摘 要：2017年5月12日，全球爆發(fā)了大規(guī)模的勒索軟件攻擊事件，包括英國、俄羅斯、中國、美國等在內(nèi)的 150 個國家超過 30 萬臺電腦受到勒索軟件 WannaCry 攻擊， 對能源、電力、交通、醫(yī)療等領域的關鍵信息基礎設施造成嚴重影響。鑒于此次事件對全球網(wǎng)絡空間造成嚴重危害，有必要對其根源進行深入分析，研判“后WannaCry”時期的網(wǎng)絡安全形勢，并提出針對性的措施建議。

關鍵詞：勒索軟件；WannaCry；關鍵信息基礎設施；網(wǎng)絡安全形勢

中圖分類號：TP393 文獻標識碼：A

The ransomware attacks may lead to the escalation of the cyberspace arms race

Liu Quan, Wang Chao

(Institute of Cyberspace of CCID, Beijing 100846)

Abstract In May 12, 2017, massive ransomware attacks broke out around the world, UK,Britain, Russia,China, the United States and other 150 countries’s more than 300 thousand computers suffered WannaCryransomware attacks, the impact range affects critical information infrastructure in the fields of energy,electricity, transportation ,healthcare and other fields. Considering the incident has caused seriousdamage to the global cyberspace, it is necessary to make an in-depth analysis of its root causes, studythe cyberspace security situation during the post WannaCry era, and put forward specific measures andsuggestions.

Key words ransomware; WannaCry, critical information infrastructure, cyberspace security situation

1 引言

2017 年 5 月 12 日，全球爆發(fā)大規(guī)模勒索軟件 WannaCry 攻擊事件，超過 30 萬臺電腦受到攻擊，波及包括英國、俄羅斯、中國、美國等在內(nèi)的 150 個國家，涉及能源、電力、交通、醫(yī)療、 教育等多個重點行業(yè)領域。作為 NSA 網(wǎng)絡軍火民用化的全球第一例， WannaCry 勒索軟件利用微軟 SMB 遠程代碼執(zhí)行漏洞 MSl7-010，并基于 445 端口迅速傳播擴散，無需用戶任何操作，即可實現(xiàn)系統(tǒng)入侵，對用戶主機系統(tǒng)內(nèi)的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件實施加密，并向用戶勒索比特幣“贖金”。 此次事件給全球網(wǎng)絡安全造成嚴重危害，有必要對其根源進行深入分析， 并研判“后WannaCry”時期的網(wǎng)絡安全形勢， 以便為我國網(wǎng)絡空間防御能力建設提供借鑒與參考。

2 勒索軟件WannaCry肆虐全球的原因

2.1 NSA 網(wǎng)絡武器被公開，點燃攻擊事件導火索

2017 年 4 月 14 日，黑客組織 Shadow Brokers（影子經(jīng)紀人）公布了 NSA（美國國家安全局）旗下 Equation Group（方程式組織）使用的網(wǎng)絡武器庫，涉及多個 Windows 系統(tǒng)服務（SMB、RDP、IIS）的遠程命令執(zhí)行工具。事件發(fā)生不足一個月，泄露的網(wǎng)絡武器引發(fā)全球規(guī)模的勒索軟件攻擊。據(jù)安天實驗室、 360追日團隊、卡巴斯基等國內(nèi)外網(wǎng)絡安全研究機構分析，作為此次攻擊事件的主角，勒索軟件 WannaCry 利用微軟 SMB 遠程代碼執(zhí)行漏洞 MSl7-010，并基于 445 端口實施攻擊，其攻擊原理與 Shadow Brokers 公布的名為“永恒之藍”（EtemalBlue)的漏洞利用工具的實現(xiàn)原理極為相似。據(jù)推測，攻擊發(fā)起者在借鑒 NSA網(wǎng)絡武器攻擊原理的基礎上，研發(fā)形成了新的勒索軟件WannaCry，并借此發(fā)動了此次大規(guī)模網(wǎng)絡攻擊

2.2 系統(tǒng)漏洞修復不及時，為勒索軟件傳播留下了通道

網(wǎng)絡安全研究機構分析顯示， WannaCry 利用了微軟操作系統(tǒng) SMB 遠程代碼執(zhí)行漏洞 MSl7-010， 其攻擊范圍覆蓋了Windows 10 之外的幾乎所有 Windows 操作系統(tǒng)，過低的操作系統(tǒng)漏洞修復率為此次全球規(guī)模的勒索襲擊提供了可乘之機。雖然，微軟已于 2017 年 3 月發(fā)布了 MSl7-010 漏洞的補丁，但是廣大企業(yè)和個人用戶沒有及時升級 Windows 7 系統(tǒng)，加之Windows XP、Windows 8、 Windows Server 2003 等無法獲得漏洞補丁的操作系統(tǒng)仍在廣泛使用，導致全球存在大量的可攻擊目標。據(jù)安全評級公司 BitSight的調(diào)查數(shù)據(jù)顯示，全球約 67%的被感染電腦都是基于 Windows 7 操作系統(tǒng)運行的。

2.3 網(wǎng)絡安全防護不到位，加劇了勒索軟件的全球蔓延

較弱的網(wǎng)絡安全防護能力在客觀上加劇了勒索軟件在全球的蔓延。 WannaCry 屬于“蠕蟲式”勒索軟件，對于企業(yè)局域網(wǎng)或內(nèi)網(wǎng)的主機系統(tǒng)破壞性尤其嚴重，然而，包括我國在內(nèi)的全球諸多國家在架構安全和被動防御層面，目前仍存在嚴重的先天基礎不足，過份重視網(wǎng)絡邊界防御而輕視內(nèi)網(wǎng)防護，終端準入控制、終端主動防御、終端安全審計能力普遍不強。 一旦勒索軟件通過釣魚郵件、網(wǎng)頁掛馬等方式突破網(wǎng)絡防御邊界進入內(nèi)網(wǎng)， 就極易造成應用單位“一點攻破、全線失守” 的局面。

2.4 威懾全球的霸權主義是引發(fā)事件的罪魁禍首

美國一貫堅持威懾全球的網(wǎng)絡空間安全戰(zhàn)略，為了鞏固其網(wǎng)絡空間的霸主地位，高度重視研發(fā)進攻性網(wǎng)絡武器來威懾可能對美產(chǎn)生重大威脅的網(wǎng)絡攻擊，或其它惡意網(wǎng)絡活動。 NSA 的高級官員曾透露，美國聯(lián)邦政府九成以上的網(wǎng)絡項目經(jīng)費用于攻擊性項目，如挖掘操作系統(tǒng)、數(shù)據(jù)庫、路由器等基礎軟硬件漏洞，研發(fā)針對性的軍火級攻擊平臺、漏洞利用工具和惡意代碼、監(jiān)聽通訊網(wǎng)絡等。早在 2013 年，美國網(wǎng)絡武器就已超過 2000 種，部分網(wǎng)絡武器無需用戶任何操作，即可入侵聯(lián)網(wǎng)電腦，像沖擊波、震蕩波等著名蠕蟲一樣瞬間血洗互聯(lián)網(wǎng)。美國奉行的網(wǎng)絡威懾戰(zhàn)略，使其囤積了大量高危網(wǎng)絡漏洞和強大網(wǎng)絡武器，不僅刺激了全球國家開展網(wǎng)絡軍備，大大提升了網(wǎng)絡戰(zhàn)局部爆發(fā)的風險，也最終導致了此次全球規(guī)模的勒索軟件攻擊事件。

3 勒索軟件 WannaCry 網(wǎng)絡攻擊潛在影響巨大

3.1 關鍵信息基礎設施網(wǎng)絡安全風險居高不下

此次勒索軟件 WannaCry 攻擊事件的波及范圍十分廣泛，包括西班牙電力公司 Iberdrola、天然氣公司 Gas Natural， 德國德累斯頓火車站，以及俄羅斯內(nèi)政部及其第二大電信運營商Megafon等在內(nèi)的多個國家的電力、石油、交通運輸?shù)阮I域，關鍵信息基礎設施領域也受到影響。盡管 WannaCry 的傳播速度已大為放緩，但考慮到關鍵信息基礎設施領域的工業(yè)主機（如操作站、工程師站、歷史服務器等）仍在廣泛使用通用 Windows 操作系統(tǒng)，尤其是默認開放 445端口的 Windows 2000 和 Windows XP 系統(tǒng)大量存在，極有可能被 WannaCry 利用漏洞進行入侵攻擊，并迅速蔓延至企業(yè)內(nèi)網(wǎng)甚至工業(yè)控制網(wǎng)絡，導致企業(yè)重要文件被加密、生產(chǎn)、運行等敏感數(shù)據(jù)無法正常采集和讀取，造成整個企業(yè)內(nèi)網(wǎng)的癱瘓。這不僅會對工業(yè)生產(chǎn)造成嚴重經(jīng)濟損失，還可能嚴重影響人民群眾的財產(chǎn)安全。由于關鍵信息基礎設施領域使用的通用Windows 操作系統(tǒng)，在補丁升級、防護更新方面技術難度和資金成本較高，在未來相當長的一段時間內(nèi)，關鍵信息基礎設施領域的安全風險仍將居高不下。

3.2 網(wǎng)絡攻擊產(chǎn)生的“破窗效應”進一步顯現(xiàn)

一 方 面 ， 美 國 國 家 安 全 局 （ N S A ） 、 中央情報局（CIA）等網(wǎng)絡安全機構泄露了包括Android、 iPhone、 Windows PC、 Mac、三星電視等設備的安全漏洞和利用工具，以及感染USB 閃存盤的惡意軟件等一大批網(wǎng)絡武器。“影子經(jīng)紀人”還宣布， 將從 6月份開始，每月出售 NSA 的 Web 瀏覽器、路由器和手機漏洞和相應的攻擊工具，以及針對 Windows 10 的 0 day漏洞和相應利用技術?？紤]到網(wǎng)絡武器復制成本幾乎為零的特點，以及美國情報機構網(wǎng)絡武器的強大攻擊力，泄露的網(wǎng)絡武器能滿足絕大多數(shù)個人、組織甚至國家實施高破壞性、強針對性網(wǎng)絡攻擊的需求，使得發(fā)起國家級網(wǎng)絡攻擊的門檻大幅降低。

另一方面，美國研發(fā)的網(wǎng)絡武器為了避免追蹤，多采取高度“模塊化”的工具編寫方式，模糊了攻擊者的攻擊特點；其具備的“防追溯”、“嫁禍”等功能，也大大增加了成功追溯到攻擊發(fā)動者的難度，從而進一步減小了攻擊者的后顧之憂，WannaCry 網(wǎng)絡攻擊發(fā)動者能躲過英、美等國家的重重網(wǎng)絡追捕即是例證。在強大的“網(wǎng)絡軍火”支持和“無責任”網(wǎng)絡攻擊的刺激下，各種以情報獲取、資金攫取等為目的規(guī)?；?、針對性的網(wǎng)絡攻擊，必將顯著增多。

3.3 全球新一輪網(wǎng)絡軍備競賽恐將上演

當前，美國聯(lián)邦政府將九成以上的網(wǎng)絡項目經(jīng)費用于提升網(wǎng)絡攻擊能力， NSA、 CIA等國家網(wǎng)絡安全機構更是無節(jié)制地研發(fā)各類進攻性網(wǎng)絡武器。然而，美國政府沒能有效履行妥善管理網(wǎng)絡武器的國際義務，其泄露的軍火級攻擊平臺、漏洞利用工具和惡意代碼，以及攻擊思路，已成為威脅全球基礎互聯(lián)網(wǎng)安全、破壞網(wǎng)絡空間安全穩(wěn)定的重要因素?？紤]到 NSA 泄露的一種網(wǎng)絡武器就能產(chǎn)生全球規(guī)模的網(wǎng)絡攻擊后果，世界各國為了提升網(wǎng)絡空間話語權、避免重蹈覆轍，勢必會加強網(wǎng)絡安全領域的資金、人力投入，著力推進針對 NSA、 CIA 泄露的網(wǎng)絡武器的分析工作，研究針對性的抵御方法和網(wǎng)絡防御武器，甚至以泄露的網(wǎng)絡武器為基礎，研發(fā)形成新的網(wǎng)絡攻擊“殺手锏”，構建特定國家專屬的網(wǎng)絡武器庫，新一輪恐慌性全球網(wǎng)絡軍備競賽恐難避免。

4 應對之策

4.1 重技術，強化網(wǎng)絡空間安全防御能力建設

面對將來可能集中爆發(fā)的高破壞性、強針對性網(wǎng)絡攻擊，我們應重點提升國家網(wǎng)絡空間安全防御能力。

一是強化網(wǎng)絡漏洞發(fā)現(xiàn)能力。支持網(wǎng)絡安全企業(yè)和科研院所創(chuàng)新漏洞挖掘技術，鼓勵網(wǎng)絡安全研究機構、白帽子黑客等加大針對操作系統(tǒng)、數(shù)據(jù)庫、信息系統(tǒng)、通信協(xié)議等的漏洞挖掘工作，對發(fā)現(xiàn)的漏洞進行快速定位和風險評估，研究形成解決方案。

二是加強網(wǎng)絡武器攻擊應對能力。支持國內(nèi)網(wǎng)絡安全研究機構加大對美國泄露網(wǎng)絡武器的跟蹤研究，分析網(wǎng)絡武器的攻擊思路、攻擊目標、攻擊過程、攻擊效果，加強對其衍生武器的模擬分析，盡快研究形成針對美國系列網(wǎng)絡武器的應對方案。

三是提升網(wǎng)絡攻擊溯源能力。組織國內(nèi)網(wǎng)絡安全研究機構開展基于匿名網(wǎng)絡的惡意代碼追蹤、網(wǎng)絡攻擊溯源和阻斷等技術難題的聯(lián)合攻關，推動網(wǎng)絡攻擊溯源技術盡快實現(xiàn)突破，強化打擊網(wǎng)絡犯罪的支撐能力。

4.2 嚴監(jiān)管，消減關鍵信息基礎設施安全隱患

沒有及時對系統(tǒng)漏洞進行補丁升級，是我國各領域關鍵信息基礎設施遭受勒索攻擊的重要原因。面對居高不下的網(wǎng)絡安全風險，我國應進一步落實關鍵信息基礎設施的安全監(jiān)管工作。

一是在全國范圍內(nèi)對關鍵信息基礎設施網(wǎng)絡安全檢查形成常態(tài)化，通過指導并監(jiān)督地方開展安全自查，組織專業(yè)隊伍對重點系統(tǒng)開展安全抽查等方式，排查關鍵信息基礎設施的網(wǎng)絡安全風險隱患，督促運營單位及時處置系統(tǒng)漏洞，強化系統(tǒng)安全防護，消減安全風險。

二是建立健全關鍵信息基礎設施網(wǎng)絡安全應急機制，推動關鍵信息基礎設施運營單位制定網(wǎng)絡安全事件應急預案，定期組織開展網(wǎng)絡安全應急演練，及時總結攻防演練情況，加強落實整改，變被動防御為主動防御，提高突發(fā)網(wǎng)絡安全事件的應對能力。

4.3 謀合作，共建網(wǎng)絡空間國際新秩序

面對日益泛濫的網(wǎng)絡武器和日益囂張的網(wǎng)絡犯罪，我國應著力加強與各國的網(wǎng)絡安全合作，協(xié)同應對，形成合力。

一是推動在聯(lián)合國框架下制定各國普遍接受的防范網(wǎng)絡武器擴散的國際公約，確立國家及各行為體在防范網(wǎng)絡武器擴散方面的基本準則，明確國際禁運、禁用的網(wǎng)絡武器清單。

二是積極開展雙邊、多邊對話，謀求制定符合各國利益的網(wǎng)絡空間武器使用規(guī)范，不率先利用網(wǎng)絡武器攻擊關鍵信息基礎設施。

三是支持并推動聯(lián)合國開展打擊網(wǎng)絡犯罪的工作，參與聯(lián)合國預防犯罪和刑事司法委員會、聯(lián)合國網(wǎng)絡犯罪問題政府專家組等機構的工作，推動在聯(lián)合國框架下討論并制定打擊網(wǎng)絡犯罪的全球性國際法律文書，明確網(wǎng)絡犯罪的懲罰條款，強化對網(wǎng)絡犯罪的懲治力度，提高網(wǎng)絡罪犯的違法成本。

5 結束語

本文重點分析了勒索軟件WannaCry攻擊事件的原因，研判了“后WannaCry”時期的全球網(wǎng)絡安全形勢，并提出了幾點針對性的措施建議，即強化網(wǎng)絡空間安全防御能力建設，消減關鍵信息基礎設施安全隱患，共建網(wǎng)絡空間國際新秩序。

關注讀覽天下微信， 100萬篇深度好文， 等你來看……