

從圖中還可以看出，開關(guān)域名對蠕蟲的傳播影響非常大，在域名被安全研究者注冊，形成有效解析和訪問以后，初始的指數(shù)級感染趨勢很快被抑制，之后再也沒有超過最早快速上升階段所形成的高峰。

至于那些通過簡單Patch得到的蠕蟲為什么無法流行開來，我們猜測的原因倒并不是越來越多的系統(tǒng)被及時打上了補?。ㄟ@無法解釋為什么非WannaCry蠕蟲但同樣利用NSA SMB系列漏洞的其他惡意代碼感染量持續(xù)上升的趨勢），而是因為主機上的防病毒工具所起的作用。這些簡單Patch過的惡意代碼與原始版本太像了，基于特征碼的病毒查殺引擎就能非常有效地識別并做自動化的處理，如果這類派生蠕蟲不像WannaCry那樣在活動的早期感染量以鏈式反應(yīng)一樣迅速突破一個臨界值就很難再流行開來。

2）MD5值：d724d8cc6420f06e8a48752f0da11c66

該變種樣本在原版樣本的基礎(chǔ)上，從二進制Patch直接去除了檢查開關(guān)域名以停止加密的功能，可以直接進入感染流程。圖18為修改前后的比較。

圖64

但是，該樣本在勒索模塊的部分可能是由于作者疏忽，樣本里硬編碼的用于解壓zip的密碼還是WNcry@2ol7, 這個密碼并不能解壓成功，導(dǎo)致勒索流程被廢掉了。接來下的變種可能會修復(fù)這個“Bug”，而使攻擊的威脅程度大增。事實上，后來也確實出現(xiàn)了完全去除自殺開關(guān)并且可工作的版本。

綜上，這些基于原始蠕蟲簡單修改的惡意代碼已經(jīng)構(gòu)不成嚴重威脅，更麻煩的在于那些潛伏下來讓人無感知的惡意代碼家族，這些才是真正值得擔心的東西。

附錄3  從DNS和sinkhole視角看WannaCry蠕蟲

域名系統(tǒng)(Domain Name System, DNS)數(shù)據(jù)作為全網(wǎng)流量數(shù)據(jù)的一種采樣方式，可以在大網(wǎng)尺度對域名做有效的度量和分析。我們利用DNS數(shù)據(jù)，在過去數(shù)年里對多個安全事件，包括Mirai等僵尸網(wǎng)絡(luò)、DGA等惡意域名，以及黑色產(chǎn)業(yè)鏈條進行跟蹤和分析。對于最近爆發(fā)的WannaCry蠕蟲病毒，利用DNS數(shù)據(jù)進行分析，也是很有意義的。

眾所周知，WannaCry蠕蟲病毒有一個開關(guān)域名。在蠕蟲感染過程中，有效載荷通過445端口上的 MS17-010漏洞投遞并成功啟動后，會嘗試訪問特定域名的網(wǎng)頁。如果成功訪問網(wǎng)頁，則隨即退出，蠕蟲會被壓制，不會進一步發(fā)作；如果訪問網(wǎng)頁失敗，蠕蟲會開始破壞動作，并隨后彈框勒索贖金。本文首先從我們手頭的DNS數(shù)據(jù)視角，就開關(guān)域名和其他域名的訪問情況，描繪本次WannaCry蠕蟲病毒在國內(nèi)的感染和防御情況。

盡管在注冊開關(guān)域名時，Kryptos Logic Vantage的研究人員并沒有意識到這個域名的重要作用，但實際上，正是這個開關(guān)域名成功防止了WannaCry蠕蟲的蔓延，研究人員因此自嘲說“意外地拯救了世界”。得益于Kryptos Logic Vantage對我們的信任，我們獲得了關(guān)鍵域名sinkhole的部分日志數(shù)據(jù)。本文的第二部分，將基于sinkhole日志的統(tǒng)計信息，分析WannaCry的感染情況。

從DNS視角看WannaCry在國內(nèi)的感染和防御情況

這里，有必要先介紹一下我們在DNS方面“看見”的能力，從而向讀者確認我們所見的數(shù)據(jù)能夠代表中國地區(qū)。我們及合作伙伴的DNS數(shù)據(jù)源每日高峰期處理超過100萬次/秒的DNS請求和響應(yīng)，客戶來源覆蓋國內(nèi)各地理區(qū)域、行業(yè)、運營商等不同領(lǐng)域。

在這次WannaCry事件中，我們估算能夠看到全國大約10%的相關(guān)DNS流量。如果將整個國內(nèi)互聯(lián)網(wǎng)視為一個復(fù)雜系統(tǒng)，DNSPAI則是對DNS流量的一個采樣，而全部的DNS流量是對整個復(fù)雜系統(tǒng)在協(xié)議維度的一個采樣。在這個尺度上，即使只有1%的采樣比也是非常驚人的。通過合理設(shè)定數(shù)據(jù)處理管道和充分運用大數(shù)據(jù)分析技術(shù)，我們能夠?qū)χ袊箨懙貐^(qū)的網(wǎng)絡(luò)安全情況有一個較為全面的了解。

一、 WannaCry在國內(nèi)的感染趨勢

（一） 早期感染階段

5月12日（周五）15:20（北京時間，下同），我們看到了首個訪問該域名的DNS請求。此時的域名解析是不成功的，自然無法訪問到目標網(wǎng)頁，機器一旦感染蠕蟲，就會發(fā)作。這個階段的DNS訪問曲線如圖所示。

圖65

這段時間又可以劃分為如下若干更小的時間片。

1）15:00～17:00之間，每個小時的感染數(shù)量分別是 9，25和202，每個小時擴大約一個數(shù)量級，這是極早期快速感染階段；

2）17:00～22:00之間，每小時新增感染達到了一個較高水平，最高達到2800/小時，這是第一次高峰階段；

3）22:00～23:00之間，感染速度逐漸下降，這應(yīng)該是夜間更多機器關(guān)機導(dǎo)致，可以歸納為夜間自然下降階段；

仔細觀察這段時間的感染情況，可以得出以下結(jié)論：1)我們有理由認為15:00附近就是國內(nèi)蠕蟲最初感染發(fā)作的時間，盡管我們看到的僅是國內(nèi)DNS數(shù)據(jù)的采樣而非全部。這是因為最初的感染速度非常小，為個位數(shù)，并且在隨后的每個小時內(nèi)擴充約1個數(shù)量級，如果我們把時間向前追溯，就可以得到這個結(jié)論。2)壓制域名的上線有重大意義：在整個早期感染階段，蠕蟲擴張的速度非?？欤绻皇菈褐朴蛎麪幦×藭r間，所有后續(xù)的防御行動都會困難很多。事實上，周五這天晚上22:00附近就是WannaCry感染速度的歷史最高水平，即使是后來的周一早上上班大開機的時刻也沒能超過這個水平。

（二） 域名壓制階段

開關(guān)域名于周五23:30左右上線，開始了對WannaCry的壓制。這段時間也可以繼續(xù)細分為如下若干時間片段。

壓制域名同步到全網(wǎng)階段

由于DNS本身的緩存，壓制域名雖然最早于23:30左右上線，但是這個案例中還需要大約30分鐘才能讓全網(wǎng)所有節(jié)點都能感知到。在這30分鐘里，全網(wǎng)范圍內(nèi)DNS應(yīng)答中，NXDOMAIN（域名不存在）和A（回應(yīng)IP地址）兩種類型同時存在。前者在回落，后者在上升。域名上線后大約5～10分鐘時，兩條曲線出現(xiàn)十字交叉，域名上線30分鐘后，NXDOMAIN被壓制到地板附近。

圖66

平穩(wěn)控制階段

NXDOMAIN被壓制以后，過度到了平穩(wěn)控制階段。在這個階段，一方面，微軟補丁更新和安全社區(qū)的共同努力減少了感染機器的數(shù)量；另一方面，總有機器因為各種原因被新增感染?？傮w而言，總感染量處于動態(tài)平衡狀態(tài)，并且會隨著時間推移最終平穩(wěn)下降。從既往其他類似情況看，下降過程也許會耗費數(shù)年，并且往往會出現(xiàn)以周為單位的規(guī)律性波動

圖67

在這個階段，有以下情況值得一提。

在5月17日以后，DNS數(shù)據(jù)中信噪比逐漸下降，逐漸變得不再適合用來做分析和度量。這主要是由于開關(guān)域名被媒體和公眾大量關(guān)注，越來越多的針對開關(guān)域名的訪問是來自瀏覽器而非WannaCry。

盡管如此，每天的DNS訪問曲線仍然是不多的風向標之一。在感染的早期，每個人都無法預(yù)測WannaCry的后續(xù)發(fā)展趨向，只能嚴密監(jiān)視域名訪問情況。白天相對夜晚有個波峰，這是正?，F(xiàn)象；周日的波峰比周六更高一些，沒人知道這是個什么樣的兆頭；直到周一早晨9:00的波峰開始回落，確認周一讀數(shù)小于周五，我們才能基本認為感染情況大體得到控制；隨后，在周三和周四感染情況有所反彈，每個人的心又提到嗓子眼；直到再下一周數(shù)據(jù)整體回落，我們才能最終確認局勢受控，從應(yīng)急狀態(tài)回到平穩(wěn)的工作狀態(tài)。

二、WannaCry不同變種感染情況對比

隨著時間推移，不斷有WannaCry的不同變種被曝光，有的樣本去掉了對開關(guān)域名的檢測（但是幸運的是該樣本被改壞了，無法正常啟動），有的樣本使用了不同的開關(guān)域名，但是從DNS數(shù)據(jù)層面來看，除了原始版本，其他版本并沒有得到廣泛傳播。

我們至少捕獲到以下WannaCry變種樣本：

hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

hxxp://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

hxxp://www.udhridhfowhgibe9vheiviehfiehbfvieheifheih.com

hxxp://www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com

hxxp://www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com

對應(yīng)域名的DNS訪問曲線如圖所示。

傳播的主體，是iuqerf的原始版本；

ifferf版本有少量傳播，比原始版本小了一個數(shù)量級；

其他版本只有零星訪問或者干脆沒有訪問。

圖68 

變種版本的感染范圍遠小于原始版本，也許可以歸為補丁防御工作開始啟動。無論如何，可以預(yù)期后續(xù)變種如果僅僅修改了開源域名，并不會比 ifferf版本帶來更大影響。總體而言，在這個案例中，非原始版本的WannaCry的感染情況不值得引起安全社區(qū)的密切關(guān)注。

三、微軟WSUS補丁更新服務(wù)的訪問情況

微軟補丁是本次WannaCry防御體系的關(guān)鍵，理應(yīng)獲得比WannaCry變種更多的關(guān)注。查詢微軟WSUS服務(wù)的官網(wǎng)可知，WSUS服務(wù)與下列域名訪問有關(guān)：

?hxxp://windowsupdate.microsoft.com

?hxxp://download.windowsupdate.com

?hxxp://download.microsoft.com

?hxxp://test.stats.update.microsoft.com

?hxxp://ntservicepack.microsoft.com

簡單查詢可知，download.windowsupdate.com的訪問量最大，我們選用這個域名的DNS訪問情況來代表補丁更新情況，如圖所示。

圖69

  

通常而言，補丁更新分發(fā)的高峰是在“星期二補丁日”的第二天。按照慣例，微軟是在每個月第二周的星期二發(fā)補丁，第二天（周三）是中國區(qū)用戶更新的高峰時間。但是這一次，5月15日（周一）當天出現(xiàn)了一個波峰。這種情況可以理解為系統(tǒng)網(wǎng)絡(luò)管理員、個人在經(jīng)過周六和周日的宣傳后，大量用戶在周一更新了微軟補丁。

從這個意義上來說，這一次整個安全社區(qū)在周六、周日緊急行動起來，向社會和公眾說明情況，提供防御手段和解決方案，是非常必要的。如果錯過了周六和周日宣傳準備的時間窗口，周一早上的開機時刻也許就是災(zāi)難時刻。

四、 從sinkhole視角看WannaCry的感染情況

如前所述，得益于Kryptos Logic Vantage對我們的信任，我們獲得了域名sinkhole的關(guān)鍵日志。這段數(shù)據(jù)覆蓋了全球，是WannaCry事件中全球視角的唯一權(quán)威數(shù)據(jù)。Kryptos Logic Vantage授權(quán)我們展示部分統(tǒng)計信息。

我們得到的sinkhole數(shù)據(jù)，發(fā)生在北京時間5月12日23:40～5月16日8:10，缺失了5約13日10:30～5月14日00:20之間的數(shù)據(jù)。這段數(shù)據(jù)顯示，開關(guān)域名共計被訪問了266萬次，涉及16萬個獨立來源IP。

五、 Sinkhole與DNS數(shù)據(jù)對比分析

將sinkhole數(shù)據(jù)與DNS數(shù)據(jù)放在一起對比，可以清晰地進行分析。如圖所示，藍色部分為sinkhole數(shù)據(jù)，紅色部分為DNS數(shù)據(jù)。DNS數(shù)據(jù)在縱軸上縮放了10倍，以便清晰地展示數(shù)據(jù)的趨勢。

圖70

按時間順序解讀圖，可以得知：

1）域名剛剛上線后的5個小時之內(nèi)是sinkhole訪問的歷史高峰，每分鐘約3500次；

2）上線6小時后sinkhole訪問數(shù)量開始持續(xù)回落，到北京時間5月14日6時許降低到高峰時段的十分之一，到15日3時為最低點，約為歷史高峰水平的三十分之一?？梢哉J為，域名上線，有效壓制了蠕蟲的發(fā)展；

以上觀察結(jié)果與之前DNS數(shù)據(jù)觀察結(jié)果一致。我們猜測，缺失的14個小時的數(shù)據(jù)，趨勢也是一直在下降。

六、來源端口和Windows動態(tài)端口范圍設(shè)定

除了時序方面，來源端口方面的數(shù)據(jù)分布也引起了我們的注意。端口49150前后的來源訪問次數(shù)差別非常大，端口1024前后也有一個局部的暴漲。下圖分別是全端口分布、端口49150附近數(shù)據(jù)縮放以及端口1024附近數(shù)據(jù)縮放。

圖71

圖72

圖73

我們查到，Windows操作系統(tǒng)對動態(tài)端口范圍有如表所示的設(shè)定。

基于以上事實，我們有如下推測。

1）相當比例機器被感染的時機，發(fā)生在Windows剛剛啟動完成的階段，這時動態(tài)端口幾乎都沒有被使用，操作系統(tǒng)按照預(yù)設(shè)范圍由低到高，給請求分配了范圍下限附近的端口；

2）處在下限邊緣但很少被使用到的端口，例如，49152/49153/49154和1024/1025/1026/1027，也許是被操作系統(tǒng)自身在啟動過程中用掉；

3）絕大部分被感染版本是Windows Vista/Windows 7/WindowsServer2008及以后版本，之前版本感染的不多。

附錄4  360勒索軟件協(xié)同防御解決方案

360勒索軟件協(xié)同防御解決方案是360企業(yè)安全為了幫助政企單位規(guī)避勒索軟件等新興安全威脅而推出的整體解決方案，全面兼顧事前、事中、事后不同階段的不同安全需求，通過安全運營提升安全管理水平和響應(yīng)處置能力，通過威脅情報提前洞悉風險隱患，通過協(xié)同防御響應(yīng)處置威脅，通過百萬敲詐先賠免除后顧之憂，讓政企單位能夠更加從容的面對日益猖獗的勒索軟件等安全威脅。

方案構(gòu)成

大數(shù)據(jù)分析是安全可見的基礎(chǔ)，而威脅情報則是能否發(fā)現(xiàn)威脅的關(guān)鍵。傳統(tǒng)的安全防御措施缺乏大數(shù)據(jù)存儲與分析挖掘能力，也沒有豐富的威脅情報作為支撐，產(chǎn)品之間更是各自為政，因此很難及時發(fā)現(xiàn)并層層阻斷高級威脅。

基于安全協(xié)同的理念，360勒索軟件協(xié)同防御解決方案為客戶構(gòu)建了威脅情報驅(qū)動的，終端安全、邊界安全、大數(shù)據(jù)分析等安全設(shè)備聯(lián)動的縱深防御體系，將威脅情報與數(shù)據(jù)分析能力貫穿于監(jiān)測與防御體系，通過對云端威脅情報、邊界網(wǎng)絡(luò)流量與本地終端數(shù)據(jù)的匯總分析與協(xié)同響應(yīng)，以及持續(xù)高效的安全運營，讓政企客戶能夠?qū)账鬈浖刃屡d安全威脅“看得見、防得住、查得清、搞得定”。

方案特點

1）基于威脅情報的預(yù)警服務(wù)

2）邊界+終端+威脅情報多層次智慧防御體系

3）特征+威脅情報多維檢測精準告警

4）大數(shù)據(jù)驅(qū)動的自動化+人工有效響應(yīng)機制

5）百萬敲詐先賠保障

應(yīng)用價值

構(gòu)建完整防御架構(gòu)。防御手段必須完善才能不給勒索軟件可乘之機。這就需要充分考慮到每一個可能突破的薄弱環(huán)節(jié)，例如安全主機加固、安全域劃分、終端準入機制、安全運維體系。

提供增強持續(xù)監(jiān)測能力。攻擊隨時都在發(fā)生，安全系統(tǒng)應(yīng)該也要適應(yīng)動態(tài)的安全環(huán)境，因此要充分考慮對安全狀態(tài)持續(xù)的監(jiān)測及對突發(fā)安全威脅及時遏制的能力。

建立及時響應(yīng)處置機制。防御系統(tǒng)隨時可能被攻破，為減少攻擊造成的損失，需要建立正確的應(yīng)急響應(yīng)流程，減少處理中流程錯誤情況；能夠自動化的響應(yīng)處置，加快處理速度；具有溯源取證能力，以便了解攻擊來源途徑。

建立安全預(yù)警規(guī)范。建立與安全廠商實時聯(lián)動的安全預(yù)警中心，實時獲取最新的安全動態(tài)，更新自身的安全系統(tǒng)。在下一次攻擊發(fā)生之前與安全廠商共同完成對內(nèi)的預(yù)警動作。

增強云虛擬化場景下的主機防護能力。近年來，云計算已經(jīng)廣泛應(yīng)用，運行Windows Server及Linux的 VM也會面臨蠕蟲勒索病毒的威脅。因此，云平臺的安全隱患也需要給予高度重視。