WannaCry 勒索軟體攻擊發生在 2017 年 5 月 12 日,影響了 20 多萬台電腦。WannaCry 利用一個未經修補的漏洞在世界各地的網路中進行蠕蟲式傳播。
閱讀本文後,您將能夠:
複製文章連結
WannaCry 勒索軟體*攻擊是一個影響全球組織的重大安全事件。2017 年 5 月 12 日,WannaCry 勒索軟體蠕蟲傳播到 150 多個國家/地區的 20 多萬台電腦。知名的受害者包括 FedEx、Honda、Nissan 和英國國家衛生服務系統 (NHS),後者被迫將其部分救護車轉移到備用醫院。
在攻擊發生後的幾個小時內,WannaCry 被暫時解除了。一位安全研究人員發現了一個「自毀開關」,基本上關閉了惡意程式碼。然而,許多受影響的電腦仍然被加密且無法使用,直到受害者支付贖金或能夠逆轉加密。
WannaCry 透過使用名為「EternalBlue」的漏洞利用進行傳播。美國國家安全局 (NSA) 開發了這個漏洞,大概是為了他們自己使用,但在 NSA 本身遭到入侵後,它被一個名為 Shadow Brokers 的組織竊取並發布給公眾。EternalBlue 僅適用於較舊的、未修補的 Microsoft Windows 版本,但執行此類版本的機器數量足以讓 WannaCry 迅速傳播開來。
*勒索軟體是一種惡意軟體,它透過加密鎖住檔案和資料,並索取贖金。
在安全領域,蠕蟲病毒是一種惡意軟體程式,它會自動傳播到網路中的多台電腦。蠕蟲病毒利用作業系統漏洞,從一台電腦跳到另一台電腦,在每台電腦上安裝自己的複本。
蠕蟲就像一個小偷,他在一個辦公園區裡走來走去,尋找未上鎖的門。一旦小偷找到了一個,他可以創造一個自己的複製品,留在未上鎖的辦公室內,兩個版本繼續尋找未上鎖的門。
大多數蠕蟲不包含勒索軟體。勒索軟體通常透過惡意電子郵件、認證洩露、殭屍網路或高度針對性的漏洞利用(例如 Ryuk)來傳播。WannaCry 的獨特之處在於,它不僅將勒索軟體與蠕蟲病毒結合在一起,而且還使用了一個由美國國家安全局建立的特別強大的蠕蟲病毒漏洞。
Shadow Brokers 是一群攻擊者,他們於 2016 年開始向公眾洩露惡意軟體工具和 zero-day 漏洞利用程式。他們被懷疑獲得了 NSA 開發的多個漏洞利用程式,可能是由於機構的內部人員攻擊。2017 年 4 月 14 日,Shadow Brokers 洩露了 WannaCry 最終使用的 EternalBlue 漏洞利用。
Microsoft 於 3 月 14 日發布了 EternalBlue 修補程式,比 Shadow Brokers 洩露它的時間早了一個月,但在 WannaCry 攻擊發生時許多電腦仍未修補。
2017 年底,美國和英國宣布北韓政府是 WannaCry 的幕後黑手。然而,一些安全研究人員對這一歸屬提出異議。一些人認為,WannaCry 可能是總部設在北韓的 Lazarus Group 的手法,而不是直接來自北韓政府。其他人認為,惡意軟體中的作者線索可能是為了將責任歸咎於北韓的攻擊者,WannaCry 可能完全來自另一個地區。
在攻擊發生的當天,一位名叫 Marcus Hutchins 的安全部落客和研究員開始對 WannaCry 的原始程式碼進行逆向工程。他發現 WannaCry 包含一個不尋常的函數:在執行之前,它將查詢網域 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。這個網站並不存在。
於是,他註冊了這個網域。(它花費了 10.69 美元。)
在 Hutchins 這樣做之後,WannaCry 的複本繼續傳播,但它們停止了執行。從本質上講,一旦 WannaCry 開始收到來自 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的回應,它就會自行關閉。
雖然不能確定 WannaCry 作者的動機,但據推測,WannaCry 中包含了這種網域查詢功能的目的是讓勒索軟體能夠檢查它是否在沙箱內。
沙箱是一種反惡意程式碼工具。它是一個虛擬機器,與所有其他系統和網路分開執行。它提供了一個安全的環境來執行不受信任的檔案,看看它們是做什麼的。
沙箱實際上沒有連接到網際網路。但沙箱的目的是盡可能地模仿真實的電腦,因此它們可能會對惡意軟體針對特定網域的查詢產生一個虛假的回應。因此,惡意軟體檢查其是否在沙箱內的一種方法是向一個假的網域傳送查詢。如果它得到一個「真實的」回應(由沙箱產生),它可以認為自己是在沙箱中,並關閉自己,這樣沙箱就不會偵測到它是惡意的。
然而,如果惡意軟體將其測試查詢傳送到一個硬編碼的網域,那麼當有人註冊了這個網域時,它就會被欺騙,以為自己始終在沙箱中。這可能是 WannaCry 發生的情況:世界各地的 WannaCry 複本被欺騙,認為它們在沙箱內,並關閉自己。(從惡意軟體作者的角度來看,一個更好的設計是查詢一個每次都不同的隨機網域,這樣一來,從沙箱外的網域得到回應的機率就接近零了)。
另一個可能的解釋是,傳播到世界各地的 WannaCry 的複本是未完成的。WannaCry 的作者可能將該網域硬編碼為預留位置,打算在發布蠕蟲病毒之前用他們的命令和控制 (C&C) 伺服器的位址替換它。或者他們可能打算自己註冊 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。(DNS 篩選或 URL 篩選也許可以阻止對該網域的查詢,但大多數組織不可能及時部署這一安全措施。)
無論出於何種原因,這樣一個簡單的動作能夠拯救世界各地的電腦和網路,使其免受進一步感染,這是一種運氣。
事實證明,在 Hutchins 開始以安全研究員的身分工作和寫部落格之前,他已經花了數年時間經常光顧暗網上的惡意軟體論壇,建置和銷售自己的惡意軟體。WannaCry 事件發生幾個月後,FBI 在內華達州拉斯維加斯逮捕了 Hutchins,原因是他編寫了一種銀行惡意程式碼 Kronos。
由於 Hutchins 的「自毀開關」網域,2017 年發布的 WannaCry 版本不再起作用。此外,還為 WannaCry 自 2017 年 3 月以來利用的 EternalBlue 漏洞提供了修補程式。
然而,WannaCry 攻擊仍在發生。截至 2021 年 3 月,WannaCry 仍然使用 EternalBlue 漏洞,這意味著只有極老的、過時的 Windows 系統才有風險。較新版本的 WannaCry 已經移除了原始版本中存在的自毀開關功能。強烈建議立即更新作業系統和安裝安全更新。
雖然 WannaCry 的原始版本已不再活躍,但可以從 2017 年 5 月的攻擊中吸取幾個關鍵教訓:
瞭解其他種類的勒索軟體: