由永恒之藍談網(wǎng)絡安全

苗松娟+楊麗君+姚文鵬+李寧+況偉

摘要：病毒和電腦網(wǎng)絡相伴而生，前不久“永恒之藍”病毒的爆發(fā)，給廣大網(wǎng)絡用戶敲響了警鐘，尤其是美國國安全局和方程式組織的介入，使得這次病毒的破壞性更強。該文介紹了永恒之藍的特點、影響及防范措施，以及在這次病毒處理過程中暴露出的問題。最后介紹了方程式組織及影子經(jīng)濟人，及如何有效防范網(wǎng)絡病毒。

關(guān)鍵詞：永恒之藍；漏洞補??；防火墻

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）25-0052-03

1 概述

互聯(lián)網(wǎng)在我國從無到有、從小到大，僅僅幾十年的迅速發(fā)展，日益滲透到社會發(fā)展的方方面面，我國已成為名副其實的網(wǎng)絡大國，但是繁榮的同時，我國也將成為面臨網(wǎng)絡安全威脅最嚴重的國家之一。前不久，“WannaCry”病毒席卷全球150多個國家，導致20多萬家機構(gòu)的電腦中毒，我國部分高校、地方出入境、加油站、醫(yī)院等公共服務網(wǎng)絡受到襲擊，也為大家敲響了警鐘。

2 永恒之藍

2.1 什么是 WannaCry “永恒之藍”病毒

5 月12日，新型蠕蟲勒索病毒W(wǎng)annaCry在全球大規(guī)模爆發(fā)，此次勒索病毒正是利用披露的軍火庫中的多種漏洞工具之一。該病毒與其他同類勒索病毒不同，它是一種可自動感染其他電腦進行傳播的蠕蟲病毒，因鏈式反應而迅猛爆發(fā)。主要感染W(wǎng)indows系統(tǒng)，它會利用加密技術(shù)鎖死文件，禁止用戶訪問，并以此勒索用戶。凡局域網(wǎng)電腦染上病毒，幾乎無法恢復，只能按黑客提供的賬戶，給其提供比特幣，否則電腦文件盡毀，所以它被稱之為勒索病毒。

2.2 Wannacry的主要特點

主要針對內(nèi)部網(wǎng)絡環(huán)境，傳染性強，爆發(fā)速度快，利用445端口傳播。當某臺電腦被感染后，其同網(wǎng)絡中的其他電腦也被感染，這種超強的自主傳播能力，能夠在數(shù)小時內(nèi)感染一個系統(tǒng)內(nèi)的全部電腦。并且無需用戶任何操作，就可以將所有磁盤文件加密、鎖死，后綴變?yōu)?onion，隨后，黑客可以遠程控制木馬，向用戶勒索“贖金”。

2.3Wannacry主要影響

這次病毒爆發(fā)速度之快，影響范圍之廣，前所未有。病毒席卷全球150多個國家，導致20多萬家機構(gòu)的電腦中毒。病毒最初在一高校學生的電腦中出現(xiàn)，中毒者以為內(nèi)容特別搞笑，要求盡快支付勒索贖金，否則將刪除文件，原以為這只是一個小范圍的惡劇。沒想到五個小時內(nèi)，該勒索病毒大面積爆發(fā)，許多高校中招，愈演愈烈。包括英國、俄羅斯、整個歐洲以及我國部分高校、地方出入境、加油站、醫(yī)院等公共服務網(wǎng)絡受到襲擊，大型企業(yè)內(nèi)網(wǎng)和政府機關(guān)專網(wǎng)悉數(shù)中招，對重要數(shù)據(jù)造成嚴重威脅。

現(xiàn)實的影響是一方面的，心理影響就更可怕。多少人不敢輕易開電腦，特別是平時只管使用，根本不懂電腦的用戶。多少用戶已經(jīng)關(guān)閉了445端口，還不放心，又用永恒之藍免疫工具再開一遍。有的人甚至用永恒之藍專殺、關(guān)閉端口、系統(tǒng)打補丁、免疫工具全用上了。最后把機器搞藍屏，弄崩潰了，這種情況還為數(shù)不少。

3 變種勒索病毒（petya）

2017年6月27日晚，歐洲又遭到新一輪勒索病毒的沖擊，該病毒變種名為Petya，英國、烏克蘭、俄羅斯等都受到了不同程度的影響，該病毒和永恒之藍勒索軟件很類似，都是遠程鎖定設備，然后索要贖金。

3.1 petya 病毒和WannaCry 病毒不同之處

該病毒不再單獨加密的單個文件，而是加密NTFS分區(qū)，覆蓋MBR、阻止機器正常啟動進入系統(tǒng)。通過攻擊底層磁盤架構(gòu)，達到無法訪問整個系統(tǒng)的目的。不僅創(chuàng)建了自身的引導程序，而且還創(chuàng)建了一個微型的內(nèi)核。Petya釋放文件向磁盤頭部寫入惡意代碼，被感染系統(tǒng)的主引導記錄被引導加載程序重寫，并且加載一個微型惡意內(nèi)核。接著，這個內(nèi)核開始進行加密。它只加密了主文件表，因此文件系統(tǒng)不可讀。

3.2 Petya 的主要特點

傳染性強，爆發(fā)速度快，利用多種漏洞 。該變種采用了郵件、下載器和蠕蟲的組合傳播方式。病毒采用CVE-2017-0199漏洞的RTF格式附件進行郵件投放，之后釋放Downloader來獲取病毒母體，形成初始擴散節(jié)點，之后通過MS17-010（永恒之藍）漏洞和系統(tǒng)弱口令進行傳播。同時初步分析其可能具有感染域控制器后提取域內(nèi)機器口令的能力。因此其對內(nèi)網(wǎng)具有一定的穿透能力，對內(nèi)網(wǎng)安全總體上比此前受到廣泛關(guān)注的WannaCry有更大的威脅。

4 病毒發(fā)作后局域網(wǎng)的應對措施

4.1 封鎖網(wǎng)絡邊界

首先，作為網(wǎng)絡管理員，在局域網(wǎng)各終端都還沒來得及進行補丁更新時，要把好網(wǎng)絡防火墻的入口關(guān)，禁止漏洞端口的訪問，先從網(wǎng)絡邊界封堵漏洞。

4.2 關(guān)閉終端相關(guān)端口

其次，用戶在沒有漏洞補丁的情況下，根據(jù)各自操作系統(tǒng)類型不同，通過DOS命令窗口或加設出入站規(guī)則禁止漏洞端口使用。如圖1所示。

上圖為開放了445端口的終端，從圖中可以看出445端口處于監(jiān)聽狀態(tài)。

關(guān)閉TCP和UDP相關(guān)的135和445端口如下圖。

4.2.1 win7/win8/win10用戶可以進入如下操作

“控制面板”→“系統(tǒng)和安全”→“Windows防火墻”→“打開或關(guān)閉Windows防火墻”→勾選“啟用Windows防火墻”。返回到“Windows防火墻”→“高級設置”→點擊“入站規(guī)則”→“新建規(guī)則”→要創(chuàng)建的規(guī)則類型選擇“端口”→“下一步”→ 選擇“TCP”協(xié)議→特定本地端口填入“445”→下一步→選擇“阻止連接”→直接下一步→名稱和描述可以任意輸入完成退出即可。

4.2.2 winxp、windows server用戶臨時解決方案

“控制面板”→“Windows防火墻”→點擊：“啟動”endprint

另外可通過 “cmd”→“net stop srv”、“net stop rdr”、“net stop netbt”三條來關(guān)閉相關(guān)的網(wǎng)絡服務。

4.3 更新系統(tǒng)漏洞補丁

接著，也是最根本的就是要更新漏洞補丁，只有把漏洞補丁打上了，才能從根本上阻止漏洞的攻擊，還不影響用戶用網(wǎng)。眾所周知，通過端口，我們可以輕松訪問各種共享文件或共享打印。因為前面所作的封堵端口的同時，也限制了終端的使用。例如caj瀏覽器在關(guān)閉了server服務之后，無法使用，安裝、卸載均不可進行。

5 這次病毒處理暴露出的問題

5.1 不安裝安全軟件

這是很多用戶的通病，認為安裝殺毒軟件會拖慢計算機速度，有的安裝了殺毒軟件，也不及時更新，特別是內(nèi)網(wǎng)用戶，互聯(lián)網(wǎng)用戶還好些，一般都是自動更新病毒庫，內(nèi)網(wǎng)用戶殺毒軟件病毒庫老舊，針對新型病毒也無能為力。

5.2 不及時打補丁

系統(tǒng)漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，是不可避免的，既然不可避免，就有可能被黑客或病毒利用，而補丁是用來修正操作系統(tǒng)漏洞的，一般在發(fā)現(xiàn)操作系統(tǒng)有安全隱患的時候，開發(fā)系統(tǒng)的公司會及時發(fā)布補?。ㄒ簿褪切拚寺┒吹模┪募?，安裝后一般會替換掉現(xiàn)有的有漏洞的文件，以修正 系統(tǒng)的運行問題，或避免某些人借漏洞制造病毒或黑客軟件、傳播、損害電腦系統(tǒng)，或竊取資料等。除了非專業(yè)人員外，相當一部分用戶的電腦系統(tǒng)更新都是選擇從不，這就意味著從不給系統(tǒng)打補丁，在這次應對永恒之藍病毒過程中，就發(fā)現(xiàn)這種情況，結(jié)果一點系統(tǒng)更新，一百多個更新，有的甚至還有12、13年的補丁需要打。為什么會出現(xiàn)這種情況？因為系統(tǒng)更新一般都是在開關(guān)機時進行，用戶覺得耽擱時間，所以就停止更新。有的索性設置從不更新，一了百了。這樣總有一天，你的電腦也會因為你的“一了百了”而“一無所有”。

5.3 不開啟防火墻

相當一部分用戶自認為系統(tǒng)自帶防火墻沒用，就是個雞肋，有時還會影響計算機某些功能的使用，直接關(guān)閉系統(tǒng)孩火墻。又重新安裝安全軟件所帶的防火墻。這種認識是舍近求遠，甚至是錯誤的。系統(tǒng)在開發(fā)時自帶的防火墻，肯定是用來保護操作系統(tǒng)不受侵害，所以每當你安裝一款新的軟件，它都會提示你存在風險，有的人就嫌這個功能太繁瑣，所以就直接關(guān)閉防火墻。其實不然，系統(tǒng)防火墻是能阻止計算機病毒進入你的計算機，在你進行某些連接時進行詢問，對于不必要或認為是危險的鏈接，就會阻止。還可以創(chuàng)建安全日志，用于記錄成功的連接和不成功的連接，此日志可以作為排隊故障的工具?？墒乾F(xiàn)在有相當一部分人，不用WINDOWS自帶防火墻，甚至你上百度搜索，系統(tǒng)防火墻，搜到的全是如何關(guān)閉系統(tǒng)自帶防火墻。也無外乎這么多人都不開啟系統(tǒng)防火墻了。

5.4 設備老舊

許多單位現(xiàn)在還用的XP系統(tǒng)，xp系統(tǒng)從2001年到2014年已經(jīng)使用相當長一段時間，2014年微軟就已經(jīng)發(fā)表聲明，不會再對XP系統(tǒng)進行系統(tǒng)更新，可是相當多的用戶仍抱著XP系統(tǒng)不放，覺得用慣了，好用，加之許多應用系統(tǒng)也是基于XP系統(tǒng)開發(fā)的，就更不愿意更換高版本的操作系統(tǒng)了。這樣系統(tǒng)根本無法得到更新，怎能不給病毒以可乘之機。

5.5 打補丁時間設置不合理

不可否認打開系統(tǒng)自動更新后，每次總是在系統(tǒng)開機或關(guān)機時進行補丁更新，這樣很麻煩，影響用戶使用。所以用戶就關(guān)閉系統(tǒng)更新。其實你可以不關(guān)閉更新，根據(jù)自己時間空閑與否，選擇是否下載或安裝更新。如圖3所示。

6 關(guān)于方程式組織及影子經(jīng)紀人

這次病毒爆發(fā)，不得不提到美國國家安全局（NSA）與方程式組織（Equation Group）。方程式組織與美國國家安全局關(guān)系曖昧，是一個美國國家安全局（NSA） “不愿承認的”部門，這在黑客圈基本不是什么秘密。據(jù)說，方程式組織是美國國家安全局下面專門負責網(wǎng)絡攻擊的機構(gòu)，屬于美國國家安全局的一個分支。方程式組織的技術(shù)、手段，比其他黑客組織知的技術(shù)更復雜、更成熟。因為有國家背景，該組織非常龐大，攻擊水平極其高明。近些年來，他們向全世界釋放了多種破壞性很強的病毒，例如震網(wǎng)、火焰病毒等。作為史上最強的網(wǎng)絡攻擊組織，擁有一個龐大而強悍的攻擊武器庫是方程式組織必不可少的。永恒之藍和永恒之石都是一個叫影子經(jīng)濟人的黑客組織，攻擊了方程式組織，竊取了美國國家安全局平時使用的網(wǎng)絡武器、源代碼等資料，永恒之藍 （Wanna Crypt）就是一個勒索蠕蟲病毒，利用Windows SMB漏洞攻擊網(wǎng)絡計算機，植入病毒，運行并加密用戶文件，從而勒索贖金。

7 結(jié)束語

美國國家安全局專門成立方程式組織，旨在時刻準備著搞網(wǎng)絡病毒攻擊，我們目前使用的操作系統(tǒng)又大都是wondows系統(tǒng)，由微軟公司研發(fā)，為了國家安全利益，微軟留后門是可想而知的。如果真正的網(wǎng)絡信息戰(zhàn)打響，方程式組織對我軍是一個致命的威脅。所以，一方面我們的網(wǎng)絡部隊要想好相關(guān)應對之策，另一方面，廣大局域網(wǎng)用戶一定要養(yǎng)成良好的上網(wǎng)習慣，安裝殺毒軟件并及時更新病毒庫，定期查殺病毒；開啟系統(tǒng)防火墻，即使不開啟系統(tǒng)自帶的防火墻及系統(tǒng)更新，也要自己安裝第三方軟件進行漏洞修補，這樣，類似永恒之藍的病毒才不會有可乘之機，我們才能真正享受網(wǎng)絡帶來地便捷而不是整天提心吊膽的使用網(wǎng)絡。endprint