行業(yè)資訊
勒索病毒爆發(fā)后48小時(shí):安全人員的絕命狂奔
發(fā)表日期:2017年05月18日導(dǎo)語:在這場與勒索病毒的攻防戰(zhàn)中,不少安全人員都徹夜未眠。病毒已經(jīng)可以達(dá)到“載入史冊”的量級了,他們的故事同樣值得被記錄。
剛剛過去的一個(gè)周末是對互聯(lián)網(wǎng)安全從業(yè)者的一場大考。
安全從業(yè)者像是在和病毒的始作俑者玩一場“貓和老鼠”的游戲。勒索病毒攻城掠地,襲擊一個(gè)又一個(gè)國家地區(qū)、感染醫(yī)院、學(xué)校、警察局,甚至連邊檢站也遭到毒手;安全人員像救火一樣研究病毒樣本、提醒用戶盡快修補(bǔ)漏洞,試圖止住蔓延的趨勢,降低用戶損失。
情況剛剛好一點(diǎn)的時(shí)候,網(wǎng)上又有關(guān)于勒索病毒2.0版本的消息出現(xiàn),用戶“心又提到了嗓子眼”,在這場與勒索病毒的攻防戰(zhàn)中,不少安全人員都徹夜未眠。病毒已經(jīng)可以達(dá)到“載入史冊”的量級了,他們的故事同樣值得被記錄。
D1:病毒來了
從5月12日周五晚發(fā)現(xiàn)勒索病毒開始,360安全監(jiān)測與響應(yīng)中心負(fù)責(zé)人趙晉龍就幾乎沒有合過眼。
周五晚上,趙晉龍就陸續(xù)在論壇上看到有學(xué)校學(xué)生感染了某種蠕蟲病毒,通過Windows系統(tǒng)的445端口,感染用戶數(shù)據(jù),勒索比特幣。趙晉龍放下困意,起來開始搜集信息,職業(yè)本能告訴他,這場病毒來頭不小。
凌晨1點(diǎn)半,同事打電話來,說客戶那邊出事兒了。對方是超大型企業(yè)客戶,同事的電話堅(jiān)定了趙晉龍的判斷,這是個(gè)很大的事情,得馬上搞定。
當(dāng)時(shí)市面上還沒有任何報(bào)道,能做出判斷的原因有兩點(diǎn):第一,在安全界,蠕蟲和勒索病毒是兩個(gè)最大的混蛋。蠕蟲會(huì)自我復(fù)制、傳播性強(qiáng),現(xiàn)在有些老蠕蟲即使沒有危害了,但依然在活動(dòng),一旦發(fā)現(xiàn)就像牛皮蘚一樣難以根除;勒索病毒是這幾年的新興事物,在業(yè)界被稱為“數(shù)字綁票”,破壞用戶數(shù)據(jù),給掛一個(gè)鬧鐘倒計(jì)時(shí),簡單粗暴。
現(xiàn)在,這兩個(gè)最大的混蛋聚在一起,簡直是暴亂。
判斷過后,客戶的問題是當(dāng)務(wù)之急。由于趙晉龍的團(tuán)隊(duì)偏后端,在凌晨1點(diǎn)半時(shí),就有同事趕往“現(xiàn)場”了,他們必須第一時(shí)間出現(xiàn)在客戶辦公室。
去現(xiàn)場的路上,作為負(fù)責(zé)人的趙晉龍順帶叫醒了幾個(gè)主力同事。安全團(tuán)隊(duì)的同事有個(gè)習(xí)慣,睡覺不關(guān)機(jī)、也不靜音,24小時(shí)隨時(shí)stand by。
周六凌晨3點(diǎn)左右,在客戶那里,趙晉龍的團(tuán)隊(duì)拿到了病毒樣本。在另一頭,360企業(yè)安全集團(tuán)總裁吳云坤成立了一個(gè)臨時(shí)的指揮中心,一部分人趕到辦公室、另一部分先在線上辦公、遠(yuǎn)程協(xié)助。
爭分奪秒。凌晨4點(diǎn)多時(shí),360已經(jīng)給出了用戶材料和簡單的措施建議。比如,這么大樣本量怎么能抑制住它的傳播?怎么能保證主機(jī)不被它控制?已經(jīng)中毒的怎么清理?怎么恢復(fù)核心業(yè)務(wù)?
結(jié)合用戶提出的具體問題,在凌晨5點(diǎn)左右,整個(gè)團(tuán)隊(duì)拿出了一個(gè)可落地的執(zhí)行方案。同時(shí),一個(gè)臨時(shí)的免疫工具出臺(tái)。8點(diǎn)左右,官網(wǎng)信息發(fā)布。
據(jù)360企業(yè)安全集團(tuán)總裁吳云坤介紹:“截至15日上午9點(diǎn),360推送給政企客戶的預(yù)警通告更新了8個(gè)版本,提供了7個(gè)修復(fù)指南,6個(gè)修復(fù)工具。出動(dòng)近千人,提供上萬次的上門支持服務(wù),超兩萬多次電話支持服務(wù),我們還制作了5000多個(gè)U盤和光盤發(fā)放到客戶上手上,手把手教會(huì)客戶修復(fù)電腦,配置網(wǎng)絡(luò)。”
一些大型企業(yè)也在第一時(shí)間重視了該病毒,避免了周一上班時(shí)的大規(guī)模感染。之前大家擔(dān)心,周一上班,將會(huì)迎來電腦開機(jī)高峰,如果沒有做好預(yù)警和安全措施,后果不可想象。
好在各地的配合也都高效積極。某銀行在上周六上午六點(diǎn)半就建立了響應(yīng)群,將免疫工具下發(fā),八點(diǎn)半部署全國防護(hù)策略,從網(wǎng)絡(luò)、服務(wù)器、終端360度無死角,到5月15日早晨十點(diǎn)半,全行無一例感染;南寧市網(wǎng)信辦聯(lián)合發(fā)改委信息中心、南寧公安局網(wǎng)安支隊(duì)在13日下午召開緊急會(huì)議,由網(wǎng)安支隊(duì)提供360的第七套解決方案,并由網(wǎng)安支隊(duì)刻了600張光盤,由發(fā)改委、網(wǎng)信辦、網(wǎng)安支隊(duì)一起發(fā)放全市各政府企事業(yè)單位,整個(gè)南寧的病毒感染率極低。
對付電腦病毒,頭24小時(shí)是戰(zhàn)爭的最關(guān)鍵時(shí)間。
“同行競爭也是存在的。大家都在比誰跑得快,誰會(huì)脫穎而出。所以你會(huì)看到,很多公司都在輸出各種版本的報(bào)告和病毒防治方法?!被ヂ?lián)網(wǎng)安全創(chuàng)業(yè)公司白帽匯員工吳明告訴界面新聞?dòng)浾摺?/p>
吳明認(rèn)為,做安全企業(yè),一定要對自己和用戶負(fù)責(zé)。報(bào)告一定是要自己驗(yàn)證過的才能發(fā)布出去。所以在發(fā)現(xiàn)勒索病毒后,吳明和他的團(tuán)隊(duì)第一時(shí)間做的工作是搭建測試環(huán)境、搭建攻擊環(huán)境、反反復(fù)復(fù)做樣本測試。
“團(tuán)隊(duì)最開始也是在網(wǎng)上先交流信息,也通過一些圈內(nèi)朋友了解樣本資源,雙方互相交換。周六開始樣本測試。我們在后來運(yùn)行樣本時(shí)發(fā)現(xiàn),很多細(xì)節(jié)并不像網(wǎng)上說的那樣。”吳明說。
每個(gè)樣本文件都有特定的“哈希”(hash),安全術(shù)語特定字符串的意思,有點(diǎn)類似一個(gè)唯一識(shí)別碼。根據(jù)不同文件的哈希,吳明的測試在不同平臺(tái)上展開。
毫無疑問的一點(diǎn)是,這樣反復(fù)驗(yàn)證反復(fù)測試,會(huì)影響報(bào)告發(fā)布的時(shí)間?!皽?zhǔn)確度是會(huì)影響時(shí)間,我們是為了驗(yàn)證與其他人不同的地方,找出差異性?!?/p>
在最后的報(bào)告里,吳明他們對勒索病毒的重要時(shí)間線進(jìn)行了梳理——從不同時(shí)間跨度到各種里程碑事件,那些圈內(nèi)圈外知道不知道的事情,都被一一盤點(diǎn)了出來。也解答了用戶對微軟的抱怨——微軟早在今年3月份就推過一輪補(bǔ)丁了。
D2:2.0版本是個(gè)偽命題
周六結(jié)束,在大家覺得可喘口氣的時(shí)候,病毒的2.0版本來了。
白帽匯吳明最早看到2.0版本的病毒是周六晚上。1.0版本的病毒有個(gè)最明顯的特征,它有個(gè)“隱蔽的開關(guān)”,在樣本運(yùn)行分析完后,吳明發(fā)現(xiàn),通過域名解析后,就可以避免感染發(fā)生。但是周日凌晨發(fā)現(xiàn)的病毒,域名解析已經(jīng)沒有效果了。
來勢洶洶的2.0版本基本沒有域名,可以直接感染,唯一制止的辦法就是裝補(bǔ)丁。
騰訊電腦管家反病毒安全專家徐超認(rèn)為,人們對2.0版本的病毒有誤解,外界有夸大的成本。最開始說的關(guān)于“隱秘的開關(guān)”這個(gè)問題也并不準(zhǔn)確。
騰訊的團(tuán)隊(duì)也確實(shí)發(fā)現(xiàn)了被人改過的樣本,但根本沒有所謂2.0的出現(xiàn)。這個(gè)更像一個(gè)國外安全人員的口誤,他在推特上發(fā)布了所謂2.0的病毒,后來有人站出來辟謠。
根據(jù)徐超團(tuán)隊(duì)監(jiān)控到的內(nèi)容,原先版本的開關(guān)確實(shí)是失效了,但并沒有外界說得那么邪乎,只不過是開關(guān)被人改動(dòng)了。
杭州電子科技大學(xué)學(xué)生James給界面新聞?dòng)浾咛峁┝艘粋€(gè)很有意思的觀點(diǎn),根據(jù)他的觀察,病毒最開始提供的那個(gè)域名開關(guān),會(huì)嘗試連接一個(gè)不存在的網(wǎng)站,是病毒開發(fā)者為了怕病毒完全失控特意留下的bug,如果連上了就不是加密文件。
后來網(wǎng)站被注冊,再后來,病毒2.0版本沒有了這項(xiàng)機(jī)制,在任何情況下都會(huì)執(zhí)行加密。
最奇怪的是,這個(gè)變種病毒是直接修改病毒可執(zhí)行文件改出來的,并不是把代碼改了重新編譯的。所以James猜想的是,這個(gè)2.0版本的人可能不是原作者。極有可能是有人利用了1.0版本聲勢,想趁火打劫。
James是在學(xué)大學(xué)生,他沒有參與任何商業(yè)團(tuán)隊(duì),這種猜測只是憑個(gè)人研究興趣。最開始的時(shí)候,是隔壁學(xué)校做畢業(yè)設(shè)計(jì)的大四同學(xué)找到他,文件沒了,James第一反應(yīng)是很正常,不就是勒索病毒嘛。在網(wǎng)絡(luò)工程人員的眼中,見多了。
不久前,James剛剛破解了一個(gè)勒索病毒。上一次比較好破解是因?yàn)榻饷苊罔€存在本地,直接寫個(gè)程序就解密了。這次它把解密用的密鑰通過Tor上傳了,本地沒有保留,喪失了通用的解決辦法。但James沒想到這次會(huì)形成如此大范圍的傳播。
勒索軟件追兇者:我不是第一次見比特幣勒索了
勒索軟件追兇者唐平的第一次實(shí)戰(zhàn)勒索病毒是在2014年夏天。你現(xiàn)在上網(wǎng)搜索,依舊可以看到一種名為CTB-Locker的勒索病毒曾經(jīng)兇猛襲擊過網(wǎng)絡(luò)的戰(zhàn)亂現(xiàn)場:“可怕”、“病毒式襲擊”是當(dāng)年常見的關(guān)鍵詞??僧?dāng)年曾經(jīng)“兇猛”的CTB-Locker如果碰上現(xiàn)如今的WannaCry才是真的小巫見大巫。
2014年,唐平幫一個(gè)NGO組織里的女性朋友支付了比特幣,即使當(dāng)年病毒來自于郵件,支付比特幣仍然是有效的方法。
所有的勒索病毒都長一個(gè)樣子,第一綁架你的文件;第二,留下信息索要比特幣。對于病毒制造者而言,綁架用戶文件成本太低了。那位NGO的朋友一定要付錢,因?yàn)樗枰募?,黑客索要一個(gè)比特幣,大約價(jià)值500美元。
唐平嘗試開始和黑客對話了。在暗網(wǎng)里,黑客像現(xiàn)在的客服一樣,開放了一個(gè)“人道主義”的對話窗口,進(jìn)入一個(gè)類似sdsdasdwanadnhbfhbagwag.onion這樣的暗網(wǎng)網(wǎng)頁后,唐平找到了對話框。暗網(wǎng)地址多由一個(gè)亂碼跟上后綴onion構(gòu)成。
通過Tor瀏覽器進(jìn)去后,一般每個(gè)中毒者都會(huì)有一個(gè)ID或者特別的Token,這樣實(shí)際上就等于中毒者有一個(gè)個(gè)人網(wǎng)頁,與客服的聊天內(nèi)容簡直就像菜市場討價(jià)還價(jià)一樣簡單。
“How much?”“May I have a discount?”雖然沒有議價(jià)能力,但還價(jià)還是要的。
交易成功后,當(dāng)年還算守信用的黑客給了一個(gè)軟件和私鑰,可以用來恢復(fù)你的文件。
唐平早年從事互聯(lián)網(wǎng)安全行業(yè),之前在廣州一家小互聯(lián)網(wǎng)安全公司工作,2013年春天開始接觸比特幣,后來就長期持有。漸漸地,他放棄了原有的打工生活,專心做起了“勒索軟件追兇者”的工作,有一個(gè)同名的個(gè)人網(wǎng)站,實(shí)時(shí)更新勒索軟件的最新動(dòng)態(tài)信息。
他現(xiàn)在平時(shí)的主業(yè)是幫助一些愿意出錢的客戶解決被病毒侵?jǐn)_的難題。不管是支付比特幣,還是他自己動(dòng)手解決,反正是對方出錢,他負(fù)責(zé)消災(zāi)。來找他的人,經(jīng)常有一些IT從業(yè)者和殺毒軟件代理商。
唐平一直按照比特幣市場價(jià)+20%的服務(wù)費(fèi)來操作,并逐漸發(fā)現(xiàn)這是一門可以賺錢的生意。
2015年,唐平的存幣量有400多個(gè),當(dāng)時(shí)比特幣接觸的人還不多。按照當(dāng)時(shí)的存幣量,唐平的收入顯得非??捎^。這兩年,他反倒覺得自己忙忙碌碌什么都沒干、人也很焦慮。
2017年5月12日,病毒爆發(fā)時(shí),業(yè)內(nèi)人士唐平覺得見怪不怪。當(dāng)晚,一個(gè)學(xué)生私信他,想2000塊錢解決論文問題。唐平遠(yuǎn)程操作她的電腦。然后唐平就看見了那幅后來流傳各大媒體的勒索切圖。
半個(gè)小時(shí)后,第二個(gè)人又找上門了。唐平最近一直蟄居贛州,很久沒關(guān)注病毒了。他跑到微博上搜了下關(guān)鍵詞,wanna decryptor(劫持病毒解密器),想尋找黑客的蛛絲馬跡,后來發(fā)現(xiàn)很多人都在微博發(fā)了被劫持信息。
在那幅關(guān)鍵的劫持圖上,唐平發(fā)現(xiàn)了最關(guān)鍵信息,右下角黑客留下的收款地址,絕大多數(shù)和找他求助的學(xué)生收款地址是一模一樣的。根據(jù)比特幣的特征,如果使用同一個(gè)收款地址,針對不同的綁架者,收款方根本就不可能判斷出是哪臺(tái)電腦付了款。
即使唐平在第一時(shí)間在知乎上發(fā)了信息,還是有很多人上當(dāng)了。近幾年比特幣的火爆,很多人已經(jīng)掌握了比特幣支付的方法。中間有個(gè)人找過來,第一句話就是,“我剛剛付完了款,下一步該怎么辦?”
唐平只好苦笑。
截至2017年5月16日,有媒體曝光勒索病毒全球共有136人交了贖金,價(jià)值3.6萬美元?!拔覀€(gè)人主觀上覺得是個(gè)大佬玩膩的工具……讓小弟去做破壞級別,完全沒有任何經(jīng)濟(jì)效應(yīng),”唐平不理解這種高風(fēng)險(xiǎn)低收益的邏輯。
要知道從2016年底到現(xiàn)在,一種名為wallet的勒索病毒,半年不到時(shí)間勒索比特幣超過1萬個(gè),而現(xiàn)在比特幣的價(jià)格已經(jīng)接近1萬元高位。悶聲發(fā)大財(cái)。
經(jīng)驗(yàn)與總結(jié)
在回溯整個(gè)勒索病毒的對抗流程,每個(gè)人都有話想說。唐平認(rèn)為,這可能只是最普通的一次勒索病毒;但也有從業(yè)者認(rèn)為,在職業(yè)生涯中難得一見。
360的趙晉龍?jiān)诓稍L時(shí)稱,現(xiàn)在自己只想休息。不過“按這個(gè)規(guī)模和影響人群來看,在很多人的職業(yè)生涯內(nèi),可能都遇不到第二個(gè)這樣的病毒”,所以它值得團(tuán)隊(duì)好好反思。
這種大型事件沒有一個(gè)組織是準(zhǔn)備充分的。大家都是匆忙上場,考量的是團(tuán)隊(duì)厚度和執(zhí)行力、速度。
趙晉龍遺憾的是,在3月份微軟發(fā)布補(bǔ)丁時(shí)、4月影子發(fā)布NSA漏洞工具后,沒有更嚴(yán)重地督促用戶做補(bǔ)丁修護(hù)。當(dāng)時(shí)同事們還曾就討論過,如果拿蠕蟲做勒索,效果一定空前。
沒想到同事的話這么快就應(yīng)驗(yàn)了。
騰訊的團(tuán)隊(duì)最遺憾的也是這點(diǎn)。這場病毒狙擊戰(zhàn)不是盲打,它是一場可預(yù)見的病毒傳播模式,如果如果3月份初選的時(shí)候人們能更重視一點(diǎn)就好了。不過人類總是健忘的,需要用這么嚴(yán)重的事件進(jìn)行網(wǎng)絡(luò)安全教育。
同樣做安全防護(hù)的創(chuàng)業(yè)公司漏洞盒子員工Gaba告訴界面新聞?dòng)浾撸诓《颈l(fā)后的第二天,很多媒體或者微博上關(guān)于這個(gè)事情的報(bào)道都是錯(cuò)誤的,從一定程度上講,它加重了用戶的恐慌情緒。
漏洞盒子現(xiàn)在還在不停地推出更新包,開始跟進(jìn)WannaCry蠕蟲的變種樣本。
趙晉龍能回憶起來的蠕蟲編號(hào)是微軟2006年、2007年發(fā)布的06040、06035、08067。他們的效果和今天的蠕蟲類似,只不過在那個(gè)純真年代還沒有勒索軟件。這兩年勒索軟件流行開,才有了今天頭一回蠕蟲加勒索的17010。距離上一次編號(hào)已經(jīng)過去近十年時(shí)間。
上周,谷歌安全團(tuán)隊(duì)剛剛發(fā)布了微軟的一個(gè)內(nèi)部殺毒程序漏洞,針對的是Win7以后的系統(tǒng)。在securityweek中,標(biāo)題把這個(gè)新漏洞形容為“worst”,用戶瀏覽網(wǎng)頁時(shí),很有可能受到攻擊者攜帶的惡意代碼的影響。但鮮有媒體關(guān)注。
這場病毒的反擊戰(zhàn)什么時(shí)候是個(gè)頭呢?在360所給出的官方通稿中,使用了“黑色星期一爽約了”這樣的樂觀標(biāo)題來形容我們對抗勒索蠕蟲所獲得的階段性勝利,周一受感染機(jī)構(gòu)的增長速度比前兩天明顯放緩。
或許外界有點(diǎn)誤解和妖魔化了這次病毒?!爸灰凑照_的操作手冊去執(zhí)行,它還是一個(gè)講道理、講科學(xué)的東西。影響并非不可控。只不過大部分人看到它的時(shí)候完全是懵的,”趙晉龍強(qiáng)調(diào),未來這種蠕蟲出現(xiàn)的概率仍然存在,只不過到時(shí)候我們應(yīng)該有更強(qiáng)大的團(tuán)隊(duì)去應(yīng)對他們。