永恒之蓝,国家级网络武器在民间的无差别攻击
如果说俄乌冲突中的网络战,是最近发生的举世瞩目的第一次国家级网军力量参与的世界网络战,那么更多的网络战是悄悄地发生在和平时期。发生在2017年的“永恒之蓝”,就是国家级网络武器在民间的一次大规模爆发,是一次典型的网络武器无差别攻击,也是第一次全球性的勒索攻击。
我记得当时是2017年5月12日15:00左右,同事和我说咱们360捕获了“永恒之蓝”的样本,我们立即启动了相关的应急响应程序,开始去寻找可能被感染的用户。
当天20:44左右,我们联系到了教育网第一个被感染的用户,并提取了样本进行比对分析。根据对比的最终结果发现,该恶意软件是一种勒索蠕虫软件,同时具备加密勒索功能和内网蠕虫传播能力,属于新型的勒索软件家族,危害极大。
不法分子利用的是某大国国家安全局旗下的“方程式黑客组织”2017年4月使用的“永恒之蓝”网络武器,通过扫描开放445文件共享端口的Windows,无须任何操作,只要用户开机上网,不法分子就能在电脑和服务器中植入执行勒索程序。受感染系统会在极短的时间内被锁定,所有的文件都会被加密,用户必须支付价值300美元的比特币才能解锁。如果不能按时支付赎金,那些被加密锁定的数据就会被销毁,很有可能造成极为严重的损失。
鉴于这种状况,360把该事件定性为“网络军火民用化”,初步预测可能会爆发大规模安全事件。因此,我们提升了公司内部的应急体系,当晚就启动了橙色应急响应程序,并于13日早上启动了最高级的红色应急响应程序,体系内3000余名员工除有特殊情况外的全部到岗。
事件后续的发展果然如我们所料,安全事件在世界各地大规模爆发,造成了非常恶劣的影响。首先是国外,世界各地不断有媒体报道称遭受到了勒索软件的威胁。在大规模爆发后短短的几个小时之内,该勒索软件一共攻击了150多个国家,包括中国、俄罗斯、乌克兰、英国、美国、德国、日本、土耳其、西班牙、意大利、葡萄牙等。其中,美国1600多家机构、俄罗斯11200家机构受到了攻击。
值得强调的是,在受攻击的机构中,有很多是与人们生活甚至生命息息相关的产业,比如医院。英国就有多家医院受到了类似的勒索攻击,导致医院系统瘫痪,大量病患的诊断被延误。
相较于国外,国内的情况则更加严峻。
自12日晚间起,我国各大高校的师生陆续发现自己电脑中的文件和程序被加密而无法打开,弹出对话框要求支付比特币赎金后才能恢复,如若不在规定时间内提供赎金,被加密的文件将被彻底删除。随后,受攻击对象从高校向全国各地、各部门机构蔓延,国内教育、交通、金融、税务、公安等各行各业均受到不同程度的影响。
据360威胁情报中心监测到的数据显示,我国至少有29372个机构遭到攻击,这个数量是美国的17倍、俄罗斯的2.5倍。中国成为本次网络攻击的重灾区和最大的受害者,保守估计超过30万台终端和服务器感染,覆盖了我国几乎所有地区。
在受影响的地区中,根据受影响的程度不同,江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位,加油站、火车站、ATM机、政府办事终端等设备以及邮政、医院部分设施都“中招”,部分设备完全罢工,无法使用。
截至2017年5月13日16:50,各主要行业均受到了“永恒之蓝”勒索蠕虫不同程度的攻击(图0-4)。可以说,几乎各行各业均已不同程度沦陷。被影响的单位集中在能源、公安、教育、保险等行业,表现最好的行业是银行、运营商等。
图0-4 国内机构感染“永恒之蓝”勒索蠕虫的行业分布情况
可能有很多人都无法理解,为什么一个病毒能够在几个小时的时间里,影响全球150多个国家和地区。我可以给大家打个比方,当一名士兵带着一把性能优良的狙击枪回到古代参加战争,即便他只有一个人,同样能够完成百米之外取敌将之首级的降维式打击,而且对方根本理解不了这种现象。这就是国家级网络武器的民用化攻击的可怕之处。
“方程式黑客组织”使用的“永恒之蓝”网络武器就是那把狙击枪,在它面前,如果我们不迭代升级自己的防御能力,打造有效的终端防护措施,那么结果就只能像古代的将领一样坐以待毙。这也是本次安全事件中,我国的企业、机构大规模沦陷的原因。
从使用的工具手段暴露的某大国国家安全局工具库来看,以后类似的网络攻击可能会变成常态,有可能变成一年一遇,一月一遇,甚至一日一遇。因此,可以肯定地说,当前我们已进入网络武器民用化、民间攻击武器化的双向融合时代。
为了能够更好地应对未来愈加严峻的挑战,我们必须从俄乌冲突、永恒之蓝勒索事件以及类似的网络攻击中吸取教训,总结经验:
第一,国家已经建立了网络安全应急工作的管理机制和体系,但应急手段严重不足。在发生“永恒之蓝”勒索蠕虫之类的大型攻击事件时,看不到一线的情况,情况无法汇集,基本上处于“闭着眼睛指挥作战”的状况,无法对安全事件进行集中的应急管理和响应处置。近期的俄乌网络冲突更是显示了极端情况下以城市为核心的网络安全应急的重要性和迫切性。
但是目前我国在网络空间应急上存在巨大的能力短板,突出表现为缺乏应对复杂网络攻击的应急作战管理体系,不足以应对网络战这样大规模、高级别、高技术、高烈度的网络攻击。面对网络战的现实危险,建议以建设数字安全弹性城市为目标,建立平战结合的城市数字安全应急管理体制机制。建立由政府、企业、社会组织等多方参与的扁平化数字安全应急协同机制,组建专业化专家应急队伍,实现威胁情报共享、联防联控和统一指挥调度。立足复杂情况,定期组织城市级的护网演练,提升应对重大网络安全事件的协同效率。立足最坏情况,定期开展重要行业的网络安全推演,对应急预案进行缺陷测试,对应急队伍进行压力测试,提升关键信息基础设施保护能力。
第二,越来越多的安全事件表明,终端是网络攻击的发起点和落脚点,对隔离网的攻击多数是通过终端进行渗透的,攻击成功后会通过终端窃取数据并迅速扩散。在未来,因为网络的持续移动化,终端的地位将更加重要。此外,安全大数据的采集也要通过终端开展,网络终端是建立国家安全大数据的基本单元,因此,终端安全在网络安全体系中处于绝对的核心。
以这次的“永恒之蓝”勒索蠕虫攻击事件为例,之所以普通网民受影响面较小,正是因为360安全卫士及其他国产安全软件覆盖率超过90%,客观上形成了一道安全屏障,才避免了攻击事件在民间大面积爆发。
建议从威胁的角度出发,针对敏感、关键的网络环境开展固网行动,推动EDR终端安全管理、安全大脑等平台系统进入“云、网、边、端”,部署我国自己的终端安全防护系统,实现对国家级高级持续性威胁的全面防御,构筑应对高级威胁的坚固屏障。
第三,我国在网络建设上,重业务应用、轻网络安全的现象没有明显改观。从100余家机构的抽样统计数据来看,对安全的投入完全可以说是“吝啬”。例如,一个县级加油站一年营业收入接近一千万人民币,却舍不得花几百元给电脑安装安全软件,导致系统长期处于“裸奔”状态;还有一些单位几年前采购的安全软件已经落后,防御形同虚设,但因为产品服务期未满,为避免浪费而不更新。这些现象在多个行业普遍存在,也是造成“永恒之蓝”勒索蠕虫攻击在国内肆虐的重要因素之一。
第四,最近几年,云计算在政务、企业、金融、电信、能源各大行业已得到广泛应用,云计算除了具有传统的安全风险外,也带来了新的安全威胁,云平台的应用面临着更大的安全隐患。国外的云平台提供商不愿意对中国的安全公司开放底层接口,迄今为止仍有歧视性政策。以国际最大的云平台厂商VMware为例,对国内主流的杀毒软件全都不支持,而国内的云平台提供商也未与国内主流安全厂家形成有效合作,大多都是推荐自己的安全产品。另外,在智慧城市、政务云等项目建设中,经常出现云平台服务商既做建设又管安全,成为“交钥匙工程”。这种模式由于缺少对云安全的监管,造成安全黑洞,会带来巨大的隐患。应比照工程建设领域将设计方、建设方、监理方三方严格分开的经验,将云的安全交由独立于云的建设运营服务方的单位负责。
第五,在安全产品和安全服务的采购、招投标方面,往往采取价低者得,难以保障质量。按照现行制度办法往往是最低价中标,导致很多行业单位购买了大量的低价、低质、无效的安全产品和安全服务,而那些安全技术优、防护效果好的企业出局;有时候还会发生远低于人力成本价,甚至1分钱中标的现象,在项目实施过程中则不可避免地出现偷工减料、降低服务质量等问题,造成建设的安全体系在遭遇网络攻击时不堪一击、形同虚设。
第六,仍旧简单地以为只要隔离就能解决问题。随着互联网的日益兴盛,网络边界越来越不清晰,业务应用场景越来越复杂,越来越有更多的技术手段可以轻易突破网络边界。
在“永恒之蓝”事件中,大部分中招的企业和机构是内网以及物理隔离网,事件证明,隔离不是万能的,不能一隔了之、万事大吉。内网隔离之后,本来应该是安全岛,但内网如果没有任何安全措施,一旦被突破,瞬间全部沦陷。所以在隔离网里要采取更加有效的安全措施。
第七,部分行业单位的网络安全防护观念落后,不善于利用社会专业力量。有些单位所有的安全规划、方案都由自己完成,但由于缺乏专业的能力和体系化的安全规划,导致安全产品堆砌、造成安全防护失衡;传统的安全防护观念无法解决云计算、大数据、物联网、移动互联网等新技术带来的安全风险,有必要改变网络安全防护观念,与专业化的数字安全公司合作建立新型的安全体系。
第八,部分行业单位的网络安全工作存在运营能力不足、安全意识淡薄、安全管理要求无法落实等问题。对100家单位的统计表明,超过一半的单位在事发前近一年内未对系统进行过全面风险评估及定期补丁更新工作。
“永恒之蓝”事件中所受影响的主机,均未在事发前三个月内做过补丁升级操作,也没有部署终端安全监控与处置工具;也有一些单位的业务部门与安全部门沟通不够顺畅,网络安全管理措施落实不到位,安全工作有盲区,给大规模网络安全事件的爆发提供了可乘之机。