«

»

May 16 2017

对 WannaCry 比特币勒索事件 的理解

比特币勒索 这个词并不新鲜,这个词汇早在 2013年 就已经出现了。

由于 WannaCrypt 事件,很多原来的新闻都已经被这次事件淹没了,找起来有点费劲。比如说 比特币勒索 这个关键词在百度百科上已经被 WannaCry 替代了掉了。

像网易雅虎泄露邮箱导致 AppleID 锁机这种勒索就不在本文讨论了。本文只讨论加密性勒索软件。

加密性勒索软件

加密性勒索自2005年5月开始,使用复杂且正规的RSA加密手段。像RSA加密这些方法,一直致力于保护网络传输加密等安全行为,他们非常健壮,只要其钥匙的长度足够长,用RSA加密的信息实际上是不能被解破的。

比特币勒索的发展

最初的比特币勒索病毒应为 CryptoLocker,其于2013年下半年出现,该病毒最大的差异在于利用新时代的比特币进行勒索。2013年12月,ZDNet估计该病毒单单在该月(12月)15日至18日间,就利用比特币从受害者身上汲取了2700万美元。

在紧接着的几个月内,相同手法被多种病毒所效仿。

(值得注意的是,原先勒索病毒只在俄罗斯境内盛行。病毒会尝试连接某服务器,并根据一定方法确认受感染机器的位置,如果不属于俄罗斯,则不发作)

从2013年至2016年,比特币勒索慢慢扩大至全球范围。勒索软件CryptoWall,被美国联邦调查局估计在2015年6月以前获得了超过一百八十万美元的赎金。

比特币勒索在国内也有过很多报道。腾讯,阿里相关的IT公司,甚至和IT无关的新京报,都有报道过。

可见比特币勒索已经不是什么新鲜事了。

WannaCrypt

WannaCrypt,简称 WannaCry,于 2017年5月12日 在国际互联网广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机硬盘和存储装置中许多格式的文件进行加密,然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机,而处于同一局域网的相邻主机也会被感染。

根据维基百科上目前的统计,中国大陆部分高校使用的教育网、公安网和政企专网,英国医疗系统、国民保健署,巴西圣保罗法院,加拿大公共卫生服务机构,哥伦比亚国立卫生研究院,法国雷诺,德国铁路系统,印度安得拉邦警察局、印度尼西亚的多家医院、意大利米兰比科卡大学、罗马尼亚外交部、俄罗斯通讯运营商MegaFon,以及西班牙,瑞典,匈牙利,泰国,荷兰,葡萄牙等将近一百个国家的机构院所也受到波及。

按理说 WannaCrypt 在加密性勒索和比特币勒索上并没有什么进步。他之所以有如此杀伤力,原因是依靠了漏洞 EternalBlue

永恒之蓝 EternalBlue,以及 NSA

永恒之蓝(EternalBlue)是美国国家安全局开发的漏洞利用程序。有此漏洞的目的计算机,受到此工具攻击后,就可以在目的机上运行程序,比如病毒。WannaCrypt 便是使用这个工具进行传播。

此漏洞利用程序由 The Shadow Brokers 于 2017年4月份 曝光,其发布了包括美国国家安全局的黑客工具在内的数个漏洞。

美国国家安全局,即 NSA。NSA 会拥有此工具的理由很简单,可以随时随地 监视他人。类似永恒之蓝的漏洞和工具还有很多。

关于 NSA 的更多信息参见棱镜计划,以及纪录片《第四公民》和电影《斯诺登》。

微软的措施

值得一提的是微软在 2017年3月份 就发布了针对修复 EternalBlue 的相应补丁。这些补丁目前无法已经无法直接从 Windows Update 中单独获得了。

微软终于明白,有时候几百个安全补丁,可能只为了修复一个文件,最终能保留的就只有最新版本的文件,几百个安全补丁可能只有最后一个补丁文件是有用的,其他的文件都是冗余的,浪费带宽和磁盘容量。批量更新包要比单独补丁靠谱得多,所以多数漏洞补丁在发布一定时间后,会进入补丁包,效率更高。所以使用 Windows Update 的用户不用惊慌,修复还在,只不过补丁不用单独安装了

听说微软甚至还专门为已经停止维护多年的 XP 和 2003 制作了修复补丁。

为什么会感染

系统

受灾系统主要以 XP、2003、Win7 居多。Win8 的用户量太少,找不到数据。Win10 我不关心,虽然其自带的 强制更新 会避免此种问题,但是 开机更新 这种事情要是真发生在手术台上,病人的麻药是不是得多打几个小时?

根据新闻报道,英国医疗系统(这里指 NHS)仍在使用 XP。这个现象不足为奇,非IT公司的软件系统都是买的,而卖方一般为外包公司,很容易造成转欧阳软件难维护,难更新的情况。另一方面在 Win 平台上开发软件,也会由于排错困难,兼容问题,导致系统升级几乎不可能。

想要升级,就只能全方位的同时替换系统操作,同时重新开发专用软件,并对从业人员完全重新培训,成本非常巨大。有多巨大呢?英国人自己算了一笔账,认为花个上亿,也比完全重做划算。嘛,毕竟光是 重新培训 这一步,就能遭受到全民抵制吧。

别笑话其他国家,其实国内也有很多医疗系统是 XP 的。

照片上便是 北京中西医结合医院 的叫号屏,很巧的是,他崩了。注意电视左上位置的那个大黑块,那个是联想的机器。根据观察,这个叫号机就是标准的PC,里面安装的就是标准的 XP,并非 WINCE 等本来该用的系统。开机会自动启动一个软件,软件会自动连接到中心服务器上,并显示个全屏的叫号软件。如果中心服务器故障了,或者出现其他问题,就会像照片那样报错,解决办法就是屋里的医生出来踩在凳子上按电源强制重启。我排队时经常就能看到这番景象。

北京中西医结合医院内部的挂号和其他所有系统也都是XP的,不仅如此,其专用软件虽然外层看起来是专门开发的,但是实质上内部是 IE6,发起的是 ActiveXObject XMLHttp 请求(也就是 IE6 的 AJAX)。IE6 对异常处理的支持是相当糟糕的,所以在其网络有问题的时候,就会报莫名其妙的问题。看完病却打不出缴费单的时候,就能看到 IE6 原生错误提示窗。

看到那个联想的设备我就觉得这活估计是外包给联想,联想又外包给神州数码或者类似公司,之后再外包到软件开发公司。

不知道这次事件是否影响到这个医院了呢。反正这个医院光是停电我就遇到过两次,其他服务器故障更是屡见不鲜,而我是以患者的身份去看病的,而不是去解决技术问题的。

网络

普遍受灾的多数都是 大局域网 用户,以校园网和政企办公网为代表。

校园网

校园网,科学叫法应该是教育网。此种网络特点,上网需认证,内部为一个巨大的局域网,外部出口为教育网出口。这种网络在内部除了 强验证(MAC、802.1x等) 之外,不会限制任何使用。这种环境简直是 EternalBlue 的温床。一台感染,全校遭殃。虽然很多学校都会针对楼宇或机房层次来划分网段,但是学校本身就是病毒的试验田。我读过的大学,机房机器上的病毒要比学校预装的软件还要多久,而且全部都固存在还原卡镜像中,可谓根深蒂固。

政企网络

根据多年的工作经验,有样子的大型公司和企业,比如公安户籍、运营商营帐计费、航空系统,办公系统都会使用专线网络。

这种网络,内部自成局域网,没有公网出口,也不能上网。子公司内部为局域网,上行出口连接运营商专线,使用 MPLS 连接到主公司,实现专用网络。网络实现了基于物理层和数据链路层级别的隔离,除非运营商做手脚,否则网络上任何其他资源都无法入侵到这个网络中,可谓是固若金汤,坚不可摧。相应的代价就是网络内部除了办公,什么都做不了。虽然有点无聊,但没人希望交电话费时,营业员正在用电脑玩页游,没人希望办理户籍转入转出时,工作人员正在看游戏直播。

但是根据目前的新闻报道看,政企网络受到攻击的情况远比预料中的严重得多。虽然同为局域网环境,但物理级别的固若金汤的 MPLS 是不可能从外部攻破的。

也就是说,有内部因素,将病毒传播进内网。由于内网的强封闭性,不能上公网,也就因此不能进行自动更新,所以外墙固若金汤,内部却极为脆弱。

用户

运营商内网,是我接触的最多的。其次是公安办公网、国家电网办公网络、某些航空公司办公网络(不止一个^_^)等。

刚才提到,专用内网应该是坚不可摧的,那么接下来我就猜测一下到底内部网络是如何染毒的。

运营商营帐系统,也就是大家办业务交电话费,营业员用的那台电脑连接的网络,这个网络无疑就是专网,被设计成只能连接内部网络。但是并不像北京这种热门地区,很多偏远地市的营业厅其实是很无聊的,很多郊县地区甚至一天都见不到一个顾客。在这种地区当营业员其实是很蛋疼的,守着个电脑,啥都干不了。于是这里就开始发生一些不该发生的事情了。运营商员工一般都会发配对应员工卡,这种卡公司内通话免费,无线上网免费,所以很多人都把手机当做无线猫连接到网上,间接用手机上网,拿营帐电脑干其他的事情。除了运营商的营帐系统,也有很多其他本身不能上外网的系统被用于他用,像以前工作的时候就一直有值夜班的运营商运维系统被用 U盘 插来插去。

偏远地区一般这种职位都是热门职位(不忙、没啥事、固定上下班时间、铁饭碗),所以一般都是托关系走后门上去的社会闲散人员(初中学历居多,大专级别的都非常少见),可想而知上网都干啥,即使被上级抓到了,也没什么好解决办法。

多亏了近几年移动互联网的发展,现在人们无聊的时候不再是用各种方法插电脑了,而是都转为低头族了。大概也是因此,这次的灾难才没有那么大的影响范围吧,真不知道是该高兴还是该悲伤。

也就是说,仍然是用户的不正规操作,导致的病毒进入内网并肆意传播。猜测 WannaCrypt 绝对不止依靠 EternalBlue 漏洞 这一种手段进行传播。多数都是非常复杂的交叉感染。

果然勤洗手还是能预防百病的

病毒的发作

2017年3月和4月,漏洞被泄露,修复补丁放出,2017年5月12日,病毒爆发。个人认为其实病毒在4月份就可能已经准备好了,并且已经潜伏了一段时间。

安全厂家的分析

根据部分安全厂商的分析,我前文中的部分推断看来是错的,嘛,毕竟是猜测,我没证据证明,当然我说明了我那是猜测

火绒的分析中,WannaCrypt 的传播方式全部都是依靠 EternalBlue 漏洞,没有其他传播方式。也没有提到潜伏和定时。

这点有些想不明白,如果真是如此,那么某些网络从架构上就太脆弱了,甚至连局域网该有的健壮性都没有。猜测受感染的局域网,必是做了 DMZ 或相应的端口映射,把不该向公网开放的服务也开放出去了。

唉,这可是不要命的行为啊。

话说回来,傻呵呵放着 mongodb 和 redis 端口不管而产生的勒索,也持续这么久了。

国内媒体报道

国内部分媒体甚至连是怎么一回事都没搞清楚,就大肆报道,可谓非常不负责任。

比如这位 英国那些事儿。既然是 英国 那些事儿,那你好歹得看得懂英文吧?

阅读理解:


请回答:原文中所要发送的东西是什么?

  • A. 300比特币
  • B. 300美元
  • C. 300美元的比特币

我想只要初中毕业应该就能答对吧……

比特币交易

不完全匿名

说先要说明的一件事,因为多数受害人的系统都严重受损了,所以网上的图片多数都是无授权转载的。很多人以为勒索账户只有1个,其实攻击者在程序中硬编码了 至少3个 比特币地址。

比特币的匿名性,导致这些钱包的真实拥有者身份不明。但是不要误会了!比特币并不是纯匿名的,比特币的交易情况是 透明 的,任何人都可以查询交易情况。推特用户@Keith Collins制作了实时监控机器人@actual_ransom,实时追踪这三个钱包收到转账的情况。

截止 2017年5月16日,这三个钱包已经收到了 37.7 BTC,按照 比特币交易网现价 9920 RMB / BTC,价值已超过 37 万人民币。按照 BTC-e 现价 1.643 USD / mBTC,价值大约 6.2 万美元了。(每个虚拟币交易市场的价格都不等,美元-人民币 的价格也与汇率不硬相关)

追踪

如果比特币钱包的交易是非匿名的,那就意味着账户可以被跟踪,那么这些赎金的流向是可以被追踪的,是否有可能最终追到不法分子的真身呢?

在技术上是可以做到的。比特币想要变现,必须会经过比特币交易市场,变现后必须经银行才能提取现金。

然而实际情况不太乐观。这个级别的勒索,已是网络黑产中比较高端的了,很容易就会涉及到军火交易或毒品交易等洗钱行为,一旦关联上这些组织,想要追查下去,即使是联合国大概也得睁一只眼闭一只眼吧。

国人安全意识

个人用户

民粹主义抬头。取其精华,去其糟粕。精华没留下,糟粕在盛行。这是我现今的感受。

各种封445端口的因噎废食就不说了,不安装微软的安全补丁,只以为一个端口就是全部,坏人只要换一个非永恒之蓝的漏洞,不就行了?

至于那些把病毒搞崩溃的笑话,我除了感觉恶心之外,没有任何想评价的。

国人安全意识不强,民粹主义抬头,加之信息闭塞,愚民主义横行……百度百科甚至已经将 比特币木马 完全替换成了 WannaCry。

自求多福。

安全厂家

针对个人用户

360独家推出“敲诈先赔”,那玩意到底有没有人真的得到赔付,我不知道,我只知道 360 当时是防不住的,但是按照这个流氓厂家的做法,以你没有事先打补丁(指微软官方补丁)为由耍无赖也不是不行。

事实上360反勒索服务用户协议有这样一条


都是古董病毒,也就是说新病毒他是不管的。(要你何用)

关于文件恢复工具,前文中已经说过了,想要在无密钥的情况下解密文件是不可能的。想要恢复文件,唯一期望的就是得到勒索软件作者使用的密钥,看现在的情况,反编译等常规技术手段都不行,非常像是惯犯,非常有经验,连 卷影服务 的文件都会删(微软自带的文件恢复服务,很少有人用,但是非常强大)。

然而国内很多公司都宣称其 研发出了数据恢复工具,并免费提供给全球用户!

首先呢,病毒不叫 永恒之蓝,永恒之蓝是此次病毒利用的漏洞的名字。

这就像你黑天走夜路掉进了一个井盖被偷的马葫芦里,摔断了腿,被送到医院后,医生问你怎么了,你回答 井盖丢了,而不是 摔伤

其次,这个软件并不是恢复被 WannaCrypt 加密的文件,而是尝试从硬盘上恢复被删除的文件。WannaCrypt 在把正常文件加密后,删除了原文件。操作系统的任何删除动作(除了专用删除软件的 粉碎 功能),都只是删除硬盘上的文件索引而已,并不会真的把硬盘上保存文件的颗粒都擦一遍,当这些颗粒需要写新的数据的时候,才会处理这些颗粒。这个工具就是误删恢复软件,注意那个文件大小限制和文件类型限制,越是小的文件,短时间内恢复的可能性越高,越是类型确定的文件,恢复的正确率越高。

针对企业用户

漏洞详情很早之前就发布了,微软也很早就发出补丁,对于负责任的 IDS/IPS 厂家,提前将永恒之蓝这个漏洞加入检测,成功挡住此次入侵并留下拦截记录,并且客户没有被从内网攻破的情况下,大概就是一场成功的营销案例了吧(前提是客户没有被从内网攻破的情况)。目前还没发现这样的厂家

至于那些不负责任的安全厂家,你说什么好呢?

未来网络黑产的发展

网络黑产从近几年来开始越做越很,手段从攻击破坏,延伸到信息贩卖和敲诈勒索。另一方面很多公司完全做不到洁身自好,病毒木马经常随软件附送,加之个人用户安全意识不强,未来应该会有更多现在完全想象不到的网络黑产出现吧。

引用

本文多数信息均来自互联网。标记为猜测的均不负责任。

11 comments

Skip to comment form

  1. 方室网志

    网上有人说,一旦发现有文件被加密,立即关机断网,或许可以中断加密进程(文件越多加密越久),不知道有没有可操作性。

    1. 石樱灯笼

      不确定,不评论。

  2. 大致

    我老婆银行内部网络理论上是全封闭的,但他们成天拿个U盘拷来拷去,里面各种各样的病毒。
    以前给政府某部门干活的时候也是,每人一台PC,花大价钱买了物理隔离技术,两根网线一内一外,切换需要重启。然后,不封USB口。
    所以出什么问题我都不会觉得吃惊。

    1. 石樱灯笼

      物理隔离还是只适合服务器和专用设备,PC专用机靠这种方式进行保护还是不靠谱。

      日企和某些国企会用胶水堵住USB口,不过也爆出过各种被攻破的新闻。

      其实还是用户使用习惯的问题,很多问题在有良好习惯的人那里从来不会发生。

  3. youbei

    为了提高系统安全性和远离各种国产垃圾,我认为个人PC的最佳做法就是用虚拟机隔离。
    但是这样做就会降低效率,主要是虚拟机的开机和维护耗费了部分时间和硬件资源。不过现在的固态硬盘4K读取这么快,可以将这点资源浪费降到很低。
    从长远来说,个人数据安全的威胁会越来越严重,所以现在开始构建一个安全的隔离系统很有必要。
    话说,博主是怎么隔离那些国产流氓软件的呢,有些软件不用不行啊

    1. 石樱灯笼

      用虚拟机隔离,就意味着数据存在虚拟机里,虚拟机中毒了,数据不还是会丢么……
      固态硬盘寿命有限,以目前的用户习惯,很容易造成巨大的成本浪费,以及灾难性的硬件损坏数据丢失;
      纯虚拟化办公可以考虑做瘦终端;
      日常软件可以先用sandboxie验证下破坏性。

      1. youbei

        重要数据一般都是保存在host only的虚拟机上,不能上网的linux,而且虚拟机有快照功能,备份非常方便。
        固态硬盘的寿命一般都有100T吧,不会那么容易挂的。
        sandboxie我去查一下

      2. youbei

        重要数据一般都是保存在host only的虚拟机上,不能上网的linux,很难中毒的。而且虚拟机有快照功能,备份非常方便。至于隔离着国产垃圾的虚拟机中毒也不怕,快照可以一键还原。
        固态硬盘的寿命一般都有100T吧,不会那么容易挂的。
        sandboxie我去查一下

  4. 不亦乐乎

    吓得我立马重装了 windows10.

  5. FROYO

    我们公司xp是主流,因为硬件还是10年前的低频双核+1G DDR2内存

    1. 石樱灯笼

      我前一个公司也是一大片DDR2,但是由于工作需要他们必须安装Win7。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据