深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?

    来源: 互联网 作者:佚名

    摘要: 5月12号,WanaCrypt0r2.0勒索软件攻击全球Windows漏洞,截止目前,已有七十多个国家的政府、高校、医院等机构被攻陷。此事仍在进一步发酵,而目前对于被感染的系统、文件似乎没有任何破解的

      5月12号,WanaCrypt0r2.0勒索软件攻击全球Windows漏洞 ,截止目前,已有七十多个国家的政府、高校、医院等机构被攻陷。此事仍在进一步发酵,而目前对于被感染的系统、文件似乎没有任何破解的方法,全球数十亿用户安全,竟被一位躲在暗处的人玩弄于鼓掌之中。

      下文中华为高级安全专家娄伟峰、威客安全CEO陈新龙、360安全首席工程师郑文彬、青莲云CEO董方、长亭科技CEO陈宇森、杰思安全CEO刘春华、阿里云技术专家、网络安全专家刘博士、招股科技CTO程超等众多国内一线安全领域专家,为此事理清了来龙去脉。

      深访10+位安全专家:这场全球比特币勒索病毒,究竟如何收场?

      大恐慌!

      5月12日,一个黑客坐在电脑前,轻轻按下了Enter键。这个看似无足轻重的动作,掀起了全球七十多个国家、数十亿用户对网络安全的恐慌。

      当晚,WanaCrypt0r2.0(以下简称Wcry2.0)勒索软件在全球爆发。在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。

      目前,该勒索病毒的攻击已经扩散到全球74个国家,包括美国、英国、中国、西班牙、俄罗斯等。此次被攻击的对象包括政府、医院、公安局以及各大高校等机构和个人。

      黑客要求每个被攻击者支付赎金后方能解密恢复文件,而此次的赎金方式使用了当下最为火热的产品比特币,勒索金额最高达5个比特币,价值人民币5万多元。

      国内最早的防病毒厂商kill公司技术总监、江民公司原技术总监、现华为高级安全专家娄伟峰告诉Xtecher:“从技术上讲,这不算是一次黑客攻击,而是一次大面积的以经济为目的勒索软件传播事件。此次大规模传播的Onion、WNCRY勒索软件是"永恒之蓝"勒索软件的病毒变种,但恰这类并非新技术的病毒,反而能肆虐蔓延、短短时间内侵袭各大机构,经济损失截至目前已达数十亿。”

      网络安全专家刘博士告诉Xtecher:“本质上病毒要想获得访问权限、突破访问控制,操作系统会通过防火墙等做访问限制,但如果系统有安全漏洞可以被利用,就有可能突破。Windows被感染的几个版本恰好有漏洞可被利用。”

      360安全首席工程师郑文彬告诉Xtecher:“中国此次遭受攻击的主要是教育网用户。上个月360针对该端口漏洞发出预警,并推出了免疫工具,微软此前也已发布相关漏洞补丁。但许多教育网并未对此漏洞做出修复,以至于沦为重灾区。”

      为何教育网、公安局、医院等机构沦为重灾区?

      郑文彬认为,这类机构多使用内网、较少与外界接触,以至于在防范意识上存在疏漏。而另一方面,这些机构并不能保证完全隔绝互联网,一旦被病毒扫描,则同样会中毒——而只需一台电脑被扫描,便会像人类感染病毒一般传染到其它电脑。

      青莲云CEO董方告诉Xtecher:“学校使用教育网,教育网是专网,其特点为,学校的某一个网站被攻击以后,会在专网中迅速传播,且教育网防护的等级不是很高,导致学校成为重灾区。”

      此外,本次被病毒感染的多是Windows系统,而苹果、安卓侥幸免于灾难。

      长亭科技CEO陈宇森告诉Xtecher:“这与系统优劣并无关系。此次攻击是利用Windows漏洞进行,对其主机/服务器运行在 445 端口的 SMB 服务进行攻击,所以中招的都是Windows系统。微软官方3月份陆续发布不同版本的系统补丁,就在13号下午,还专门针对XP和2003系统发布了特别补丁。”

      不过华为云安全负责人娄伟峰认为,从经济利益的角度看,微软的用户远大于苹果的用户,因此成了被攻击的原因之一。

      “这是微软十年来出现的较为重大的事件,4月15号微软已发出预警,但可能预警发方式太偏技术,以至大家没看懂被攻击的后果是什么。” 青莲云CEO董方告诉Xtecher。

      那么,这样一次攻击范围波及全球,涉及金融、医疗、铁路、能源、教育系统等终端的病毒,究竟从何而来?

      病毒从何而来?

      此次“永恒之蓝” 变异的勒索蠕虫,是NSA网络军火民用化的全球第一例。

      早在4月14日,自称“影子经纪人”(Shadow Brokers)的黑客团体泄露出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,可以覆盖全球70% 的Windows 服务器,影响程度极其巨大,但国内诸多政府、高校等机构并没有引起足够的重视。

      华为高级安全专家娄伟峰告诉Xtecher:“影子经纪人” (Shadow Brokers)攻破了NSA(美国国家安全局)网络,拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具,ShadowBrokers将其中一个黑客工具做成“永恒之蓝”,而这次的勒索软件正是“永恒之蓝”的变种。

      而据360安全首席工程师郑文彬猜测,之前美国军方使用黑客技术攻击中东银行,而此前美国政府对叙利亚进行轰炸,导致了黑客的不满,继而盗出此技术,以示威胁。

      黑客使用勒索软件由来已久,但大多数病毒软件勒索的赎金都是法币、电子汇款、预付卡等手段收取。但这次病毒勒索事件,黑客似乎蹭了比特币热点。

      为何使用比特币作为赎金?

      深圳招股科技联合创始人程超告诉Xtecher:比特币作为一种匿名转账的数字资产,其匿名特性成为黑客首要看重的特性。比特币地址是一串英文字符乱码,不绑定任何用户信息,所以单纯从比特币地址无法追踪到用户信息,这让黑客可以更简单地规避追捕和监管。

      而网上不少观点认为后续黑客有可能放弃大额勒索,因为一旦大量比特币流入该黑客账户,有可能导致其行为轨迹被追踪。然而,360安全首席工程师郑文彬表示,基于比特币的勒索,很难查找踪迹,要想抓到黑客几乎不可能。

      事件发生后,网络热议,认为比特币不可追踪性、隐蔽性,给了黑客团伙提供了一个便捷作案工具。

      这件事是否要怪比特币?

      程超认为,本次勒索事件,比特币背了一个黑锅——即便没有比特币,黑客也会使用其它币种。当然,比特币也确实存在缺乏监管的问题,如果比特币交易所加强身份信息审核,将会增加黑客变现难度。当然,一旦比特币使用实名制,黑客也会寻找其他虚拟货币作为赎金。

      威客安全CEO陈新龙告诉Xtecher:虽然可以查到比特币流通的钱包信息,但是钱包信息是匿名的,因此无法追踪这个钱包属于谁。理论上来讲,可以通过技术手段找到钱包背后的人,但极为困难,目前仅是理论阶段。

      当然,比特币,作为一个新事物,不应该游离于法外之地,应辅以适当监管,保证行业稳定有序发展。2017年6月,中国将会出台比特币监管相关法律,或将在一定程度上让比特币免背黑锅。

      无论将来比特币如何接受监管,就目前而言,眼下人们似乎更为关心自己被病毒加密的文件该如何处理。

      亡羊补牢:预防为主

      NSA作为美国政府机构中最大的情报部门,在美国大片中,该部门似乎无所不能,但目前似乎尚未拿出对策,更遑论我等普通大众。

      网络安全专家刘博士告诉Xtecher:普通小白用户除了按照推荐设置开启系统防火墙、打开系统更新、安装杀毒软件、不访问可疑网络内容、小心使用可插拔存储之外,似乎没什么可做的。

      威客安全CEO陈新龙认为,高手在民间,不会只能束手就擒,大众要做的是保护好自己的个人财产安全,资金分类,分形态存放。

      那么,对于被勒索软件加密的文件该如何处理?

      杰思安全创始人刘春华表示,一旦文档被加密,如果黑客不提供解密的密码,则无法解密文档。

      所以,那些高校在写论文的孩子们,请老老实实重新写一遍!当然也可选择给对方发去赎金,不过黑客很有可能会撕票。

      当然,一个重要的破解信息或许已经出现。

      目前,网络上爆出已有专家查找出一个异常域名,网络安全专家注册该域名后,如果病毒能成功访问这个域名,就会停止攻击。

      这个异常域名是:

      www。iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

      对此,娄伟峰表示:由于不知道消息出处,消息并不靠谱,具体以病毒产商样本分析为主。

      威客CEO陈新龙表示,域名确实是一个重要的破解信息,如果无法与域名通讯,还是会被感染。且后续病毒可能有新的变种,攻击甚至更猛烈,只是互联网上的传播被遏制,如果域名被劫持,还会继续破坏。

      360安全首席工程师郑文彬表示,这件事情,敲响了大众“做好备份”的警钟。

      不过,即便有备份,也不一定百分百安全,尤其是对高校、政府等机构。

      陈新龙告诉Xtecher:对于此次攻击,即便政府有备份,但多数是离线备份,实时的业务数据一旦故障就无法更新,公共信息的服务基本都是动态的,所以大家误以为不能使用。此外,触发备份任务时,会涉及网络链接,许多备份策略基于445端口,因此源文件及备份文件会一并感染。

      当然,如果早期就打好补丁,做好预防,这次就可以幸免于难。

      互联网安全攻防,就像人类对于病菌的攻防,华为高级安全专家娄伟峰给出了一些建议:

      对于Onion、WNCRY这类混合型病毒的威胁,可通过访问控制手段,如防火墙,限制135、445等高位端口对内访问。通过邮件安全网管、WEB防火墙,严格过滤从互联网到内网的一切传播手段和邮件附件,彻底切断传播途径;

      通过沙箱工具进行启发式深度检测,比如使用华为的Firehunter来对未知威胁乃至APT进行深度检测,监控传染源,及时切断病毒传播,再在核心交换,接入交换机上屏蔽掉一切高危端口;

      最后,要有统一的终端安全工具,在终端上再次屏蔽高危的端口访问,并通过统一的补丁管理,及时打上最新的针对于MS17-010的补丁,通过纵深防御、层级联动的方式实现企业级安全的立体防护。

      静观其变

      1983年,凯文米特尼克因被发现使用一台大学内部电脑,擅自进入Internet的前身ARPA网,并通过该网入侵美国五角大楼电脑,而被判管教6个月。这一事件成为黑客攻击的开山之作。

      更可怕的是,黑客攻击手段曾出不穷:80年代的主流攻击方式是密码猜测、破解等;90年代是会话劫持、后门入侵等;2010年左右主要是远程控制、DDoS攻击、SQL注入等;2010年后主要是APT攻击、移动终端、云攻击等。

      杰思安全创始人刘春华表示:全世界黑客这两年的收益,是过去的5到10倍。黑客行为的逐利性带来黑产的异常活跃,各种黑客势力分工明确,形成完整合作链条,攻击目标和手段更加精准。

      在这种表面上的平静之中,以窃密、预制为目的的APT攻击,则由于其是高度隐秘的、难以为IT管理者感知到的攻击,始终未能得到足够的重视。

      没有引起足够的重视,或许也是导致本次全球大范围网络遭受攻击的原因。

      而对于此事后续发展状态如何,360安全首席工程师郑文彬认为“还很难预测”,只能等待黑客的下一步动作。

      互联网正从PC时代走向移动时代,手机也将同样面临巨大的安全考验。刘春华表示,未来移动智能终端安全将涉及各个方面,安全问题遵循“木桶效应”,解决一部分问题,不代表移动终端安全问题就得到了解决。

      移动安全是一个生态圈,需大家共同努力,只有企业、应用市场、终端厂商、个人用户各方一起携手提高安全意识,才能最终建立并不断优化移动智能终端的安全生态链。

      此外,业务应用云端化,带来了新一轮生产效率的提高,云的出现,是一次IT业务模式的重大变革,也让为其提供支撑保障的安全体系,面临着新的挑战。除了云服务商提供一定的安全保障外,使用云端的客户更要有防范意识,而非将安全交于他人之手。

      道高一尺魔高一丈,网络没有绝对安全。威客安全CEO陈新龙认为,日后通过加密进行勒索的方式会层出不穷,取消隐蔽支付与变现,是遏制这类事件发生的关键,安全防御能力的自动化防御将是趋势。

      人工反应速度无法赶上机器传播速度,这次事件各个国家将高度重视,带来的世界级的影响也将给各类人群敲响警钟,网络安全战略将走向一个新高度。(编辑:肖顺兰)

      本文来自“Xtecher”,

    关键词:

    安全,攻击,黑客,比特,勒索

    审核:yj194 编辑:yj127

    免责声明:

    1:凡本网注明“来源:***”的作品,均是转载自其他平台,本网赢家财富网 www.yjcf360.com 转载文章为个人学习、研究或者欣赏传播信息之目的,并不意味着赞同其观点或其内容的真实性已得到证实。全部作品仅代表作者本人的观点,不代表本网站赢家财富网的观点、看法及立场,文责作者自负。如因作品内容、版权和其他问题请与本站管理员联系,请在30日内进行,我们收到通知后会在3个工作日内及时进行处理。

    2:本网站刊载的各类文章、广告、访问者在本网站发表的观点,以链接形式推荐的其他网站内容,仅为提供更多信息供用户参考使用或为学习交流的方便(本网有权删除)。所提供的数据仅供参考,使用者务请核实,风险自负。

    版权属于赢家财富网,转载请注明出处
    查看更多
    • 内参
    • 股票
    • 赢家观点
    • 娱乐
    • 原创

    两市沪强深弱 创业板指跌1.41%

    昨日指数延续分化,呈沪强深弱格局,创业板指跌近1.5%,收盘失守60日均线。

    深圳出手!多家私募出大事:竟有挪用基金资产的

    违规不断,又有私募遭监管约谈!近日,中国证监会深圳证监局发布多条通知,多家私募遭公开谴责或约谈,被“点名”的私募多涉及承诺最低收益、产品未备案、向非合格投资者...

    杠杆资金大幅加仓股曝光!华能水电买入占比高达42.16%

    交易所最新公布的数据显示,截至11月18日,沪深两融余额为15652.25亿元,较上一交易日增加19.41亿元,其中融资余额14474.49亿元,较上一日增加15.52亿元。

    13股获陆股通增仓超40% 国祯环保环比增幅最大

    统计显示,截至11月18日,根据香港交易所公布的陆股通持股记录,陆股通共持有2142只个股,环比上一日,增持的有659只。

    早知道:2020年11月18号热点概念与题前瞻【附股】

    周二,大小指数分化明显,午后创业板指一度跌超3%,沪指表现较强,个股普跌,涨幅超9%个股仅30余家,市场整体赚钱效应较差。

    早知道:2020年11月17号热点概念与题前瞻【附股】

    周一,指数整体震荡走高,沪指表现较强,两市个股涨多跌少,涨幅超9%个股近70只,其中创业板仅2只个股涨停,市场短线资金聚焦于主板。

    k线图均线如何设置最好,k线图均线的作用有哪些

    k线图均线是股票交易市场上最常用的技术指标,甚至股市中现在很多的技术分析指标都是根据k线图均线来分析的,因此k线图均线如何设置最好是我们首先要理解的问题,今天我...

    养老金补交的新政策是什么,养老金补交怎么办理?

    养老金的重要性大家都明白,所以越来越多的人开始为自己缴纳养老金!但是,天有不测风云,人有旦夕祸福,并不是所有人都有条件一直缴纳养老保险的,其中可能会因为这样或...

    股票软件《赢家江恩证券分析系统》