勒索病毒——网络武器的杰出代表 – 作者:yudun2019-安全小百科

回顾

距离2017年5月12日，臭名昭著的WannaCry(pt)勒索病毒大规模爆发，已经过去了四年。随着WannaCry勒索病毒的爆发，在这短短几年时间里，勒索病毒家族的小分支“遍地开花”，新变种和新病毒不断地滋生蔓延。

各类勒索病毒不断涌现，从2017年5月至2018年4月，近500万台终端遭受攻击，勒索病毒俨然成为互联网空间中的一大威胁。勒索病毒的出现打开了一个潘多拉魔盒，它展示了网络武器的威力:网络武器并不是传统的病毒和恶意软件，它并不仅仅只是骚扰一下被害用户，或者让用户的电脑性能或部分功能受到影响。它实际的影响到了整个社会的基础设施和基本服务，甚至影响到了社会秩序。

勒索病毒简介

北京时间2017年5月12日晚上22点30分左右，全英国上下16家医院遭到突然的网络攻击，医院的内部网络被攻陷，导致这16家机构基本中断了与外界联系，内部医疗系统几乎全部瘫痪。与此同时，该未知病毒也在全球范围大爆发。

在数小时内，病毒影响了近150个国家，一些政府机关、高校、医院的电脑屏幕都被病毒“血洗”染成了红色加密界面，其结果致使多个国家的重要信息基础设施遭受前所未有的破坏。该病毒也由此受到空前的关注。

这场席卷全球的网络攻击的罪魁祸首就是这个名为WannaCry的勒索病毒。借助“永恒之蓝”高危漏洞（MS17-010）传播的WannaCry，“网络武器”一词也开始进入大众视野。

然而勒索病毒本身并不是什么新概念，勒索软件Ransomware最早出现于1989年，是由约瑟夫·波普（Joseph Popp）编写的命名为“艾滋病特洛伊木马（AIDS Trojan）”的恶意软件。它的设计十分失败以至于受害者无需支付赎金即可解密。

在1996年，哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件，明确概述了勒索软件Ransomware的概念：利用恶意代码干扰被攻击用户的正常使用，除非用户支付赎金才能恢复正常使用的恶意软件。

最初的勒索软件和现在流行的勒索病毒相同，都采用加密文件、收费解密的模式，只是加密方式不同。除了加密模式之外，之后也出现通过其他手段进行勒索的，比如强制显示违规图片、威胁受害者散布浏览记录、使用虚假信息要挟等形式，这类勒索病毒在近几年来一直不断出现。

勒索病毒原理

勒索病毒的加密原理，大多基于RSA加密算法。RSA公钥加密是一种非对称加密算法，它包含了三个算法：KeyGen（密钥生成算法），Encrypt（加密算法）以及Decrypt（解密算法）。

其算法过程需要一对密钥（即一个密钥对），分别是公钥（公开密钥）和私钥（私有密钥），公钥对内容进行加密，私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是，虽然加密用的是公钥，但拿着公钥却无法解密。

这里简单介绍下RSA非对称加密算法的由来：

1976年以前，所有的加密方法都是同一种模式：

（1）甲方选择某一种加密规则，对信息进行加密；

（2）乙方使用同一种规则，对信息进行解密。

由于加密和解密使用同样规则（简称”密钥”），这被称为”对称加密算法”（Symmetric-key algorithm）。这种加密模式有一个最大弱点：甲方必须把加密规则告诉乙方，否则无法解密。保存和传递密钥，就成了最头疼的问题。

1976年，两位美国计算机学家Whitfield Diffie 和 Martin Hellman，提出了一种崭新构思，可以在不直接传递密钥的情况下，完成解密。这被称为”Diffie-Hellman密钥交换算法”。这个算法启发了其他科学家。人们认识到，加密和解密可以使用不同的规则，只要这两种规则之间存在某种对应关系即可，这样就避免了直接传递密钥。这种新的加密模式被称为”非对称加密算法”。

（1）乙方生成两把密钥（公钥和私钥）。公钥是公开的，任何人都可以获得，私钥则是保密的。

（2）甲方获取乙方的公钥，然后用它对信息加密。

（3）乙方得到加密后的信息，用私钥解密。

如果公钥加密的信息只有私钥解得开，那么只要私钥不泄漏，通信就是安全的。

1977年，三位数学家Rivest、Shamir 和 Adleman 设计了一种算法，可以实现非对称加密。这种算法用他们三个人的名字命名，叫做RSA算法。从那时直到现在，RSA算法一直是最广为使用的”非对称加密算法”。毫不夸张地说，只要有计算机网络的地方，就有RSA算法。

RSA算法非常可靠，密钥越长，它就越难破解。根据已经披露的文献，目前被破解的最长RSA密钥是768个二进制位。也就是说，长度超过768位的密钥，还无法破解（至少没人公开宣布）。因此可以认为，1024位的RSA密钥基本安全，2048位的密钥极其安全。

这次WannaCrypt勒索病毒使用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。通过系统随机生成的AES密钥，使用AES-128-CBC方法对文件进行加密，然后将对应的AES密钥通过RSA-2048加密，再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里。

最终能解密的钥匙只有在黑客手中；而以现在的计算能力，连超级计算机都需要花费大约60万年时间破解（题外话：目前还在研发中的量子计算机只需要三小时）。以下是WannaCrypt勒索病毒的加密流程图：

永恒之蓝漏洞

之所以WannaCry能够如此迅速地传播，是因为黑客团体Shadow Brokers公开了由美国国家安全局（NSA）管理的的黑客渗透工具之一：“永恒之蓝”。它针对的是445文件共享端口上的Windows服务器消息块(SMB)的漏洞，能够获取系统的最高权限。

勒索病毒通过扫描开放445文件共享端口的Windows计算机，无需用户进行任何操作，只要计算机开机并连接上互联网，攻击者就能在电脑和服务器中植入诸如勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

据迈克菲（McAfee，全球最大的安全技术公司）不久前的调查研究显示，WannaCry与朝鲜黑客组织Hidden Cobra紧密相关，目的或与间谍活动有关联。如今虽然“永恒之蓝”漏洞已得到修复，但事实上，当前对该漏洞的利用程度更甚去年。

卡巴斯基实验室表示，遭受与“永恒之蓝”漏洞相关攻击的受害者数量在2018年4月比2017年5月高出十倍，平均每月有超过24万用户受到攻击。

下图是利用永恒之蓝漏洞衍生出的各类安全事件：

网络攻击武器

第一个被众人皆知的网络攻击武器便是震网病毒Stuxnet，一个席卷全球工业界的蠕虫病毒。安全专家认为它被设计出来的主要目的是针对伊朗核电站，是伊核危机中成功阻止伊朗核计划近两年的罪魁祸首。

2010年初，联合国负责核查伊朗核设施的国际原子能机构（IAEA）开始注意到，纳坦兹铀浓缩工厂的核心部件离心机（型号IR-1）故障率高得离谱，原本预计每年更换率在10%左右，但仅在2009年12月，就有大约1/4的离心机因发生故障而报废。

由于离心机的故障发生率远远超出预期，导致伊朗迟迟无法生产浓缩铀。然而令人疑惑的是，离心机的生产环节并未检测出任何问题，且每台离心机在出厂时都经过了严格的质量检查，均无任何异常。但是只要机器投入了生产环境，却很快就会因磨损过度而产生故障。于此同时，提供给伊朗核心技术的巴基斯坦确没有发生过那么高的离心机故障率。

直到2010年中旬谜底才得以解开。2010年6月，白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统，调查他们电脑无故死机和重启的问题。该安全公司的技术人员在客户电脑中发现了一种新的蠕虫病毒。

根据病毒代码中出现的特征字“stux”，新病毒被命名为“震网病毒（stuxnet）”，并加入到公共病毒库，公布给业界人士研究。然而随着研究的发现，安全专家们发现这个病毒非同小可。全球知名安全团队，包括赛门铁克，卡巴斯基，微软都对该病毒进行了非常深入的研究，并且深入研究的结果让所有人都瞠目结舌：

l 这个病毒用了4个0 day漏洞；

l 这个病毒针对西门子工控PLC；

l 这个病毒主要针对伊朗；

l 这个病毒设计的非常精密。

由此看出，这是一起精心策划，以破坏伊朗核电站的离心机设备为目的，进行的一次网络攻击事件。由于西门子的PLC在工控领域中使用非常广泛，且PLC一旦失控，会造成火车脱轨，设备爆炸，电场停电等一系列安全事故。

此外，由于工控系统通常都是与外网物理隔离，而且针对PLC的系统需要相同的测试环境进行多次测试。而一套PLC以及配套相同环境的设备，需要花费一大笔经费，因此普通黑客组织是无法承担如此重大的开销的。

此外，这个病毒对PLC的攻击具有很强大的隐匿性。病毒会先让离心机以正常状态运行一段时间，直到伊朗的工作人员把核材料都装载完毕，工作了一段时间以后，病毒才开始发作。

震网病毒的破坏手段主要是通过改变转子的转速，利用过程压力和转子的转速两种方法能够实现增加转子的内壁压力，从而使离心机损坏。而外面的监控设备，因为病毒干扰的原因，无法从仪表板觉察到离心机转速的异常。若不是病毒无意中通过了互联网传播，震网病毒将永远不会被揭开其真正的面纱。

如果说震网病毒是有组织、有技术、有资金链支撑的高门槛网络武器，那么自从NSA网络攻击武器的泄露后，网络武器逐渐呈现“民用化”趋势，更让原本令人望尘莫及的网络攻击成为“门槛低、收益高”的事，并致使勒索行为日渐火热。因此，利用网络武器进行的网络勒索或将成为最流行的攻击模式。

此外，热门网站的数据库泄露也使得网络攻击方式更为容易。黑客能够轻易的通过“撞库”攻击，轻松获取到大量用户数据。就在2019年2月，来自巴基斯坦的黑客以电子邮件的方式发送给安全媒体，声称已经成功攻击了二十多个个热门网站，成功盗窃其数据库，并在暗网销售。