勒索病毒爆发后48小时:安全人员的绝命狂奔
导语:在这场与勒索病毒的攻防战中,不少安全人员都彻夜未眠。病毒已经可以达到“载入史册”的量级了,他们的故事同样值得被记录。 刚刚过去的一个周末是对互联网安全从业者的一场大考。 安全从业者像是在和病毒的始作俑者玩一场“猫和老鼠”的游戏。勒索病毒攻城掠地,袭击一个又一个国家地区、感染医院、学校、警察局,甚至连边检站也遭到毒手;安全人员像救火一样研究病毒样本、提醒用户尽快修补漏洞,试图止住蔓延的趋势,降低用户损失。 情况刚刚好一点的时候,网上又有关于勒索病毒2.0版本的消息出现,用户“心又提到了嗓子眼”,在这场与勒索病毒的攻防战中,不少安全人员都彻夜未眠。病毒已经可以达到“载入史册”的量级了,他们的故事同样值得被记录。 D1:病毒来了 从5月12日周五晚发现勒索病毒开始,360安全监测与响应中心负责人赵晋龙就几乎没有合过眼。 周五晚上,赵晋龙就陆续在论坛上看到有学校学生感染了某种蠕虫病毒,通过Windows系统的445端口,感染用户数据,勒索比特币。赵晋龙放下困意,起来开始搜集信息,职业本能告诉他,这场病毒来头不小。 凌晨1点半,同事打电话来,说客户那边出事儿了。对方是超大型企业客户,同事的电话坚定了赵晋龙的判断,这是个很大的事情,得马上搞定。 当时市面上还没有任何报道,能做出判断的原因有两点:第一,在安全界,蠕虫和勒索病毒是两个最大的混蛋。蠕虫会自我复制、传播性强,现在有些老蠕虫即使没有危害了,但依然在活动,一旦发现就像牛皮藓一样难以根除;勒索病毒是这几年的新兴事物,在业界被称为“数字绑票”,破坏用户数据,给挂一个闹钟倒计时,简单粗暴。 现在,这两个最大的混蛋聚在一起,简直是暴乱。 判断过后,客户的问题是当务之急。由于赵晋龙的团队偏后端,在凌晨1点半时,就有同事赶往“现场”了,他们必须第一时间出现在客户办公室。 去现场的路上,作为负责人的赵晋龙顺带叫醒了几个主力同事。安全团队的同事有个习惯,睡觉不关机、也不静音,24小时随时stand by。 周六凌晨3点左右,在客户那里,赵晋龙的团队拿到了病毒样本。在另一头,360企业安全集团总裁吴云坤成立了一个临时的指挥中心,一部分人赶到办公室、另一部分先在线上办公、远程协助。 争分夺秒。凌晨4点多时,360已经给出了用户材料和简单的措施建议。比如,这么大样本量怎么能抑制住它的传播?怎么能保证主机不被它控制?已经中毒的怎么清理?怎么恢复核心业务? 结合用户提出的具体问题,在凌晨5点左右,整个团队拿出了一个可落地的执行方案。同时,一个临时的免疫工具出台。8点左右,官网信息发布。 据360企业安全集团总裁吴云坤介绍:“截至15日上午9点,360推送给政企客户的预警通告更新了8个版本,提供了7个修复指南,6个修复工具。出动近千人,提供上万次的上门支持服务,超两万多次电话支持服务,我们还制作了5000多个U盘和光盘发放到客户上手上,手把手教会客户修复电脑,配置网络。” 一些大型企业也在第一时间重视了该病毒,避免了周一上班时的大规模感染。之前大家担心,周一上班,将会迎来电脑开机高峰,如果没有做好预警和安全措施,后果不可想象。 好在各地的配合也都高效积极。某银行在上周六上午六点半就建立了响应群,将免疫工具下发,八点半部署全国防护策略,从网络、服务器、终端360度无死角,到5月15日早晨十点半,全行无一例感染;南宁市网信办联合发改委信息中心、南宁公安局网安支队在13日下午召开紧急会议,由网安支队提供360的第七套解决方案,并由网安支队刻了600张光盘,由发改委、网信办、网安支队一起发放全市各政府企事业单位,整个南宁的病毒感染率极低。 对付电脑病毒,头24小时是战争的最关键时间。 “同行竞争也是存在的。大家都在比谁跑得快,谁会脱颖而出。所以你会看到,很多公司都在输出各种版本的报告和病毒防治方法。”互联网安全创业公司白帽汇员工吴明告诉界面新闻记者。 吴明认为,做安全企业,一定要对自己和用户负责。报告一定是要自己验证过的才能发布出去。所以在发现勒索病毒后,吴明和他的团队第一时间做的工作是搭建测试环境、搭建攻击环境、反反复复做样本测试。 “团队最开始也是在网上先交流信息,也通过一些圈内朋友了解样本资源,双方互相交换。周六开始样本测试。我们在后来运行样本时发现,很多细节并不像网上说的那样。”吴明说。 每个样本文件都有特定的“哈希”(hash),安全术语特定字符串的意思,有点类似一个唯一识别码。根据不同文件的哈希,吴明的测试在不同平台上展开。 毫无疑问的一点是,这样反复验证反复测试,会影响报告发布的时间。“准确度是会影响时间,我们是为了验证与其他人不同的地方,找出差异性。” 在最后的报告里,吴明他们对勒索病毒的重要时间线进行了梳理——从不同时间跨度到各种里程碑事件,那些圈内圈外知道不知道的事情,都被一一盘点了出来。也解答了用户对微软的抱怨——微软早在今年3月份就推过一轮补丁了。 D2:2.0版本是个伪命题 周六结束,在大家觉得可喘口气的时候,病毒的2.0版本来了。 白帽汇吴明最早看到2.0版本的病毒是周六晚上。1.0版本的病毒有个最明显的特征,它有个“隐蔽的开关”,在样本运行分析完后,吴明发现,通过域名解析后,就可以避免感染发生。但是周日凌晨发现的病毒,域名解析已经没有效果了。 来势汹汹的2.0版本基本没有域名,可以直接感染,唯一制止的办法就是装补丁。 腾讯电脑管家反病毒安全专家徐超认为,人们对2.0版本的病毒有误解,外界有夸大的成本。最开始说的关于“隐秘的开关”这个问题也并不准确。 腾讯的团队也确实发现了被人改过的样本,但根本没有所谓2.0的出现。这个更像一个国外安全人员的口误,他在推特上发布了所谓2.0的病毒,后来有人站出来辟谣。 根据徐超团队监控到的内容,原先版本的开关确实是失效了,但并没有外界说得那么邪乎,只不过是开关被人改动了。 杭州电子科技大学学生James给界面新闻记者提供了一个很有意思的观点,根据他的观察,病毒最开始提供的那个域名开关,会尝试连接一个不存在的网站,是病毒开发者为了怕病毒完全失控特意留下的bug,如果连上了就不是加密文件。 后来网站被注册,再后来,病毒2.0版本没有了这项机制,在任何情况下都会执行加密。 最奇怪的是,这个变种病毒是直接修改病毒可执行文件改出来的,并不是把代码改了重新编译的。所以James猜想的是,这个2.0版本的人可能不是原作者。极有可能是有人利用了1.0版本声势,想趁火打劫。 James是在学大学生,他没有参与任何商业团队,这种猜测只是凭个人研究兴趣。最开始的时候,是隔壁学校做毕业设计的大四同学找到他,文件没了,James第一反应是很正常,不就是勒索病毒嘛。在网络工程人员的眼中,见多了。 不久前,James刚刚破解了一个勒索病毒。上一次比较好破解是因为解密秘钥存在本地,直接写个程序就解密了。这次它把解密用的密钥通过Tor上传了,本地没有保留,丧失了通用的解决办法。但James没想到这次会形成如此大范围的传播。 勒索软件追凶者:我不是第一次见比特币勒索了 勒索软件追凶者唐平的第一次实战勒索病毒是在2014年夏天。你现在上网搜索,依旧可以看到一种名为CTB-Locker的勒索病毒曾经凶猛袭击过网络的战乱现场:“可怕”、“病毒式袭击”是当年常见的关键词。可当年曾经“凶猛”的CTB-Locker如果碰上现如今的WannaCry才是真的小巫见大巫。 2014年,唐平帮一个NGO组织里的女性朋友支付了比特币,即使当年病毒来自于邮件,支付比特币仍然是有效的方法。 所有的勒索病毒都长一个样子,第一绑架你的文件;第二,留下信息索要比特币。对于病毒制造者而言,绑架用户文件成本太低了。那位NGO的朋友一定要付钱,因为她需要文件,黑客索要一个比特币,大约价值500美元。 唐平尝试开始和黑客对话了。在暗网里,黑客像现在的客服一样,开放了一个“人道主义”的对话窗口,进入一个类似sdsdasdwanadnhbfhbagwag.onion这样的暗网网页后,唐平找到了对话框。暗网地址多由一个乱码跟上后缀onion构成。 通过Tor浏览器进去后,一般每个中毒者都会有一个ID或者特别的Token,这样实际上就等于中毒者有一个个人网页,与客服的聊天内容简直就像菜市场讨价还价一样简单。 “How much?”“May I have a discount?”虽然没有议价能力,但还价还是要的。 交易成功后,当年还算守信用的黑客给了一个软件和私钥,可以用来恢复你的文件。 唐平早年从事互联网安全行业,之前在广州一家小互联网安全公司工作,2013年春天开始接触比特币,后来就长期持有。渐渐地,他放弃了原有的打工生活,专心做起了“勒索软件追凶者”的工作,有一个同名的个人网站,实时更新勒索软件的最新动态信息。 他现在平时的主业是帮助一些愿意出钱的客户解决被病毒侵扰的难题。不管是支付比特币,还是他自己动手解决,反正是对方出钱,他负责消灾。来找他的人,经常有一些IT从业者和杀毒软件代理商。 唐平一直按照比特币市场价+20%的服务费来操作,并逐渐发现这是一门可以赚钱的生意。 2015年,唐平的存币量有400多个,当时比特币接触的人还不多。按照当时的存币量,唐平的收入显得非常可观。这两年,他反倒觉得自己忙忙碌碌什么都没干、人也很焦虑。 2017年5月12日,病毒爆发时,业内人士唐平觉得见怪不怪。当晚,一个学生私信他,想2000块钱解决论文问题。唐平远程操作她的电脑。然后唐平就看见了那幅后来流传各大媒体的勒索切图。 半个小时后,第二个人又找上门了。唐平最近一直蛰居赣州,很久没关注病毒了。他跑到微博上搜了下关键词,wanna decryptor(劫持病毒解密器),想寻找黑客的蛛丝马迹,后来发现很多人都在微博发了被劫持信息。 在那幅关键的劫持图上,唐平发现了最关键信息,右下角黑客留下的收款地址,绝大多数和找他求助的学生收款地址是一模一样的。根据比特币的特征,如果使用同一个收款地址,针对不同的绑架者,收款方根本就不可能判断出是哪台电脑付了款。 即使唐平在第一时间在知乎上发了信息,还是有很多人上当了。近几年比特币的火爆,很多人已经掌握了比特币支付的方法。中间有个人找过来,第一句话就是,“我刚刚付完了款,下一步该怎么办?” 唐平只好苦笑。 截至2017年5月16日,有媒体曝光勒索病毒全球共有136人交了赎金,价值3.6万美元。“我个人主观上觉得是个大佬玩腻的工具……让小弟去做破坏级别,完全没有任何经济效应,”唐平不理解这种高风险低收益的逻辑。 要知道从2016年底到现在,一种名为wallet的勒索病毒,半年不到时间勒索比特币超过1万个,而现在比特币的价格已经接近1万元高位。闷声发大财。 经验与总结 在回溯整个勒索病毒的对抗流程,每个人都有话想说。唐平认为,这可能只是最普通的一次勒索病毒;但也有从业者认为,在职业生涯中难得一见。 360的赵晋龙在采访时称,现在自己只想休息。不过“按这个规模和影响人群来看,在很多人的职业生涯内,可能都遇不到第二个这样的病毒”,所以它值得团队好好反思。 这种大型事件没有一个组织是准备充分的。大家都是匆忙上场,考量的是团队厚度和执行力、速度。 赵晋龙遗憾的是,在3月份微软发布补丁时、4月影子发布NSA漏洞工具后,没有更严重地督促用户做补丁修护。当时同事们还曾就讨论过,如果拿蠕虫做勒索,效果一定空前。 没想到同事的话这么快就应验了。 腾讯的团队最遗憾的也是这点。这场病毒狙击战不是盲打,它是一场可预见的病毒传播模式,如果如果3月份初选的时候人们能更重视一点就好了。不过人类总是健忘的,需要用这么严重的事件进行网络安全教育。 同样做安全防护的创业公司漏洞盒子员工Gaba告诉界面新闻记者,在病毒爆发后的第二天,很多媒体或者微博上关于这个事情的报道都是错误的,从一定程度上讲,它加重了用户的恐慌情绪。 漏洞盒子现在还在不停地推出更新包,开始跟进WannaCry蠕虫的变种样本。 赵晋龙能回忆起来的蠕虫编号是微软2006年、2007年发布的06040、06035、08067。他们的效果和今天的蠕虫类似,只不过在那个纯真年代还没有勒索软件。这两年勒索软件流行开,才有了今天头一回蠕虫加勒索的17010。距离上一次编号已经过去近十年时间。 上周,谷歌安全团队刚刚发布了微软的一个内部杀毒程序漏洞,针对的是Win7以后的系统。在securityweek中,标题把这个新漏洞形容为“worst”,用户浏览网页时,很有可能受到攻击者携带的恶意代码的影响。但鲜有媒体关注。 这场病毒的反击战什么时候是个头呢?在360所给出的官方通稿中,使用了“黑色星期一爽约了”这样的乐观标题来形容我们对抗勒索蠕虫所获得的阶段性胜利,周一受感染机构的增长速度比前两天明显放缓。 或许外界有点误解和妖魔化了这次病毒。“只要按照正确的操作手册去执行,它还是一个讲道理、讲科学的东西。影响并非不可控。只不过大部分人看到它的时候完全是懵的,”赵晋龙强调,未来这种蠕虫出现的概率仍然存在,只不过到时候我们应该有更强大的团队去应对他们。 (编辑:源码门户网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |