勒索软件攻击事件或将引发网络军备竞赛升级

摘 要：2017年5月12日，全球爆发了大规模的勒索软件攻击事件，包括英国、俄罗斯、中国、美国等在内的 150 个国家超过 30 万台电脑受到勒索软件 WannaCry 攻击， 对能源、电力、交通、医疗等领域的关键信息基础设施造成严重影响。鉴于此次事件对全球网络空间造成严重危害，有必要对其根源进行深入分析，研判“后WannaCry”时期的网络安全形势，并提出针对性的措施建议。

关键词：勒索软件；WannaCry；关键信息基础设施；网络安全形势

中图分类号：TP393 文献标识码：A

The ransomware attacks may lead to the escalation of the cyberspace arms race

Liu Quan, Wang Chao

(Institute of Cyberspace of CCID, Beijing 100846)

Abstract In May 12, 2017, massive ransomware attacks broke out around the world, UK,Britain, Russia,China, the United States and other 150 countries’s more than 300 thousand computers suffered WannaCryransomware attacks, the impact range affects critical information infrastructure in the fields of energy,electricity, transportation ,healthcare and other fields. Considering the incident has caused seriousdamage to the global cyberspace, it is necessary to make an in-depth analysis of its root causes, studythe cyberspace security situation during the post WannaCry era, and put forward specific measures andsuggestions.

Key words ransomware; WannaCry, critical information infrastructure, cyberspace security situation

1 引言

2017 年 5 月 12 日，全球爆发大规模勒索软件 WannaCry 攻击事件，超过 30 万台电脑受到攻击，波及包括英国、俄罗斯、中国、美国等在内的 150 个国家，涉及能源、电力、交通、医疗、 教育等多个重点行业领域。作为 NSA 网络军火民用化的全球第一例， WannaCry 勒索软件利用微软 SMB 远程代码执行漏洞 MSl7-010，并基于 445 端口迅速传播扩散，无需用户任何操作，即可实现系统入侵，对用户主机系统内的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件实施加密，并向用户勒索比特币“赎金”。 此次事件给全球网络安全造成严重危害，有必要对其根源进行深入分析， 并研判“后WannaCry”时期的网络安全形势， 以便为我国网络空间防御能力建设提供借鉴与参考。

2 勒索软件WannaCry肆虐全球的原因

2.1 NSA 网络武器被公开，点燃攻击事件导火索

2017 年 4 月 14 日，黑客组织 Shadow Brokers（影子经纪人）公布了 NSA（美国国家安全局）旗下 Equation Group（方程式组织）使用的网络武器库，涉及多个 Windows 系统服务（SMB、RDP、IIS）的远程命令执行工具。事件发生不足一个月，泄露的网络武器引发全球规模的勒索软件攻击。据安天实验室、 360追日团队、卡巴斯基等国内外网络安全研究机构分析，作为此次攻击事件的主角，勒索软件 WannaCry 利用微软 SMB 远程代码执行漏洞 MSl7-010，并基于 445 端口实施攻击，其攻击原理与 Shadow Brokers 公布的名为“永恒之蓝”（EtemalBlue)的漏洞利用工具的实现原理极为相似。据推测，攻击发起者在借鉴 NSA网络武器攻击原理的基础上，研发形成了新的勒索软件WannaCry，并借此发动了此次大规模网络攻击

2.2 系统漏洞修复不及时，为勒索软件传播留下了通道

网络安全研究机构分析显示， WannaCry 利用了微软操作系统 SMB 远程代码执行漏洞 MSl7-010， 其攻击范围覆盖了Windows 10 之外的几乎所有 Windows 操作系统，过低的操作系统漏洞修复率为此次全球规模的勒索袭击提供了可乘之机。虽然，微软已于 2017 年 3 月发布了 MSl7-010 漏洞的补丁，但是广大企业和个人用户没有及时升级 Windows 7 系统，加之Windows XP、Windows 8、 Windows Server 2003 等无法获得漏洞补丁的操作系统仍在广泛使用，导致全球存在大量的可攻击目标。据安全评级公司 BitSight的调查数据显示，全球约 67%的被感染电脑都是基于 Windows 7 操作系统运行的。

2.3 网络安全防护不到位，加剧了勒索软件的全球蔓延

较弱的网络安全防护能力在客观上加剧了勒索软件在全球的蔓延。 WannaCry 属于“蠕虫式”勒索软件，对于企业局域网或内网的主机系统破坏性尤其严重，然而，包括我国在内的全球诸多国家在架构安全和被动防御层面，目前仍存在严重的先天基础不足，过份重视网络边界防御而轻视内网防护，终端准入控制、终端主动防御、终端安全审计能力普遍不强。 一旦勒索软件通过钓鱼邮件、网页挂马等方式突破网络防御边界进入内网， 就极易造成应用单位“一点攻破、全线失守” 的局面。

2.4 威慑全球的霸权主义是引发事件的罪魁祸首

美国一贯坚持威慑全球的网络空间安全战略，为了巩固其网络空间的霸主地位，高度重视研发进攻性网络武器来威慑可能对美产生重大威胁的网络攻击，或其它恶意网络活动。 NSA 的高级官员曾透露，美国联邦政府九成以上的网络项目经费用于攻击性项目，如挖掘操作系统、数据库、路由器等基础软硬件漏洞，研发针对性的军火级攻击平台、漏洞利用工具和恶意代码、监听通讯网络等。早在 2013 年，美国网络武器就已超过 2000 种，部分网络武器无需用户任何操作，即可入侵联网电脑，像冲击波、震荡波等著名蠕虫一样瞬间血洗互联网。美国奉行的网络威慑战略，使其囤积了大量高危网络漏洞和强大网络武器，不仅刺激了全球国家开展网络军备，大大提升了网络战局部爆发的风险，也最终导致了此次全球规模的勒索软件攻击事件。

3 勒索软件 WannaCry 网络攻击潜在影响巨大

3.1 关键信息基础设施网络安全风险居高不下

此次勒索软件 WannaCry 攻击事件的波及范围十分广泛，包括西班牙电力公司 Iberdrola、天然气公司 Gas Natural， 德国德累斯顿火车站，以及俄罗斯内政部及其第二大电信运营商Megafon等在内的多个国家的电力、石油、交通运输等领域，关键信息基础设施领域也受到影响。尽管 WannaCry 的传播速度已大为放缓，但考虑到关键信息基础设施领域的工业主机（如操作站、工程师站、历史服务器等）仍在广泛使用通用 Windows 操作系统，尤其是默认开放 445端口的 Windows 2000 和 Windows XP 系统大量存在，极有可能被 WannaCry 利用漏洞进行入侵攻击，并迅速蔓延至企业内网甚至工业控制网络，导致企业重要文件被加密、生产、运行等敏感数据无法正常采集和读取，造成整个企业内网的瘫痪。这不仅会对工业生产造成严重经济损失，还可能严重影响人民群众的财产安全。由于关键信息基础设施领域使用的通用Windows 操作系统，在补丁升级、防护更新方面技术难度和资金成本较高，在未来相当长的一段时间内，关键信息基础设施领域的安全风险仍将居高不下。

3.2 网络攻击产生的“破窗效应”进一步显现

一 方 面 ， 美 国 国 家 安 全 局 （ N S A ） 、 中央情报局（CIA）等网络安全机构泄露了包括Android、 iPhone、 Windows PC、 Mac、三星电视等设备的安全漏洞和利用工具，以及感染USB 闪存盘的恶意软件等一大批网络武器。“影子经纪人”还宣布， 将从 6月份开始，每月出售 NSA 的 Web 浏览器、路由器和手机漏洞和相应的攻击工具，以及针对 Windows 10 的 0 day漏洞和相应利用技术。考虑到网络武器复制成本几乎为零的特点，以及美国情报机构网络武器的强大攻击力，泄露的网络武器能满足绝大多数个人、组织甚至国家实施高破坏性、强针对性网络攻击的需求，使得发起国家级网络攻击的门槛大幅降低。

另一方面，美国研发的网络武器为了避免追踪，多采取高度“模块化”的工具编写方式，模糊了攻击者的攻击特点；其具备的“防追溯”、“嫁祸”等功能，也大大增加了成功追溯到攻击发动者的难度，从而进一步减小了攻击者的后顾之忧，WannaCry 网络攻击发动者能躲过英、美等国家的重重网络追捕即是例证。在强大的“网络军火”支持和“无责任”网络攻击的刺激下，各种以情报获取、资金攫取等为目的规模化、针对性的网络攻击，必将显著增多。

3.3 全球新一轮网络军备竞赛恐将上演

当前，美国联邦政府将九成以上的网络项目经费用于提升网络攻击能力， NSA、 CIA等国家网络安全机构更是无节制地研发各类进攻性网络武器。然而，美国政府没能有效履行妥善管理网络武器的国际义务，其泄露的军火级攻击平台、漏洞利用工具和恶意代码，以及攻击思路，已成为威胁全球基础互联网安全、破坏网络空间安全稳定的重要因素。考虑到 NSA 泄露的一种网络武器就能产生全球规模的网络攻击后果，世界各国为了提升网络空间话语权、避免重蹈覆辙，势必会加强网络安全领域的资金、人力投入，着力推进针对 NSA、 CIA 泄露的网络武器的分析工作，研究针对性的抵御方法和网络防御武器，甚至以泄露的网络武器为基础，研发形成新的网络攻击“杀手锏”，构建特定国家专属的网络武器库，新一轮恐慌性全球网络军备竞赛恐难避免。

4 应对之策

4.1 重技术，强化网络空间安全防御能力建设

面对将来可能集中爆发的高破坏性、强针对性网络攻击，我们应重点提升国家网络空间安全防御能力。

一是强化网络漏洞发现能力。支持网络安全企业和科研院所创新漏洞挖掘技术，鼓励网络安全研究机构、白帽子黑客等加大针对操作系统、数据库、信息系统、通信协议等的漏洞挖掘工作，对发现的漏洞进行快速定位和风险评估，研究形成解决方案。

二是加强网络武器攻击应对能力。支持国内网络安全研究机构加大对美国泄露网络武器的跟踪研究，分析网络武器的攻击思路、攻击目标、攻击过程、攻击效果，加强对其衍生武器的模拟分析，尽快研究形成针对美国系列网络武器的应对方案。

三是提升网络攻击溯源能力。组织国内网络安全研究机构开展基于匿名网络的恶意代码追踪、网络攻击溯源和阻断等技术难题的联合攻关，推动网络攻击溯源技术尽快实现突破，强化打击网络犯罪的支撑能力。

4.2 严监管，消减关键信息基础设施安全隐患

没有及时对系统漏洞进行补丁升级，是我国各领域关键信息基础设施遭受勒索攻击的重要原因。面对居高不下的网络安全风险，我国应进一步落实关键信息基础设施的安全监管工作。

一是在全国范围内对关键信息基础设施网络安全检查形成常态化，通过指导并监督地方开展安全自查，组织专业队伍对重点系统开展安全抽查等方式，排查关键信息基础设施的网络安全风险隐患，督促运营单位及时处置系统漏洞，强化系统安全防护，消减安全风险。

二是建立健全关键信息基础设施网络安全应急机制，推动关键信息基础设施运营单位制定网络安全事件应急预案，定期组织开展网络安全应急演练，及时总结攻防演练情况，加强落实整改，变被动防御为主动防御，提高突发网络安全事件的应对能力。

4.3 谋合作，共建网络空间国际新秩序

面对日益泛滥的网络武器和日益嚣张的网络犯罪，我国应着力加强与各国的网络安全合作，协同应对，形成合力。

一是推动在联合国框架下制定各国普遍接受的防范网络武器扩散的国际公约，确立国家及各行为体在防范网络武器扩散方面的基本准则，明确国际禁运、禁用的网络武器清单。

二是积极开展双边、多边对话，谋求制定符合各国利益的网络空间武器使用规范，不率先利用网络武器攻击关键信息基础设施。

三是支持并推动联合国开展打击网络犯罪的工作，参与联合国预防犯罪和刑事司法委员会、联合国网络犯罪问题政府专家组等机构的工作，推动在联合国框架下讨论并制定打击网络犯罪的全球性国际法律文书，明确网络犯罪的惩罚条款，强化对网络犯罪的惩治力度，提高网络罪犯的违法成本。

5 结束语

本文重点分析了勒索软件WannaCry攻击事件的原因，研判了“后WannaCry”时期的全球网络安全形势，并提出了几点针对性的措施建议，即强化网络空间安全防御能力建设，消减关键信息基础设施安全隐患，共建网络空间国际新秩序。

关注读览天下微信， 100万篇深度好文， 等你来看……