我们从互联网历史上最大的勒索软件攻击 WanaCryptor 中学到的 5 件事

周五，英国的一些医院遭受了一次奇特的攻击：计算机被控制，内部数据被加密并被勒索赎金，而这一切只需要支付区区 300 美元。攻击迅速蔓延，袭击了 150 个国家，导致从西班牙电信到俄罗斯内政部的所有网络瘫痪。然后，幸运的是，WanaCryptor 攻击被阻止了，这是一个恰好在周末被发现的杀伤开关。我们究竟该如何看待历史上最大的勒索软件攻击？

它基于泄露的国家安全局“网络武器”

这种蠕虫病毒又被称为 WannaCry、WanaCryptor 和 WannaCrypt，主要针对运行微软操作系统的计算机。它基于名为 EternalBlue 的漏洞，这是一个名为 Shadow Brokers 的组织发布的众多 NSA “网络武器”之一，该组织于去年夏末首次开始泄露 NSA 工具。

它不利用用户交互进行传播

与网络钓鱼或鱼叉式网络钓鱼攻击不同，WannaCry 攻击不会利用任何人为错误，而网络钓鱼或鱼叉式网络钓鱼攻击的计算机会因为用户点击目标电子邮件中的链接而受到攻击。

知名网络安全公司卡巴斯基实验室在一份关于此次攻击的详细常见问题解答中写道：“Wannacry 如此成功的主要原因或许在于，EternalBlue 漏洞可以在互联网上运作，无需任何用户交互。”由于该漏洞是通过网络发起攻击的，因此即使启动了终止开关，它仍可以在本地网络内造成严重破坏，因为终止开关需要互联网才能工作。

终止开关是一个简单的 URL 检查

在 WannaCry 传播之前，它会检查是否可以连接到特定域名。如果该域名已被注册并被占用，则传播结束，不再继续。如果无法连接，WannaCry 就会按照设计传播，感染计算机并索要赎金。

杀毒开关是由英国的一名年轻计算机安全研究员发现的，他注册了 WannaCry 程序中指定的域名，然后将流量路由到用于捕获僵尸网络的 Sinkhole 服务器。这位安全研究员撰写了一篇精彩的文章，介绍了捕获 WannaCry 的经历，可在此处查看。

这位使用化名的研究人员的麻烦导致英国小报披露了他的真实身份。使用化名的原因之一是可以更轻松地完成安全工作，而不会成为他试图阻止的那些人的特定目标。这一点对于 WannaCry 尤其重要，因为勒索软件的未来版本（其中一些可能已经上线并在野外传播）可能不包含终止开关，这将使它们更难被阻止。

它攻击未打补丁的计算机

微软发布了针对易受攻击操作系统的补丁，可以防止当前版本的 WannaCry 感染已打补丁的计算机。第一个可防止此类攻击的补丁于 3 月发布，但并非每个用户都会自动下载和安装所有补丁或软件更新。微软被动发布了针对Windows XP的补丁，这是一款已有 16 年历史的操作系统，不再受官方支持，但仍在许多计算机中使用。（微软还发布了针对其他两个仍处于“客户支持”阶段的操作系统 Windows 8 和 Windows Server 2003 的补丁）。在针对此次攻击发布的客户指南中，微软建议自动更新作为一项主动措施。

思科的 Talos 威胁监控和保护团队还建议阻止 TOR 出口节点，以便 WannaCry 无法通过路由匿名工具传播到组织中。除此之外，Talos 的建议还包括行业最佳实践，例如仅使用积极支持并接收安全更新的操作系统、及时安装安全补丁、运行反恶意软件，尤其是制定灾难计划，定期备份数据并将其存储在离线设备中。存储在黑客无法访问的地方的冗余数据越多，人们支付赎金的吸引力就越小。

预防和恢复此类攻击成本高昂且复杂

WannaCry 之所以能成功，是因为一系列复杂的情况。比特币作为向匿名罪犯支付赎金的方式当然起​​了作用，NSA 自己开发的漏洞也起到了一定作用。这两起攻击都发生在人们和组织仍在使用旧软件的背景下，微软等公司很容易将漏洞利用的责任推卸给 NSA，将安全漏洞的责任推卸给用户。

网络安全评论员斯蒂尔格里安写道：“技术在交付时漏洞百出，因此该行业很大一部分都拥有大量训练有素的专业人员，他们竭尽全力修补所有漏洞。然后，当客户不可避免地陷入这种故障洪流时，供应商和网络安全专业人员会责怪他们不会游泳。”

或者，正如 Pinboard 的所有者（Stilgherrian 引用的）更简洁地说的那样：

说得更宽泛一点，购买技术的组织希望将其用于预期目的，而且通常没有预算或专业知识来确保任何给定的技术都能完成其既定工作并且没有任何安全漏洞。正如我们在周五 WannaCry 传播时所指出的那样，安全研究人员发现 NHS 早在 11 月就使用了过时的软件。修复该软件不仅仅是找到一个新的操作系统，它还需要找到并安装一个不会破坏现有系统的操作系统，然后培训每个需要使用它的人如何使用它，然后希望新软件不会过时。持续的安全对每个人来说都是昂贵的，但对最终用户来说尤其如此。一旦出现问题，可能会花费数千万美元，几乎全部转嫁到软件买家身上，而不是软件制造商身上。