WannaCry:新瓶装老酒
本周五大肆爆发的 WannaCry勒索软件攻击是迄今为止我们看到的同时将蠕虫技术和勒索软件商业模式很好的融合在一起的一次攻击。借助数周前公开的“永恒之蓝”漏洞利用工具,攻击数千台没有安装补丁的MS-17-010 Windows 操作系统漏洞,使得 WannaCry 在短短一天之内感染了数万台计算机,覆盖不同行业、横跨几大洲。而且,和其它典型的勒索软件攻击不同的是,这些攻击几乎或根本没有人工干预。
博采众长,极少的人工干预
WannaCry 之所以这么成功,源自于它能够通过利用网络上众多存在漏洞的机器扩大攻击的能力。这次攻击的影响力远远超过我们所看到的传统数据勒索软件攻击。
我们当前所看到的几乎所有勒索软件都是通过鱼叉式网络钓鱼来攻击每个用户,即用户收到一封伪装成来自合法来源的电子邮件,诱使用户点击其中的链接或附件,下载恶意代码并在受害者的系统中执行该代码。这种勒索软件攻击只会对感染此代码的计算机产生影响。
我们可以回想下 90 年代后期及 00 年代初期,那时比较有代表性的蠕虫有 Code Red、NIMDA 和 SQL Slammer,这些蠕虫能够非常快速地进行传播,因为它们不需要任何人采取任何行动才能激活机器上的恶意软件。WannaCry 的情形非常类似。
我们还在努力确定“零号病人”是如何感染此勒索软件的,但是可以肯定的是,一旦它被感染,如果网络中的其它机器还没有安装 MS-17-010 的漏洞补丁,它们会很快被感染。
不同于窃取数据或破坏其它机器,WannaCry 采取的是经典的勒索软件攻击,加密文件然后索要赎金。这一攻击本质上是将两种技术结合在一起,然后产生指数效应的影响力和破坏力。
多年来关于网络犯罪的研究使我们了解到,一旦某一技术被证明有效,将会很快地被复制。鉴于 WannaCry 取得了如此傲人的成绩,我们有理由相信很快将会有其他攻击者复制此技术并寻找其它机会。对于黑客们来说,这一攻击的难点之一是用户的软件中必须有一个能够触发蠕虫攻击的漏洞。
这一攻击的独特之处在于有一个微软已经打补丁的关键漏洞,以及一个在公共域中结束的活跃的漏洞利用,这两者结合为攻击者们创造了机会和蓝图来制作这一具有蠕虫功能的勒索软件。
漏洞利用的沃土
90 年代晚期,在机器上运行所有类型的软件已成为惯例,即使有些根本不会用到。举例来说,当时某个蠕虫就是利用在某一打印服务器上的漏洞,当时所有的服务器中默认都会包括一个打印服务器,即使系统配置中根本就没有打印机。这种做法使得蠕虫能够攻击网络中所有连接这一打印机端口的服务器,使蠕虫能够通过网络快速传播,感染一个又一个系统。
在此之后,解决这一问题的惯用做法是被称之为“最小权限”的方法,仅当企业或组织需要完成基于某特定角色的任务或功能时,才允许在机器或网络中运行某个应用程序或服务来执行相关工作。最小权限降低了传统蠕虫的感染机会,但未修补的漏洞则可以模仿这一可以用于漏洞利用攻击的“开放”元素,特别是当这种漏洞能够实现在系统中进行文件传输或共享。
如果没有所有未打补丁的漏洞,没有公开发布的漏洞利用技术,以及攻击者可以使用的成功的勒索软件技术和策略,想要发动类似 WannaCry 的攻击将非常困难。
打补丁还是不打补丁
WannaCry 给我们带来的最大警示就是快速打补丁的重要性。有些 IT 部门对打补丁比较犹豫或者需要执行一个内部质保流程才能安装补丁的部分原因,是要确保不会出现软件不兼容问题。关于这个问题,我是这样想的:只要出现需要安装的补丁,就会有风险——打补丁会有风险,不打补丁也会有风险。IT 经理需要了解和评估的是,哪种风险对您的组织影响更大。
推迟打补丁,将会缓解应用程序不兼容的风险,但同时也增加了漏洞利用攻击的风险。IT 部门需要了解每一个补丁带来的风险级别,然后再制定决策将这一风险对组织的影响降至最低。
WannaCry 及类似事件可能会改变这一分析结果。对于安全界来讲,我们常常遇到的一个问题是,缺少某一完整攻击的示例,因为有些攻击在执行过程中被好的防御措施阻止了。很多公司疏于打补丁可能就是因为他们还没有遭遇过类似利用漏洞的攻击,从而更加强化了他们推迟打补丁的行为。
如果说这起事件还有好处的话,那就是它提醒了我们需要采取积极主动的补丁部署计划,以减少环境中的漏洞。
为什么选择医院?
我把医院归类为具有“软性目标”的组织,因为医院普遍把注意力放在病人护理这一首要任务上,而不会太多地关注于是否拥有最好的网络安全人员和最佳的网络防御技术。
造成这一现状的原因是,传统上攻击医院对于网络犯罪分子来说带来的收益非常低。他们可以窃取病人的资料或其它数据,但这些数据通常没有攻击银行等金融业带来的收益高。
勒索软件之所以成为网络犯罪的一大业务模式,就是在于它提供了攻击任一组织的激励。基于勒索赎金的需求,犯罪分子通常会攻击那些防御比较薄弱的机构,而不是防御比较强的机构。这也是为什么我们看到在过去一年中,医院、学校甚至是警察局成为了勒索软件的对象。虽然我们现在也看到有些针对防御比较强的机构的攻击,但至少现在,对于犯罪分子来讲,攻击防御较弱的机构成功的机会更大。
接下来会怎么样?
尽管 WannaCry 是一个新攻击,我们需要思考的是,当发现某一漏洞,而且有相应的漏洞利用技术发布出来供攻击者使用时,我们就要时刻做好准备以应对可能发生的攻击,以及后续的若干复制型攻击。
关于迈克菲
迈克菲是全球领先的独立网络安全公司之一。秉承“联合就是力量”的精神,迈克菲致力于通过提供面向组织和个人用户的安全解决方案,让世界变得更加安全。www.mcafee.com/cn。
迈克菲客户支持热线:400-999-4510 或 800-810-6030。
联合就是力量
关注我们,了解更多安全技术和资讯。