劉權(quán) 王超

摘 要：2017年5月12日，全球爆發(fā)了大規(guī)模的勒索軟件攻擊事件，包括英國(guó)、俄羅斯、中國(guó)、美國(guó)等在內(nèi)的 150 個(gè)國(guó)家超過(guò) 30 萬(wàn)臺(tái)電腦受到勒索軟件 WannaCry 攻擊， 對(duì)能源、電力、交通、醫(yī)療等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施造成嚴(yán)重影響。鑒于此次事件對(duì)全球網(wǎng)絡(luò)空間造成嚴(yán)重危害，有必要對(duì)其根源進(jìn)行深入分析，研判“后WannaCry”時(shí)期的網(wǎng)絡(luò)安全形勢(shì)，并提出針對(duì)性的措施建議。

關(guān)鍵詞：勒索軟件；WannaCry；關(guān)鍵信息基礎(chǔ)設(shè)施；網(wǎng)絡(luò)安全形勢(shì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

The ransomware attacks may lead to the escalation

of the cyberspace arms race

Abstract： In May 12， 2017， massive ransomware attacks broke out around the world， UK，Britain， Russia， China， the United States and other 150 countriess more than 300 thousand computers suffered WannaCry ransomware attacks， the impact range affects critical information infrastructure in the fields of energy， electricity， transportation ，healthcare and other fields. Considering the incident has caused serious damage to the global cyberspace， it is necessary to make an in-depth analysis of its root causes， study the cyberspace security situation during the post WannaCry era， and put forward specific measures and suggestions.

Key words： ransomware； WannaCry， critical information infrastructure， cyberspace security situation

1 引言

2017 年 5 月 12 日，全球爆發(fā)大規(guī)模勒索軟件 WannaCry 攻擊事件，超過(guò) 30 萬(wàn)臺(tái)電腦受到攻擊，波及包括英國(guó)、俄羅斯、中國(guó)、美國(guó)等在內(nèi)的 150 個(gè)國(guó)家，涉及能源、電力、交通、醫(yī)療、 教育等多個(gè)重點(diǎn)行業(yè)領(lǐng)域。作為 NSA 網(wǎng)絡(luò)軍火民用化的全球第一例， WannaCry 勒索軟件利用微軟 SMB 遠(yuǎn)程代碼執(zhí)行漏洞 MSl7-010，并基于 445 端口迅速傳播擴(kuò)散，無(wú)需用戶任何操作，即可實(shí)現(xiàn)系統(tǒng)入侵，對(duì)用戶主機(jī)系統(tǒng)內(nèi)的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件實(shí)施加密，并向用戶勒索比特幣“贖金”。 此次事件給全球網(wǎng)絡(luò)安全造成嚴(yán)重危害，有必要對(duì)其根源進(jìn)行深入分析， 并研判“后WannaCry”時(shí)期的網(wǎng)絡(luò)安全形勢(shì)， 以便為我國(guó)網(wǎng)絡(luò)空間防御能力建設(shè)提供借鑒與參考。

2 勒索軟件WannaCry肆虐全球的原因

2.1 NSA 網(wǎng)絡(luò)武器被公開，點(diǎn)燃攻擊事件導(dǎo)火索

2017 年 4 月 14 日，黑客組織 Shadow Brokers （影子經(jīng)紀(jì)人）公布了 NSA（美國(guó)國(guó)家安全局）旗下 Equation Group（方程式組織）使用的網(wǎng)絡(luò)武器庫(kù)，涉及多個(gè) Windows 系統(tǒng)服務(wù)（SMB、RDP、 IIS）的遠(yuǎn)程命令執(zhí)行工具。事件發(fā)生不足一個(gè)月，泄露的網(wǎng)絡(luò)武器引發(fā)全球規(guī)模的勒索軟件攻擊。據(jù)安天實(shí)驗(yàn)室、 360追日?qǐng)F(tuán)隊(duì)、卡巴斯基等國(guó)內(nèi)外網(wǎng)絡(luò)安全研究機(jī)構(gòu)分析，作為此次攻擊事件的主角，勒索軟件 WannaCry 利用微軟 SMB 遠(yuǎn)程代碼執(zhí)行漏洞 MSl7-010，并基于 445 端口實(shí)施攻擊，其攻擊原理與 Shadow Brokers 公布的名為“永恒之藍(lán)”（EtemalBlue）的漏洞利用工具的實(shí)現(xiàn)原理極為相似。據(jù)推測(cè)，攻擊發(fā)起者在借鑒 NSA網(wǎng)絡(luò)武器攻擊原理的基礎(chǔ)上，研發(fā)形成了新的勒索軟件WannaCry，并借此發(fā)動(dòng)了此次大規(guī)模網(wǎng)絡(luò)攻擊

2.2 系統(tǒng)漏洞修復(fù)不及時(shí)，為勒索軟件傳播留下了通道

網(wǎng)絡(luò)安全研究機(jī)構(gòu)分析顯示， WannaCry 利用了微軟操作系統(tǒng) SMB 遠(yuǎn)程代碼執(zhí)行漏洞 MSl7-010， 其攻擊范圍覆蓋了Windows 10 之外的幾乎所有 Windows 操作系統(tǒng)，過(guò)低的操作系統(tǒng)漏洞修復(fù)率為此次全球規(guī)模的勒索襲擊提供了可乘之機(jī)。雖然，微軟已于 2017 年 3 月發(fā)布了 MSl7-010 漏洞的補(bǔ)丁，但是廣大企業(yè)和個(gè)人用戶沒有及時(shí)升級(jí) Windows 7 系統(tǒng)，加之Windows XP、 Windows 8、 Windows Server 2003 等無(wú)法獲得漏洞補(bǔ)丁的操作系統(tǒng)仍在廣泛使用，導(dǎo)致全球存在大量的可攻擊目標(biāo)。據(jù)安全評(píng)級(jí)公司 BitSight 的調(diào)查數(shù)據(jù)顯示，全球約 67%的被感染電腦都是基于 Windows 7 操作系統(tǒng)運(yùn)行的。

2.3 網(wǎng)絡(luò)安全防護(hù)不到位，加劇了勒索軟件的全球蔓延

較弱的網(wǎng)絡(luò)安全防護(hù)能力在客觀上加劇了勒索軟件在全球的蔓延。 WannaCry 屬于“蠕蟲式”勒索軟件，對(duì)于企業(yè)局域網(wǎng)或內(nèi)網(wǎng)的主機(jī)系統(tǒng)破壞性尤其嚴(yán)重，然而，包括我國(guó)在內(nèi)的全球諸多國(guó)家在架構(gòu)安全和被動(dòng)防御層面，目前仍存在嚴(yán)重的先天基礎(chǔ)不足，過(guò)份重視網(wǎng)絡(luò)邊界防御而輕視內(nèi)網(wǎng)防護(hù)，終端準(zhǔn)入控制、終端主動(dòng)防御、終端安全審計(jì)能力普遍不強(qiáng)。 一旦勒索軟件通過(guò)釣魚郵件、網(wǎng)頁(yè)掛馬等方式突破網(wǎng)絡(luò)防御邊界進(jìn)入內(nèi)網(wǎng)， 就極易造成應(yīng)用單位“一點(diǎn)攻破、全線失守” 的局面。

2.4 威懾全球的霸權(quán)主義是引發(fā)事件的罪魁禍?zhǔn)?/p>

美國(guó)一貫堅(jiān)持威懾全球的網(wǎng)絡(luò)空間安全戰(zhàn)略，為了鞏固其網(wǎng)絡(luò)空間的霸主地位，高度重視研發(fā)進(jìn)攻性網(wǎng)絡(luò)武器來(lái)威懾可能對(duì)美產(chǎn)生重大威脅的網(wǎng)絡(luò)攻擊，或其它惡意網(wǎng)絡(luò)活動(dòng)。 NSA 的高級(jí)官員曾透露，美國(guó)聯(lián)邦政府九成以上的網(wǎng)絡(luò)項(xiàng)目經(jīng)費(fèi)用于攻擊性項(xiàng)目，如挖掘操作系統(tǒng)、數(shù)據(jù)庫(kù)、路由器等基礎(chǔ)軟硬件漏洞，研發(fā)針對(duì)性的軍火級(jí)攻擊平臺(tái)、漏洞利用工具和惡意代碼、監(jiān)聽通訊網(wǎng)絡(luò)等。早在 2013 年，美國(guó)網(wǎng)絡(luò)武器就已超過(guò) 2000 種，部分網(wǎng)絡(luò)武器無(wú)需用戶任何操作，即可入侵聯(lián)網(wǎng)電腦，像沖擊波、震蕩波等著名蠕蟲一樣瞬間血洗互聯(lián)網(wǎng)。美國(guó)奉行的網(wǎng)絡(luò)威懾戰(zhàn)略，使其囤積了大量高危網(wǎng)絡(luò)漏洞和強(qiáng)大網(wǎng)絡(luò)武器，不僅刺激了全球國(guó)家開展網(wǎng)絡(luò)軍備，大大提升了網(wǎng)絡(luò)戰(zhàn)局部爆發(fā)的風(fēng)險(xiǎn)，也最終導(dǎo)致了此次全球規(guī)模的勒索軟件攻擊事件。

3 勒索軟件 WannaCry 網(wǎng)絡(luò)攻擊潛在影響巨大

3.1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)居高不下

此次勒索軟件 WannaCry 攻擊事件的波及范圍十分廣泛，包括西班牙電力公司 Iberdrola、天然氣公司 Gas Natural， 德國(guó)德累斯頓火車站，以及俄羅斯內(nèi)政部及其第二大電信運(yùn)營(yíng)商 Megafon等在內(nèi)的多個(gè)國(guó)家的電力、石油、交通運(yùn)輸?shù)阮I(lǐng)域，關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域也受到影響。盡管 WannaCry 的傳播速度已大為放緩，但考慮到關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的工業(yè)主機(jī)（如操作站、工程師站、歷史服務(wù)器等）仍在廣泛使用通用 Windows 操作系統(tǒng)，尤其是默認(rèn)開放 445 端口的 Windows 2000 和 Windows XP 系統(tǒng)大量存在，極有可能被 WannaCry 利用漏洞進(jìn)行入侵攻擊，并迅速蔓延至企業(yè)內(nèi)網(wǎng)甚至工業(yè)控制網(wǎng)絡(luò)，導(dǎo)致企業(yè)重要文件被加密、生產(chǎn)、運(yùn)行等敏感數(shù)據(jù)無(wú)法正常采集和讀取，造成整個(gè)企業(yè)內(nèi)網(wǎng)的癱瘓。這不僅會(huì)對(duì)工業(yè)生產(chǎn)造成嚴(yán)重經(jīng)濟(jì)損失，還可能嚴(yán)重影響人民群眾的財(cái)產(chǎn)安全。由于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域使用的通用Windows 操作系統(tǒng)，在補(bǔ)丁升級(jí)、防護(hù)更新方面技術(shù)難度和資金成本較高，在未來(lái)相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)，關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的安全風(fēng)險(xiǎn)仍將居高不下。

3.2 網(wǎng)絡(luò)攻擊產(chǎn)生的“破窗效應(yīng)”進(jìn)一步顯現(xiàn)

一方面，美國(guó)國(guó)家安全局（NSA）、中央情報(bào)局（CIA）等網(wǎng)絡(luò)安全機(jī)構(gòu)泄露了包括 Android、 iPhone、 Windows PC、 Mac、三星電視等設(shè)備的安全漏洞和利用工具，以及感染 USB 閃存盤的惡意軟件等一大批網(wǎng)絡(luò)武器?！?影子經(jīng)紀(jì)人”還宣布， 將從 6月份開始，每月出售 NSA 的 Web 瀏覽器、路由器和手機(jī)漏洞和相應(yīng)的攻擊工具，以及針對(duì) Windows 10 的 0 day 漏洞和相應(yīng)利用技術(shù)?？紤]到網(wǎng)絡(luò)武器復(fù)制成本幾乎為零的特點(diǎn)，以及美國(guó)情報(bào)機(jī)構(gòu)網(wǎng)絡(luò)武器的強(qiáng)大攻擊力，泄露的網(wǎng)絡(luò)武器能滿足絕大多數(shù)個(gè)人、組織甚至國(guó)家實(shí)施高破壞性、強(qiáng)針對(duì)性網(wǎng)絡(luò)攻擊的需求，使得發(fā)起國(guó)家級(jí)網(wǎng)絡(luò)攻擊的門檻大幅降低。

另一方面，美國(guó)研發(fā)的網(wǎng)絡(luò)武器為了避免追蹤，多采取高度“模塊化”的工具編寫方式，模糊了攻擊者的攻擊特點(diǎn)；其具備的“防追溯”、“嫁禍”等功能，也大大增加了成功追溯到攻擊發(fā)動(dòng)者的難度，從而進(jìn)一步減小了攻擊者的后顧之憂，WannaCry 網(wǎng)絡(luò)攻擊發(fā)動(dòng)者能躲過(guò)英、美等國(guó)家的重重網(wǎng)絡(luò)追捕即是例證。在強(qiáng)大的“網(wǎng)絡(luò)軍火”支持和“無(wú)責(zé)任”網(wǎng)絡(luò)攻擊的刺激下，各種以情報(bào)獲取、資金攫取等為目的規(guī)?；?、針對(duì)性的網(wǎng)絡(luò)攻擊，必將顯著增多。

3.3 全球新一輪網(wǎng)絡(luò)軍備競(jìng)賽恐將上演

當(dāng)前，美國(guó)聯(lián)邦政府將九成以上的網(wǎng)絡(luò)項(xiàng)目經(jīng)費(fèi)用于提升網(wǎng)絡(luò)攻擊能力， NSA、 CIA等國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu)更是無(wú)節(jié)制地研發(fā)各類進(jìn)攻性網(wǎng)絡(luò)武器。然而，美國(guó)政府沒能有效履行妥善管理網(wǎng)絡(luò)武器的國(guó)際義務(wù)，其泄露的軍火級(jí)攻擊平臺(tái)、漏洞利用工具和惡意代碼，以及攻擊思路，已成為威脅全球基礎(chǔ)互聯(lián)網(wǎng)安全、破壞網(wǎng)絡(luò)空間安全穩(wěn)定的重要因素。考慮到 NSA 泄露的一種網(wǎng)絡(luò)武器就能產(chǎn)生全球規(guī)模的網(wǎng)絡(luò)攻擊后果，世界各國(guó)為了提升網(wǎng)絡(luò)空間話語(yǔ)權(quán)、避免重蹈覆轍，勢(shì)必會(huì)加強(qiáng)網(wǎng)絡(luò)安全領(lǐng)域的資金、人力投入，著力推進(jìn)針對(duì) NSA、 CIA 泄露的網(wǎng)絡(luò)武器的分析工作，研究針對(duì)性的抵御方法和網(wǎng)絡(luò)防御武器，甚至以泄露的網(wǎng)絡(luò)武器為基礎(chǔ)，研發(fā)形成新的網(wǎng)絡(luò)攻擊“殺手锏”，構(gòu)建特定國(guó)家專屬的網(wǎng)絡(luò)武器庫(kù)，新一輪恐慌性全球網(wǎng)絡(luò)軍備競(jìng)賽恐難避免。

4 應(yīng)對(duì)之策

4.1 重技術(shù)，強(qiáng)化網(wǎng)絡(luò)空間安全防御能力建設(shè)

面對(duì)將來(lái)可能集中爆發(fā)的高破壞性、強(qiáng)針對(duì)性網(wǎng)絡(luò)攻擊，我們應(yīng)重點(diǎn)提升國(guó)家網(wǎng)絡(luò)空間安全防御能力。

一是強(qiáng)化網(wǎng)絡(luò)漏洞發(fā)現(xiàn)能力。支持網(wǎng)絡(luò)安全企業(yè)和科研院所創(chuàng)新漏洞挖掘技術(shù)，鼓勵(lì)網(wǎng)絡(luò)安全研究機(jī)構(gòu)、白帽子黑客等加大針對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、信息系統(tǒng)、通信協(xié)議等的漏洞挖掘工作，對(duì)發(fā)現(xiàn)的漏洞進(jìn)行快速定位和風(fēng)險(xiǎn)評(píng)估，研究形成解決方案。

二是加強(qiáng)網(wǎng)絡(luò)武器攻擊應(yīng)對(duì)能力。支持國(guó)內(nèi)網(wǎng)絡(luò)安全研究機(jī)構(gòu)加大對(duì)美國(guó)泄露網(wǎng)絡(luò)武器的跟蹤研究，分析網(wǎng)絡(luò)武器的攻擊思路、攻擊目標(biāo)、攻擊過(guò)程、攻擊效果，加強(qiáng)對(duì)其衍生武器的模擬分析，盡快研究形成針對(duì)美國(guó)系列網(wǎng)絡(luò)武器的應(yīng)對(duì)方案。

三是提升網(wǎng)絡(luò)攻擊溯源能力。組織國(guó)內(nèi)網(wǎng)絡(luò)安全研究機(jī)構(gòu)開展基于匿名網(wǎng)絡(luò)的惡意代碼追蹤、網(wǎng)絡(luò)攻擊溯源和阻斷等技術(shù)難題的聯(lián)合攻關(guān)，推動(dòng)網(wǎng)絡(luò)攻擊溯源技術(shù)盡快實(shí)現(xiàn)突破，強(qiáng)化打擊網(wǎng)絡(luò)犯罪的支撐能力。

4.2 嚴(yán)監(jiān)管，消減關(guān)鍵信息基礎(chǔ)設(shè)施安全隱患

沒有及時(shí)對(duì)系統(tǒng)漏洞進(jìn)行補(bǔ)丁升級(jí)，是我國(guó)各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施遭受勒索攻擊的重要原因。面對(duì)居高不下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，我國(guó)應(yīng)進(jìn)一步落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施的安全監(jiān)管工作。

一是在全國(guó)范圍內(nèi)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查形成常態(tài)化，通過(guò)指導(dǎo)并監(jiān)督地方開展安全自查，組織專業(yè)隊(duì)伍對(duì)重點(diǎn)系統(tǒng)開展安全抽查等方式，排查關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，督促運(yùn)營(yíng)單位及時(shí)處置系統(tǒng)漏洞，強(qiáng)化系統(tǒng)安全防護(hù)，消減安全風(fēng)險(xiǎn)。

二是建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急機(jī)制，推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織開展網(wǎng)絡(luò)安全應(yīng)急演練，及時(shí)總結(jié)攻防演練情況，加強(qiáng)落實(shí)整改，變被動(dòng)防御為主動(dòng)防御，提高突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)對(duì)能力。

4.3 謀合作，共建網(wǎng)絡(luò)空間國(guó)際新秩序

面對(duì)日益泛濫的網(wǎng)絡(luò)武器和日益囂張的網(wǎng)絡(luò)犯罪，我國(guó)應(yīng)著力加強(qiáng)與各國(guó)的網(wǎng)絡(luò)安全合作，協(xié)同應(yīng)對(duì)，形成合力。

一是推動(dòng)在聯(lián)合國(guó)框架下制定各國(guó)普遍接受的防范網(wǎng)絡(luò)武器擴(kuò)散的國(guó)際公約，確立國(guó)家及各行為體在防范網(wǎng)絡(luò)武器擴(kuò)散方面的基本準(zhǔn)則，明確國(guó)際禁運(yùn)、禁用的網(wǎng)絡(luò)武器清單。

二是積極開展雙邊、多邊對(duì)話，謀求制定符合各國(guó)利益的網(wǎng)絡(luò)空間武器使用規(guī)范，不率先利用網(wǎng)絡(luò)武器攻擊關(guān)鍵信息基礎(chǔ)設(shè)施。

三是支持并推動(dòng)聯(lián)合國(guó)開展打擊網(wǎng)絡(luò)犯罪的工作，參與聯(lián)合國(guó)預(yù)防犯罪和刑事司法委員會(huì)、 聯(lián)合國(guó)網(wǎng)絡(luò)犯罪問題政府專家組等機(jī)構(gòu)的工作，推動(dòng)在聯(lián)合國(guó)框架下討論并制定打擊網(wǎng)絡(luò)犯罪的全球性國(guó)際法律文書，明確網(wǎng)絡(luò)犯罪的懲罰條款，強(qiáng)化對(duì)網(wǎng)絡(luò)犯罪的懲治力度，提高網(wǎng)絡(luò)罪犯的違法成本。

5 結(jié)束語(yǔ)

本文重點(diǎn)分析了勒索軟件WannaCry攻擊事件的原因，研判了“后WannaCry”時(shí)期的全球網(wǎng)絡(luò)安全形勢(shì)，并提出了幾點(diǎn)針對(duì)性的措施建議，即強(qiáng)化網(wǎng)絡(luò)空間安全防御能力建設(shè)，消減關(guān)鍵信息基礎(chǔ)設(shè)施安全隱患，共建網(wǎng)絡(luò)空間國(guó)際新秩序。

參考文獻(xiàn)

[1] 沈逸.武器級(jí)勒索軟件催生全球網(wǎng)絡(luò)空間防擴(kuò)散機(jī)制建設(shè)契機(jī)[J]. 信息安全與通信保密， 2017（9）：33-39.

[2] 徐金偉，郝軍雷，劉權(quán)峰，等.智能制造企業(yè)應(yīng)對(duì)新型安全威脅“勒索軟件”探討[J].信息安全與技術(shù)， 2017， 8（8）：6-11.

[3] 黃道麗，何治樂，原浩.打擊勒索軟件的法律思考[J].中國(guó)信息安全， 2017（4）：70-72.

[4] 于世梁.警惕網(wǎng)絡(luò)軍備競(jìng)賽 維護(hù)網(wǎng)絡(luò)空間安全——由勒索病毒W(wǎng)annaCry肆虐引發(fā)的思考[J]. 湖北行政學(xué)院學(xué)報(bào)， 2017（4）：49-53.

[5] 周宏仁.共同構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體[J].信息安全與通信保密， 2017（10）：9-9.

[6] 閆曉麗.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)應(yīng)把握幾個(gè)要點(diǎn)[J].中國(guó)信息安全， 2017（8）：39-40.