前言

距離2017年5月12日，臭名昭著的WannaCry(pt)勒索病毒大規(guī)模爆發(fā)，已經(jīng)過(guò)去了五年。隨著WannaCry勒索病毒的爆發(fā)，在這短短幾年時(shí)間里，勒索病毒家族的小分支“遍地開(kāi)花”，新變種和新病毒不斷地滋生蔓延。各類勒索病毒不斷涌現(xiàn)，從2017年5月至2018年4月，近500萬(wàn)臺(tái)終端遭受攻擊，勒索病毒儼然成為互聯(lián)網(wǎng)空間中的一大威脅。勒索病毒的出現(xiàn)打開(kāi)了一個(gè)潘多拉魔盒，它展示了網(wǎng)絡(luò)武器的威力:網(wǎng)絡(luò)武器并不是傳統(tǒng)的病毒和惡意軟件，它并不僅僅只是騷擾一下被害用戶，或者讓用戶的電腦性能或部分功能受到影響。它實(shí)際的影響到了整個(gè)社會(huì)的基礎(chǔ)設(shè)施和基本服務(wù)，甚至影響到了社會(huì)秩序。

勒索病毒簡(jiǎn)介

北京時(shí)間2017年5月12日晚上22點(diǎn)30分左右，全英國(guó)上下16家醫(yī)院遭到突然的網(wǎng)絡(luò)攻擊，醫(yī)院的內(nèi)部網(wǎng)絡(luò)被攻陷，導(dǎo)致這16家機(jī)構(gòu)基本中斷了與外界聯(lián)系，內(nèi)部醫(yī)療系統(tǒng)幾乎全部癱瘓。與此同時(shí)，該未知病毒也在全球范圍大爆發(fā)。

在數(shù)小時(shí)內(nèi)，病毒影響了近150個(gè)國(guó)家，一些政府機(jī)關(guān)、高校、醫(yī)院的電腦屏幕都被病毒“血洗”染成了紅色加密界面，其結(jié)果致使多個(gè)國(guó)家的重要信息基礎(chǔ)設(shè)施遭受前所未有的破壞。該病毒也由此受到空前的關(guān)注。

這場(chǎng)席卷全球的網(wǎng)絡(luò)攻擊的罪魁禍?zhǔn)拙褪沁@個(gè)名為WannaCry的勒索病毒。借助“永恒之藍(lán)”高危漏洞（MS17-010）傳播的WannaCry，“網(wǎng)絡(luò)武器”一詞也開(kāi)始進(jìn)入大眾視野。

然而勒索病毒本身并不是什么新概念，勒索軟件Ransomware最早出現(xiàn)于1989年，是由約瑟夫·波普（Joseph Popp）編寫(xiě)的命名為“艾滋病特洛伊木馬（AIDS Trojan）”的惡意軟件。它的設(shè)計(jì)十分失敗以至于受害者無(wú)需支付贖金即可解密。

在1996年，哥倫比亞大學(xué)和IBM的安全專家撰寫(xiě)了一個(gè)叫Cryptovirology的文件，明確概述了勒索軟件Ransomware的概念：利用惡意代碼干擾被攻擊用戶的正常使用，除非用戶支付贖金才能恢復(fù)正常使用的惡意軟件。

最初的勒索軟件和現(xiàn)在流行的勒索病毒相同，都采用加密文件、收費(fèi)解密的模式，只是加密方式不同。除了加密模式之外，之后也出現(xiàn)通過(guò)其他手段進(jìn)行勒索的，比如強(qiáng)制顯示違規(guī)圖片、威脅受害者散布瀏覽記錄、使用虛假信息要挾等形式，這類勒索病毒在近幾年來(lái)一直不斷出現(xiàn)。

勒索病毒原理

勒索病毒的加密原理，大多基于RSA加密算法。RSA公鑰加密是一種非對(duì)稱加密算法，它包含了三個(gè)算法：KeyGen（密鑰生成算法），Encrypt（加密算法）以及Decrypt（解密算法）。其算法過(guò)程需要一對(duì)密鑰（即一個(gè)密鑰對(duì)），分別是公鑰（公開(kāi)密鑰）和私鑰（私有密鑰），公鑰對(duì)內(nèi)容進(jìn)行加密，私鑰對(duì)公鑰加密的內(nèi)容進(jìn)行解密?！胺菍?duì)稱”這三個(gè)字的意思是，雖然加密用的是公鑰，但拿著公鑰卻無(wú)法解密。這里簡(jiǎn)單介紹下RSA非對(duì)稱加密算法的由來(lái)：

1976年以前，所有的加密方法都是同一種模式：

（1）甲方選擇某一種加密規(guī)則，對(duì)信息進(jìn)行加密；

（2）乙方使用同一種規(guī)則，對(duì)信息進(jìn)行解密。

由于加密和解密使用同樣規(guī)則（簡(jiǎn)稱"密鑰"），這被稱為"對(duì)稱加密算法"（Symmetric-key algorithm）。這種加密模式有一個(gè)最大弱點(diǎn)：甲方必須把加密規(guī)則告訴乙方，否則無(wú)法解密。保存和傳遞密鑰，就成了最頭疼的問(wèn)題。

1976年，兩位美國(guó)計(jì)算機(jī)學(xué)家Whitfield Diffie 和 Martin Hellman，提出了一種嶄新構(gòu)思，可以在不直接傳遞密鑰的情況下，完成解密。這被稱為"Diffie-Hellman密鑰交換算法"。這個(gè)算法啟發(fā)了其他科學(xué)家。人們認(rèn)識(shí)到，加密和解密可以使用不同的規(guī)則，只要這兩種規(guī)則之間存在某種對(duì)應(yīng)關(guān)系即可，這樣就避免了直接傳遞密鑰。這種新的加密模式被稱為"非對(duì)稱加密算法"。

（1）乙方生成兩把密鑰（公鑰和私鑰）。公鑰是公開(kāi)的，任何人都可以獲得，私鑰則是保密的。

（2）甲方獲取乙方的公鑰，然后用它對(duì)信息加密。

（3）乙方得到加密后的信息，用私鑰解密。

如果公鑰加密的信息只有私鑰解得開(kāi)，那么只要私鑰不泄漏，通信就是安全的。

1977年，三位數(shù)學(xué)家Rivest、Shamir 和 Adleman 設(shè)計(jì)了一種算法，可以實(shí)現(xiàn)非對(duì)稱加密。這種算法用他們?nèi)齻€(gè)人的名字命名，叫做RSA算法。從那時(shí)直到現(xiàn)在，RSA算法一直是最廣為使用的"非對(duì)稱加密算法"。毫不夸張地說(shuō)，只要有計(jì)算機(jī)網(wǎng)絡(luò)的地方，就有RSA算法。

RSA算法非常可靠，密鑰越長(zhǎng)，它就越難破解。根據(jù)已經(jīng)披露的文獻(xiàn)，目前被破解的最長(zhǎng)RSA密鑰是768個(gè)二進(jìn)制位。也就是說(shuō)，長(zhǎng)度超過(guò)768位的密鑰，還無(wú)法破解（至少?zèng)]人公開(kāi)宣布）。因此可以認(rèn)為，1024位的RSA密鑰基本安全，2048位的密鑰極其安全。

這次WannaCrypt勒索病毒使用的就是2048位密鑰長(zhǎng)度的RSA非對(duì)稱加密算法對(duì)內(nèi)容進(jìn)行加密處理。通過(guò)系統(tǒng)隨機(jī)生成的AES密鑰，使用AES-128-CBC方法對(duì)文件進(jìn)行加密，然后將對(duì)應(yīng)的AES密鑰通過(guò)RSA-2048加密，再將RSA加密后的密鑰和AES加密過(guò)的文件寫(xiě)入到最終的.WNCRY文件里。

最終能解密的鑰匙只有在黑客手中；而以現(xiàn)在的計(jì)算能力，連超級(jí)計(jì)算機(jī)都需要花費(fèi)大約60萬(wàn)年時(shí)間破解（題外話：目前還在研發(fā)中的量子計(jì)算機(jī)只需要三小時(shí)）。以下是WannaCrypt勒索病毒的加密流程圖：

永恒之藍(lán)漏洞

之所以WannaCry能夠如此迅速地傳播，是因?yàn)楹诳蛨F(tuán)體Shadow Brokers公開(kāi)了由美國(guó)國(guó)家安全局（NSA）管理的的黑客滲透工具之一：“永恒之藍(lán)”。它針對(duì)的是445文件共享端口上的Windows服務(wù)器消息塊(SMB)的漏洞，能夠獲取系統(tǒng)的最高權(quán)限。

勒索病毒通過(guò)掃描開(kāi)放445文件共享端口的Windows計(jì)算機(jī)，無(wú)需用戶進(jìn)行任何操作，只要計(jì)算機(jī)開(kāi)機(jī)并連接上互聯(lián)網(wǎng)，攻擊者就能在電腦和服務(wù)器中植入諸如勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

據(jù)邁克菲（McAfee，全球最大的安全技術(shù)公司）不久前的調(diào)查研究顯示，WannaCry與朝鮮黑客組織Hidden Cobra緊密相關(guān)，目的或與間諜活動(dòng)有關(guān)聯(lián)。如今雖然“永恒之藍(lán)”漏洞已得到修復(fù)，但事實(shí)上，當(dāng)前對(duì)該漏洞的利用程度更甚去年。

卡巴斯基實(shí)驗(yàn)室表示，遭受與“永恒之藍(lán)”漏洞相關(guān)攻擊的受害者數(shù)量在2018年4月比2017年5月高出十倍，平均每月有超過(guò)24萬(wàn)用戶受到攻擊。

下圖是利用永恒之藍(lán)漏洞衍生出的各類安全事件：

網(wǎng)絡(luò)攻擊武器

第一個(gè)被眾人皆知的網(wǎng)絡(luò)攻擊武器便是震網(wǎng)病毒Stuxnet，一個(gè)席卷全球工業(yè)界的蠕蟲(chóng)病毒。安全專家認(rèn)為它被設(shè)計(jì)出來(lái)的主要目的是針對(duì)伊朗核電站，是伊核危機(jī)中成功阻止伊朗核計(jì)劃近兩年的罪魁禍?zhǔn)住?/p>

2010年初，聯(lián)合國(guó)負(fù)責(zé)核查伊朗核設(shè)施的國(guó)際原子能機(jī)構(gòu)（IAEA）開(kāi)始注意到，納坦茲鈾濃縮工廠的核心部件離心機(jī)（型號(hào)IR-1）故障率高得離譜，原本預(yù)計(jì)每年更換率在10%左右，但僅在2009年12月，就有大約1/4的離心機(jī)因發(fā)生故障而報(bào)廢。

由于離心機(jī)的故障發(fā)生率遠(yuǎn)遠(yuǎn)超出預(yù)期，導(dǎo)致伊朗遲遲無(wú)法生產(chǎn)濃縮鈾。然而令人疑惑的是，離心機(jī)的生產(chǎn)環(huán)節(jié)并未檢測(cè)出任何問(wèn)題，且每臺(tái)離心機(jī)在出廠時(shí)都經(jīng)過(guò)了嚴(yán)格的質(zhì)量檢查，均無(wú)任何異常。但是只要機(jī)器投入了生產(chǎn)環(huán)境，卻很快就會(huì)因磨損過(guò)度而產(chǎn)生故障。于此同時(shí)，提供給伊朗核心技術(shù)的巴基斯坦確沒(méi)有發(fā)生過(guò)那么高的離心機(jī)故障率。

直到2010年中旬謎底才得以解開(kāi)。2010年6月，白俄羅斯的一家安全公司VirusBlokAda受邀為一些伊朗客戶檢查系統(tǒng)，調(diào)查他們電腦無(wú)故死機(jī)和重啟的問(wèn)題。該安全公司的技術(shù)人員在客戶電腦中發(fā)現(xiàn)了一種新的蠕蟲(chóng)病毒。

根據(jù)病毒代碼中出現(xiàn)的特征字“stux”，新病毒被命名為“震網(wǎng)病毒（stuxnet）”，并加入到公共病毒庫(kù)，公布給業(yè)界人士研究。然而隨著研究的發(fā)現(xiàn)，安全專家們發(fā)現(xiàn)這個(gè)病毒非同小可。全球知名安全團(tuán)隊(duì)，包括賽門(mén)鐵克，卡巴斯基，微軟都對(duì)該病毒進(jìn)行了非常深入的研究，并且深入研究的結(jié)果讓所有人都瞠目結(jié)舌：

1.這個(gè)病毒用了4個(gè)0 day漏洞；

2.這個(gè)病毒針對(duì)西門(mén)子工控PLC；

3.這個(gè)病毒主要針對(duì)伊朗；

4.這個(gè)病毒設(shè)計(jì)的非常精密。

由此看出，這是一起精心策劃，以破壞伊朗核電站的離心機(jī)設(shè)備為目的，進(jìn)行的一次網(wǎng)絡(luò)攻擊事件。由于西門(mén)子的PLC在工控領(lǐng)域中使用非常廣泛，且PLC一旦失控，會(huì)造成火車(chē)脫軌，設(shè)備爆炸，電場(chǎng)停電等一系列安全事故。此外，由于工控系統(tǒng)通常都是與外網(wǎng)物理隔離，而且針對(duì)PLC的系統(tǒng)需要相同的測(cè)試環(huán)境進(jìn)行多次測(cè)試。而一套PLC以及配套相同環(huán)境的設(shè)備，需要花費(fèi)一大筆經(jīng)費(fèi)，因此普通黑客組織是無(wú)法承擔(dān)如此重大的開(kāi)銷(xiāo)的。

此外，這個(gè)病毒對(duì)PLC的攻擊具有很強(qiáng)大的隱匿性。病毒會(huì)先讓離心機(jī)以正常狀態(tài)運(yùn)行一段時(shí)間，直到伊朗的工作人員把核材料都裝載完畢，工作了一段時(shí)間以后，病毒才開(kāi)始發(fā)作。震網(wǎng)病毒的破壞手段主要是通過(guò)改變轉(zhuǎn)子的轉(zhuǎn)速，利用過(guò)程壓力和轉(zhuǎn)子的轉(zhuǎn)速兩種方法能夠?qū)崿F(xiàn)增加轉(zhuǎn)子的內(nèi)壁壓力，從而使離心機(jī)損壞。而外面的監(jiān)控設(shè)備，因?yàn)椴《靖蓴_的原因，無(wú)法從儀表板覺(jué)察到離心機(jī)轉(zhuǎn)速的異常。若不是病毒無(wú)意中通過(guò)了互聯(lián)網(wǎng)傳播，震網(wǎng)病毒將永遠(yuǎn)不會(huì)被揭開(kāi)其真正的面紗。

如果說(shuō)震網(wǎng)病毒是有組織、有技術(shù)、有資金鏈支撐的高門(mén)檻網(wǎng)絡(luò)武器，那么自從NSA網(wǎng)絡(luò)攻擊武器的泄露后，網(wǎng)絡(luò)武器逐漸呈現(xiàn)“民用化”趨勢(shì)，更讓原本令人望塵莫及的網(wǎng)絡(luò)攻擊成為“門(mén)檻低、收益高”的事，并致使勒索行為日漸火熱。因此，利用網(wǎng)絡(luò)武器進(jìn)行的網(wǎng)絡(luò)勒索或?qū)⒊蔀樽盍餍械墓裟Ｊ健?/p>

此外，熱門(mén)網(wǎng)站的數(shù)據(jù)庫(kù)泄露也使得網(wǎng)絡(luò)攻擊方式更為容易。黑客能夠輕易的通過(guò)“撞庫(kù)”攻擊，輕松獲取到大量用戶數(shù)據(jù)。就在2019年2月，來(lái)自巴基斯坦的黑客以電子郵件的方式發(fā)送給安全媒體，聲稱已經(jīng)成功攻擊了二十多個(gè)個(gè)熱門(mén)網(wǎng)站，成功盜竊其數(shù)據(jù)庫(kù)，并在暗網(wǎng)銷(xiāo)售。黑客同時(shí)還聲稱，許多目標(biāo)公司可能不知道他們的數(shù)據(jù)已被盜，被盜的客戶數(shù)據(jù)已經(jīng)被出售給多個(gè)網(wǎng)絡(luò)犯罪集團(tuán)和個(gè)人。然而這些只是數(shù)據(jù)庫(kù)泄露的冰山一角。面對(duì)著日益復(fù)雜的網(wǎng)絡(luò)攻擊，企業(yè)應(yīng)該從以下四點(diǎn)入手，建立完備的網(wǎng)絡(luò)安全體系：

(1) 以網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)、網(wǎng)絡(luò)情報(bào)、應(yīng)急響應(yīng)三大要素為核心,自動(dòng)感知預(yù)警，提高應(yīng)急響應(yīng)的速度和質(zhì)量；

(2) 建立終端、網(wǎng)絡(luò)、服務(wù)器三方聯(lián)動(dòng)的防護(hù)體系；

(3) 以專業(yè)的安全專家作為主導(dǎo)，建立防護(hù)系統(tǒng)與安全人員應(yīng)急處置相結(jié)合的體系；

(4) 改變網(wǎng)絡(luò)安全防護(hù)觀念，與專業(yè)的安全咨詢公司合作建立完善的安全體系等。