勒索病毒——网络武器的杰出代表

回忆

距离2017年5月12日，臭名昭著的WannaCry(pt)勒索病毒大规模爆发，现已过去了四年。跟着WannaCry勒索病毒的爆发，在这短短几年时间里，勒索病毒宗族的小分支“遍地开花”，新变种和新病毒不断地繁殖蔓延。

各类勒索病毒不断涌现，从2017年5月至2018年4月，近500万台终端遭受进犯，勒索病毒俨然成为互联网空间中的一大挟制。勒索病毒的出现打开了一个潘多拉魔盒，它展示了网络兵器的威力:网络兵器并不是传统的病毒和歹意软件，它并不仅仅只是骚扰一下被害用户，或许让用户的电脑性能或部分功能遭到影响。它实际的影响到了整个社会的基础设施和根本服务，甚至影响到了社会秩序。

勒索病毒简介

北京时间2017年5月12日晚上22点30分左右，全英国上下16家医院遭到突然的网络进犯，医院的内部网络被攻陷，导致这16家机构根本中断了与外界联络，内部医疗系统几乎悉数瘫痪。与此一起，该未知病毒也在全球范围大爆发。

在数小时内，病毒影响了近150个国家，一些政府机关、高校、医院的电脑屏幕都被病毒“血洗”染成了红色加密界面，其成果致使多个国家的重要信息基础设施遭受前所未有的损坏。该病毒也由此遭到空前的关注。

这场席卷全球的网络进犯的元凶巨恶就是这个名为WannaCry的勒索病毒。凭借“永久之蓝”高危缝隙（MS17-010）传达的WannaCry，“网络兵器”一词也开端进入群众视野。

然而勒索病毒自身并不是什么新概念，勒索软件Ransomware最早出现于1989年，是由约瑟夫·波普（Joseph Popp）编写的命名为“艾滋病特洛伊木马（AIDS Trojan）”的歹意软件。它的规划十分失利以至于受害者无需付出赎金即可解密。

在1996年，哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件，明确概述了勒索软件Ransomware的概念：使用歹意代码搅扰被进犯用户的正常运用，除非用户付出赎金才干康复正常运用的歹意软件。

开端的勒索软件和现在盛行的勒索病毒相同，都选用加密文件、收费解密的方法，只是加密办法不同。除了加密方法之外，之后也出现经过其他手法进行勒索的，比方强制显现违规图片、挟制受害者分布阅读记载、运用虚假信息挟制等方法，这类勒索病毒在近几年来一直不断出现。

勒索病毒原理

勒索病毒的加密原理，大多基于RSA加密算法。RSA公钥加密是一种非对称加密算法，它包含了三个算法：KeyGen（密钥生成算法），Encrypt（加密算法）以及Decrypt（解密算法）。

其算法进程需求一对密钥（即一个密钥对），分别是公钥（揭露密钥）和私钥（私有密钥），公钥对内容进行加密，私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是，尽管加密用的是公钥，但拿着公钥却无法解密。

这里简单介绍下RSA非对称加密算法的由来：

1976年以前，一切的加密办法都是同一种方法：

（1）甲方选择某一种加密规矩，对信息进行加密；

（2）乙方运用同一种规矩，对信息进行解密。

因为加密宽和密运用同样规矩（简称"密钥"），这被称为"对称加密算法"（Symmetric-key algorithm）。这种加密方法有一个最大缺点：甲方有必要把加密规矩告诉乙方，不然无法解密。保存和传递密钥，就成了最头疼的问题。

1976年，两位美国计算机学家Whitfield Diffie 和 Martin Hellman，提出了一种簇新构思，可以在不直接传递密钥的情况下，完结解密。这被称为"Diffie-Hellman密钥交流算法"。这个算法启发了其他科学家。人们认识到，加密宽和密可以运用不同的规矩，只需这两种规矩之间存在某种对应联系即可，这样就避免了直接传递密钥。这种新的加密方法被称为"非对称加密算法"。

（1）乙方生成两把密钥（公钥和私钥）。公钥是揭露的，任何人都可以获得，私钥则是保密的。

（2）甲方获取乙方的公钥，然后用它对信息加密。

（3）乙方得到加密后的信息，用私钥解密。

如果公钥加密的信息只有私钥解得开，那么只需私钥不走漏，通讯就是安全的。

1977年，三位数学家Rivest、Shamir 和 Adleman 规划了一种算法，可以完成非对称加密。这种算法用他们三个人的名字命名，叫做RSA算法。从那时直到现在，RSA算法一直是最广为运用的"非对称加密算法"。毫不夸张地说，只需有计算机网络的当地，就有RSA算法。

RSA算法十分可靠，密钥越长，它就越难破解。依据现已披露的文献，现在被破解的最长RSA密钥是768个二进制位。也就是说，长度超越768位的密钥，还无法破解（至少没人揭露宣布）。因而可以以为，1024位的RSA密钥根本安全，2048位的密钥极端安全。

这次WannaCrypt勒索病毒运用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。经过系统随机生成的AES密钥，运用AES-128-CBC办法对文件进行加密，然后将对应的AES密钥经过RSA-2048加密，再将RSA加密后的密钥和AES加密过的文件写入到终究的.WNCRY文件里。

终究能解密的钥匙只有在黑客手中；而以现在的计算才能，连超级计算机都需求花费大约60万年时间破解（题外话：现在还在研制中的量子计算机只需求三小时）。以下是WannaCrypt勒索病毒的加密流程图：

永久之蓝缝隙

之所以WannaCry可以如此迅速地传达，是因为黑客集体Shadow Brokers揭露了由美国国家安全局（NSA）办理的的黑客浸透工具之一：“永久之蓝”。它针对的是445文件共享端口上的Windows服务器音讯块(SMB)的缝隙，可以获取系统的最高权限。

勒索病毒经过扫描敞开445文件共享端口的Windows计算机，无需用户进行任何操作，只需计算机开机并连接上互联网，进犯者就能在电脑和服务器中植入比如勒索软件、长途控制木马、虚拟钱银挖矿机等歹意程序。

据迈克菲（McAfee，全球最大的安全技能公司）不久前的查询研讨显现，WannaCry与朝鲜黑客安排Hidden Cobra严密相关，意图或与间谍活动有相关。如今尽管“永久之蓝”缝隙已得到修复，但事实上，当前对该缝隙的使用程度更甚上一年。

卡巴斯基实验室表明，遭受与“永久之蓝”缝隙相关进犯的受害者数量在2018年4月比2017年5月高出十倍，均匀每月有超越24万用户遭到进犯。

下图是使用永久之蓝缝隙衍生出的各类安全事件：

网络进犯兵器

第一个被众人皆知的网络进犯兵器就是震网病毒Stuxnet，一个席卷全球工业界的蠕虫病毒。安全专家以为它被规划出来的首要意图是针对伊朗核电站，是伊核危机中成功阻止伊朗核计划近两年的元凶巨恶。

2010年初，联合国负责核对伊朗核设施的世界原子能机构（IAEA）开端注意到，纳坦兹铀浓缩工厂的中心部件离心机（类型IR-1）毛病率高得离谱，本来估计每年替换率在10%左右，但仅在2009年12月，就有大约1/4的离心机因发生毛病而报废。

因为离心机的毛病发生率远远超出预期，导致伊朗迟迟无法出产浓缩铀。然而令人疑问的是，离心机的出产环节并未检测出任何问题，且每台离心机在出厂时都经过了严格的质量查看，均无任何异常。可是只需机器投入了出产环境，却很快就会因磨损过度而发生毛病。于此一起，提供给伊朗中心技能的巴基斯坦确没有发生过那么高的离心机毛病率。

直到2010年中旬谜底才得以解开。2010年6月，白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户查看系统，查询他们电脑无故死机和重启的问题。该安全公司的技能人员在客户电脑中发现了一种新的蠕虫病毒。

依据病毒代码中出现的特征字“stux”，新病毒被命名为“震网病毒（stuxnet）”，并加入到公共病毒库，公布给业界人士研讨。然而跟着研讨的发现，安全专家们发现这个病毒非同小可。全球闻名安全团队，包括赛门铁克，卡巴斯基，微软都对该病毒进行了十分深化的研讨，并且深化研讨的成果让一切人都瞠目结舌：

l  这个病毒用了4个0 day缝隙；

l  这个病毒针对西门子工控PLC；

l  这个病毒首要针对伊朗；

l  这个病毒规划的十分精细。

由此看出，这是一起精心策划，以损坏伊朗核电站的离心机设备为意图，进行的一次网络进犯事件。因为西门子的PLC在工控范畴中运用十分广泛，且PLC一旦失控，会造成火车脱轨，设备爆炸，电场停电等一系列安全事故。

此外，因为工控系统通常都是与外网物理阻隔，而且针对PLC的系统需求相同的测验环境进行屡次测验。而一套PLC以及配套相同环境的设备，需求花费一大笔经费，因而普通黑客安排是无法承担如此重大的开销的。

此外，这个病毒对PLC的进犯具有很强壮的隐匿性。病毒会先让离心机以正常状态运转一段时间，直到伊朗的工作人员把核材料都装载结束，工作了一段时间今后，病毒才开端发作。

震网病毒的损坏手法首要是经过改动转子的转速，使用进程压力和转子的转速两种办法可以完成添加转子的内壁压力，从而使离心机损坏。而外面的监控设备，因为病毒搅扰的原因，无法从仪表板觉察到离心机转速的异常。若不是病毒无意中经过了互联网传达，震网病毒将永久不会被揭开其真正的面纱。

如果说震网病毒是有安排、有技能、有资金链支撑的高门槛网络兵器，那么自从NSA网络进犯兵器的走漏后，网络兵器逐渐出现“民用化”趋势，更让本来令人望尘莫及的网络进犯成为“门槛低、收益高”的事，并致使勒索行为日渐火热。因而，使用网络兵器进行的网络勒索或将成为最盛行的进犯方法。

此外，热门网站的数据库走漏也使得网络进犯办法更为简单。黑客可以容易的经过“撞库”进犯，轻松获取到很多用户数据。就在2019年2月，来自巴基斯坦的黑客以电子邮件的办法发送给安全媒体，宣称现已成功进犯了二十多个个热门网站，成功偷盗其数据库，并在暗网出售。

黑客一起还宣称，许多方针公司可能不知道他们的数据已被盗，被盗的客户数据现已被出售给多个网络犯罪集团和个人。然而这些只是数据库走漏的冰山一角。

御盾观点

面对着日益杂乱的网络进犯，企业应该从以下四点入手，建立完备的网络安全系统：

(1)    以网络安全态势感知渠道、网络情报、应急呼应三大要素为中心,自动感知预警，进步应急呼应的速度和质量；

(2)    建立终端、网络、服务器三方联动的防护系统；

(3)    以专业的安全专家作为主导，建立防护系统与安全人员应急处置相结合的系统；

(4)    改动网络安全防护观念，与专业的安全咨询公司合作建立完善的安全系统等。