到底是谁攻破了堡垒?——关于此次勒索病毒那些事儿

——关于此次勒索病毒那些事儿
作者:奥蜜罐来源:蝌蚪五线谱发布时间:2017-05-16

最坚固的堡垒,往往是从内部攻破的。

到底是谁攻破了堡垒?——关于此次勒索病毒那些事儿

勒索蠕虫病毒的勒索信息窗口(网络图)

  2017年5月12日,一款被称作“WannaCry”的勒索蠕虫病毒袭击了全球上百个国家和地区使用微软Windows操作系统的电脑。而与以往大家经历过的大规模扩散的病毒不同,仅仅经过周末两天的时间,它就对我们的生活造成了不小的影响——中石油在多地的加油站无法营业,一些医院的办公系统无法正常运行,某些公安局无法办理户口、交通局没办法交罚款,就连一些同学的毕业论文也要面临重写的悲剧……原本只是在新闻里听说,偶尔在同学电脑上见到的病毒,这次又是何德何能,让国内包括政府部门、医疗服务、公共交通、邮政、通信、汽车制造等多个领域同时出现了问题?

到底是谁攻破了堡垒?——关于此次勒索病毒那些事儿

额,中招了!(图源见水印)

  要解答这个问题,首先让我们简单了解下蠕虫病毒。

  蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序。2007年肆虐一时的熊猫烧香病毒,实际就是一种蠕虫病毒。大家可以把它想象成一只生活在计算机网络世界中的熊猫,每当它发现有一个房子的门是开着的时候,它就会偷偷溜进那个房间,然后使用分身术,开始在房子里拳打脚踢,甚至把房子给拆了。

到底是谁攻破了堡垒?——关于此次勒索病毒那些事儿

电影《功夫熊猫》剧照(网络图)

  而这一次的勒索蠕虫病毒,顾名思义,它每到一个新房子里之后,并不会拳打脚踢的搞破坏,嗯……毕竟大家都是文明人,能动嘴何必动手呢?所以,这一次,它改成绑票了——它自己有一个长长的目标名单,什么pdf、exe、sql、doc、ppt、xls等等数十种文件类型都在它的绑架范围里,一旦它在新房子里发现这些文件,就会统统打包,然后贴上价签,“300美元的比特币,童叟无欺!”

  但即便如此,它依然只是一个普普通通的蠕虫病毒,虽然从拆房子改行做起了绑匪,但套路还是老一套,为什么这一次却产生了这样大的影响呢?

  现在,让我们再次回顾一下,这一次中招的都是谁——医院系统、教育网、交通系统、公安网、政府的各个职能系统……无一例外,他们都有一个共同的特点,所有的系统或设备都运行在一个专用的内网里。不同于大家日常使用的国际互联网,专用网或企事业机关使用的内网往往具有较高的安全性和封闭性,通常假设有性能优异的硬件防火墙,完善的网络控制策略,以及更为纯净的网络环境。它就好像一座被高大的城墙围成的小镇,能让小镇里的居民远离外面的战火和瘟疫。

到底是谁攻破了堡垒?——关于此次勒索病毒那些事儿

防火墙概念图 (网络图)

  在理想状态下,内网拥有的强大的防火墙和网络控制策略,能够让内网的用户避免绝大多数来自互联网的病毒和攻击,而诸如医院系统、公安系统和政府各职能系统,更是拥有较为严格的互联网接入制度,和更严格的网络访问控制,以本次爆发的勒索蠕虫病毒为例,它需要通过445端口进行传播(也就是说计算机被感染的前提条件是该计算机的445端口是开放的),而大部分执行严格访问控制的内网(如金融系统、公安系统等)是限制端口访问的,因此,病毒不可能通过防火墙和网络设备直接入侵到内网。对于病毒来说,这几乎是一座坚不可摧的堡垒。

到底是谁攻破了堡垒?——关于此次勒索病毒那些事儿

坚固的城墙抵挡了大部分攻击(漫画《进击的巨人》,网络图)

  然而,世界上有这样一句话——最坚固的堡垒,往往是从内部攻破的。在严格的互联网访问控制的背景下,大多数内网的计算机并不能直接通过互联网及时获取Windows的系统安全补丁。而在坚固的城墙内生活的居民们,也因为这堵高墙的存在,渐渐忘记了对自身的防护,甚至可以说,在一些被高墙围住的镇子里,居民之间是完全“裸露”的。安全措施的更新延迟以及自身对计算机系统安全的忽视,使得病毒一旦从某种途径进入到内网,其蔓延速度往往都会比在互联网环境中更为迅速。这也是为什么这个病毒可以在短短的两天时间里,产生如此大影响的原因。

  那么,病毒又是如何入侵到内网中呢?很不幸,这依然要靠堡垒内部的力量,下面这个四格漫画,就像我们展示了这样的一个过程:

到底是谁攻破了堡垒?——关于此次勒索病毒那些事儿

关于病毒的故事(作者自制)

  如果自身缺乏网络安全意识,就无法应对互联网上千变万化的攻击手段。正如第3幅所发生的事,将互联网私自接入内网、利用U盘等传输途径将互联网上的文件复制到连接着内网的计算机,或是将接入内网的计算机私自带出内网环境接入到互联网环境,这些就都可以成为攻破堡垒的最致命的手段。

  也许对于大多数人来说,这仅仅又是一条新闻,或者是大家聚会时的谈资,但是请大家不要忘记,这个勒索蠕虫病毒利用的漏洞被称为永恒之蓝,它来自美国国家安全局网络武器库,是一种专门用来进行网络工作的军用级别的武器。而我们使用的Windows操作系统,至今还有成千上万个端口没有对世界其他国家公开,它们中的任何一个,都可能成为下一个永恒之蓝。信息时代的战争也正如这两天大家所见一样,没有所谓的前线和后方,也没有所谓的安全区,一旦遭受攻击,所有人的美好生活都将被毁灭。

  实际上,所谓的专用网和内网并不神秘,在当今社会,它几乎存在于我们工作、学习生活的每一个领域,而我们也或多或少都会在内网中活动。因此,为了我们共同的美好生活,少年,下次拆墙的时候要三思啊!

扫码加蝌蚪五线谱微信