这几天笔者的朋友圈被“永恒之蓝”刷了屏,我们先来还原一下事情的经过。大概N年前的某个时间,与美国国家安全局关系暧昧的NSA方程式组织挖到了一个关于Windows系统445端口的漏洞,在几年的时间内他们挖到了无数个这样的漏洞,然而并没有告诉厂家:“你的系统有漏洞”,反而是偷偷的藏了起来。就像松鼠秋季屯粮,粮越来越多,然后被一个小松鼠盯上,同样在偷偷摸摸中偷了NSA方程式组织的粮。这个小松鼠就是一个叫做ShadowBrokers(影子经纪人)的黑客团体。
俗话说的好,偷来的东西你就偷偷用啊!然而,这个团体喜欢美特斯邦威,所以开始了一段不走寻常路的表演。
4月14日,他们将“永恒之蓝”在内的NSA方程式组织的机密文档及工具和23个最新黑客工具像新娘结婚抛捧花一样抛到了网络上,无数的“单身男女狗”黑客们高呼着“钱啊,钱啊,都是钱啊”蜂拥而上,而其中就包括了这次勒索事件的“作者”。
然后,这位还没暴露出来的不知名作者,我们可以也称他为“收不到比特币”的黑客先生,暂时简称“收不到”先生,开始了历时一个月的勒索蠕虫病毒的制作。
其实,无数次被爆漏洞到心里哔了个汪的微软安全团队早在今年3月就将此漏洞的补丁在做了出来,并打出头条广告——我们又发新补丁了,亲们快来更新哟!而国内安全厂商启明星辰第一时间冲在用户前线,在ShadowBrokers(影子经纪人)作妖后的第二天(4月15日)就及时的发布了风险预警提示,并提供缓解方案。
但实际上还是有很多安全意识未开启的宝宝们并没有重视到及时修补漏洞是一件多么重要的事儿,所以在5月12日,一个黑色的星期五晚上,“收不到”先生制作的勒索蠕虫病毒开始发威,全球的宝宝们哭了。
在接下来的周末启明星辰等各大安全厂商开始了守卫战,从事件预警到技术分析,再到普及周一上班的标准开机姿势,48小时的准备让我们避免了更多惨痛的损失,不得不说,这股来自民间力量又做了一件充满正能量的好事。
与此同时,我们的“收不到”先生发现了蠕虫病毒的传播受阻,全世界宝宝都在哭穷没有比特币,病毒感染了那么多电脑,却始终收不到钱,可怜的想哭,但是又舍不得放弃,在经历了内心的挣扎后,开始了新一轮更新,他把“想哭”披上了萌萌哒二次元的外套,制作出了更善伪装的“想哭妹妹”。
儿:爸比,为什么她叫妹妹?
爹:因为你妈当时当时非常喜欢妹妹。
儿:明白了,谢谢爸比。
爹:别客气,“想哭”。
虽然是妹妹,但这个妹妹可没有那么可爱,她明显更善于cosplay。之前的tasksche.exe进程就像是红色方阵中的绿色块,安检人员和产品一眼就能发现“想哭”这个傻哥哥。现在妹妹穿上记事本(notepad.exe)的进程的外衣,混在了方阵中,自然难以发现。
因此,启明星辰ADLab积极防御实验室建议大家关闭远程桌面、退出域环境、升级操作系统版本、开启防火墙,过滤不信任的链接。必须说一下,这些建议不单操作很简单,而且相当有效。作为业内资深攻防技术研究团队,启明星辰积极防御实验室ADLab表示:“在这次事件开始前,ADLab和其他启明星辰团队就已经严阵以待,针对泄漏的网络武器库进行了全面验证和分析,并且从事件公告--防御建议--更新产品--用户网络防护,第一时间将安全能力传递给用户以及国家主管部门”。而针对本次勒索蠕虫事件,除了常规的分析应对外,由于其勒索软件+蠕虫传播+NSA武器漏洞的结合的特殊形态,ADLab特别启动了专项研究行动,对该样本以及其他泄漏的武器进行全面而细致的分析工作,持续进行预警、研究成果通告、产品更新、客户服务,为用户和国家的安全持续发力。
4月15日,启明星辰发布“核弹级神漏洞再现,Windows系统无一幸免”定义为“核弹级”风险文章,并提供缓解方案。
4月16日,启明星辰发布升级特征库,全线产品可防护NSA黑客工具攻击。
4月21日,启明星辰发布”一场美国大片引发的关于内网威胁检测的思考”着重描述了蠕虫病毒(如永恒之蓝)在内网传播的监测手段。
5月12日,全球“永恒之蓝”勒索蠕虫爆发
5月13日,启明星辰发布“永恒之蓝”勒索软件处置建议方案,提供6种场景下的处置方案。启明星辰发布天镜漏扫提供免费试用,帮助用户全面检查“永恒之蓝”漏洞。
5月14日,启明星辰发布专杀工具“勒索病毒终结者——景云反勒索防护系统”
从5月12日勒索事件发生的那天开始,启明星辰的千名员工就开始奋战在一线,支持各地用户进行应急保障,为用户提供了坚实可信的安全感。
事情的变化太快,甚至可以启动灾难应急模式,启明星辰首席战略官潘柱廷表示“灾难的处置应该分成三级,一级是用户的自救,二级是有实力的民间组织、机构、企业自主自发的协同共救,三级是国家级的应急与响应。其实作为一个灾难的处置来看,我们国家从自救到民间安全企业强力支撑,再到国家应急响应,面对这次的灾难,整个过程处理我们的反应都是很快速有效。”
不过,“永恒之蓝”勒索病毒事件还没有告终,新一轮风波就又将掀起,ShadowBrokers(影子经纪人)前两天宣称将6月开始“包月”行动,每月出售浏览器、路由器、手机的攻击武器,其中包括NSA支持Win10的攻击武器,还有更多的SWIFT供应商和央行入侵数据,以及针对中国、俄罗斯、伊朗和朝鲜的导弹和核弹计划的内部网络数据。
看来这次侥幸避开安全事件的Win10宝宝们下次也难幸免了,随着越来越多的漏洞被公布出来,到时候可能我们面对的可能就是永恒彩虹套餐,红橙黄绿青蓝紫们翻着花样各来一遍。网络安全离我们越来越近,我们和所谈的“网络安全未来”距离感也将消失,我们有理由相信下一次攻击的目标可能会是Win10,也可能会是手机,甚至范围更大。
彩虹:谁@了我?
这次勒索事件触发了全民的安全意识,尽早的为以后的网络安全信息战拉响了一次警报,作为安全企业,面对这样的重大安全威胁时,应该怎样做?潘柱廷给了这样的回答:“除了只说自己确实知道的,引用自己信得过的,引导舆论的正确性之外,更要像这次一样,主动积极帮助各行业用户,共同维护当下的网络安全,毕竟安全企业在应对安全威胁时的使命是对用户的守护!”
