手机商桥

扫码下载 商桥APP

行业商机 一手掌握

会员登录

还不是会员? 立即注册

勒索软件攻击事件的来龙去脉

2017年07月14日 14:28:33  来源:神州商桥  

首页资讯行业前瞻

  2017年5月12日,全球爆发大规模勒索软件攻击事件,超过30万台电脑受到攻击,波及包括英国、俄罗斯、中国、美国等在内的150个国家,涉及能源、教育等多个重点行业领域。作为NSA网络军火民用化的全球第一例,勒索软件利用微软SMB远程代码执行漏洞MS17-010,并基于445端口迅速传播扩散,无需用户任何操作,即可实现系统入侵,对用户主机内的照片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件实施加密,并向用户勒索比特币“赎金”,此次事件给全球网络安全造成严重危害,有必要对其来龙去脉进行研究,并研判后期的网络安全形式,以便为我国网络空间防御能力建设提供借鉴与参考。


3.jpg


 

  勒索软件的来龙

 

  NAS网络武器被公开,点燃攻击事件导火索。2017年4月14日,黑客组织公布了NSA(美国国家安全局)旗下Equation Group(方程式组织)使用的网络武器库,涉及多个Windows系统服的远程命令执行工具。事件发生不足一个月,泄露的网络武器引发全球规模的勒索软件攻击。据安天实验室、360追日团队、卡巴斯基等国内外安全研究机构分析,作为此次攻击事件的主角,勒索软件WannaCry利用微软SMB远程代码执行漏洞MS17-010,并基于445端口攻击,其攻击原理与Shadow Brokers公布的名为“永恒之蓝”的漏洞,利用工具的实现原理极为相似。据推测,攻击发起者在借鉴NSA网络武器攻击原理的基础上,研发形成了新的勒索软件,并借此发动了此次大规模网络攻击。

  系统漏洞修复不及时,为勒索软件传播留下了通道。网络安全研究机构分析显示,WannaCry利用了微软操作系统SMB远程代码执行漏洞MS17-010,其攻击范围覆盖了Windows10之外的几乎所有Windows操作系统,过低的操作系统漏洞修复率为此次全球规模的勒索攻击提供了可乘之机。虽然微软已于2017年3月发布了MS17-010漏洞的补丁,但是广大企业和用户并没有及时升级Windows 7系统,加之Windows XP、Windows 8 、Windows Server 2003等无法获得漏洞补丁的操作系统仍在广泛使用,导致全球存在大量的可攻击目标。据安全评级公司Bitsight的调查数据显示,全球约67%的被感染电脑都是基于Windows 7 操作系统运行的。

  网路安全防护不到位,加剧了勒索软件的全球蔓延。软弱的网络安全防护能力在客观上加剧了勒索软件在全球的蔓延。WannaCry属于“蠕虫式”勒索软件,对于企业局域网或内网的主机系统破坏性尤其严重,然而,包括我国在内的全球诸多国家在架构安全和被动防御层面,目前仍存在严重的先天基础不足,过分重视网络边界防御而轻视内网防护,终端准入控制,终端准入防御、终端安全审计能力普遍不强。一旦勒索软件通过钓鱼邮件、网页挂马等方式突破边界进入内网,就极易造成应用单位“一点攻破,全线失守”的局面。

  威胁全球的霸权主义是引发事件的罪魁祸首。美国一贯坚持威胁全球的网络安全战略,为了巩固其网络安全霸主地位,高度重视研发进攻性网络武器来威慑可能对美产生重大威胁的网络攻击,或其他恶意网络活动。NSA的高级官员曾透露,美国联邦政府九成以上的网络项目经费用于攻击性项目,如挖掘操作系统、数据库、路由器等基础软硬件漏洞,研发针对性的军火级攻击平台、漏洞利用工具和恶意代码,监听通讯网络等。早在2013年,美国网络武器就已超过2000种,部分网络武器无需用户任何操作,即可入侵联网电脑,像冲击波、震荡波等著名蠕虫一样瞬间血洗互联网。美国奉行的网络威慑战略,使其囤积了大量高危网络漏洞和强大网络武器,不仅刺激全球国家开展网络军备,大大提高了网络战局部爆发的危险,也最终导致了此次全球规模的勒索软件攻击事件。


4.jpg


 

  勒索软件的去脉

 

  关键信息基础设施网络安全风险居高不下。此次勒索软件WannaCry攻击事件的波及范围十分广泛,包括西班牙电力公司Iberdrola、天然气公司Gas Natural,德国德累斯顿火车站,以及俄罗斯内政部以及第二大电信运营商Megafon等在内的多个国家的电力、石油、交通运输等领域,关键信息基础设施领域也受到影响。尽管WannaCry的传播速度已大为放缓,但考虑到关键信息基础设施领域的工业主机(如操作站、工程师站、历史服务器等)仍在广泛使用通用Windows操作系统,尤其是默认开放445端口的Windows 2000 和Windows XP系统大量存在,极有可能被WannaCry利用漏洞进行入侵攻击,并迅速蔓延至企业内网甚至工业控制网络,导致企业重要文件被加密、生产、运行等敏感数据无法采集和读取,造成整个企业内网的瘫痪,这不仅会对工业生产造成严重经济损失,还可能严重影响人民群众的财产安全,由于关键信息基础设施领域使用的通用Windows操作系统,在补丁升级,防护更新方面技术难度和资金成本较高,在未来相当长的一段时间内,关键信息基础设施领域的安全风险仍将居高不下。

  网络攻击产生的“破窗”效应,进一步显现。一方面,美国国家安全局(NSA)、中央情报局(CIA)等网络安全机构泄露了包括Android、iPhone、Windows PC、Mac、三星电视等设备的安全漏洞和利用工具,以及感染USB闪存盘的恶意软件等一大批网络武器。“影子经纪人”还宣布,将从6月份开始,每月出售NSA的Web浏览器、路由器和手机漏洞和相应技术。考虑到网络武器复制成本几乎为零的特点,以及美国情报机构武器的强大攻击力,泄露的网络武器能满足绝大多数个人,组织甚至国家实施高破坏性,强针对性网络攻击的需求,使得发起国家级网络攻击门槛大大降低。

  另一方面,美国研发的网络武器为了避免追踪,多采取高度“模块化”的工具编写方式,模糊了攻击者的攻击特点;其具备的“防追溯”、“嫁祸”等功能,也大大增加了成功追溯到攻击发动者的难度,从而进一步减小了攻击者的后顾之忧,WannaCry网络攻击发动者能躲过英、美等国家的重重网络追捕即是例证,在强大的“网络军火”支持和“无责任”网络攻击的刺激下,各种以情报获取、资金赚取等为目的的规模化、针对性的网络攻击,必将显著增多。

  面对将来可能集中爆发的高破坏性、强针对性的网络攻击,我们应重点提升国家网络空间安全防御能力。也应该加强各国间的网络安全合作,协同应对,形成合力。



声明:本栏目发表或转载的文章观点不代表本平台观点,部分内容和图片转载自网络,如有侵权请及时联系我们删除。
  • 厂商跃跃欲试 虚拟现实领域酝酿芯片争夺战

  • 线下渠道能帮小米华为提升销量和品牌吗?

山石网科 防火墙 思科 千兆企业路由器

成功加入收藏夹!

您可以 查看收藏夹

成功取消收藏

您可以 查看收藏夹