受感染 IP 僅為 269 個360 首席安全官：教育網背了“黑鍋”

受感染 IP 僅為 269 個360 首席安全官：教育網背了“黑鍋”

2017 年 5 月 16 日，中國計算機學會 CCF YOCSEF聯合CCF計算機安全專業委員會共同舉辦“勒索病毒：憑什么能綁架我們的系統？”特別論壇，論壇邀請國內信息安全領域知名專家、學者一同揭開勒索病毒的真面目。

360 首 席 安 全 官 譚曉 生 在 論 壇 上 做 了 主 題 為《WannaCry 病毒給網絡空間安全應急處理體系帶來的啟示》的報告。他分析了 WannaCry病毒傳播過程及事件態勢，以及此次事件的成功之處與經驗教訓，特別澄清了媒體報道中對 CERNET及教育網用戶的失實報道。

還原勒索病毒事件經過

5 月 12 日 15:00 開始，勒索病毒開始感染中國境內用戶；5 月 12 日 23:00，勒索病毒爆發進入高峰期，多個機構用戶中招；5 月 13 日 12:00，勒索病毒感染趨勢呈現下降態勢，應急工作取得了成效；5 月 14 日 7:00至今，勒索病毒感染量平衡，事件進入尾聲。

此次蠕蟲病毒由于英國的安全人員注冊了域名，將危害控制住了。據多家專業安全公司的分析，WannaCry 蠕蟲感染后首先連接 URL（域名為 www.iuqe rfsodp9ifjaposdfjhgosurijfaewrwergwea.com）。在 5 月 12日該域名被安全分析人員注冊并啟用，從該域名的服務器上可以看到世界各地感染主機的DNS查詢。根據來自中國的 DNS 查詢的 IP 地址及其 BGP AS 號碼，通過對域名解析量的分析，可以知道有多少人中招。圖1是中國區域蠕蟲傳播的監測數據。綠色的線，表示在沒有域名解析之前傳播的量；藍色的線，表示開始域名解析后，病毒感染的量。可以看到，域名解析后，感染數量急速下降，得到了控制。

圖1 蠕蟲傳播態勢

圖2 蠕蟲變種傳播態勢

圖2為變種的傳播情況，變種危害性很小。圖2中黃色的線代表變種，藍色的線是原始版本的感染情況。

從 360 安全衛士監測到的感染量數據可以看到，5 月 15 日，為受攻擊的高峰，全天總攔截量為 63285臺，中招感染的機器為 888 臺，其中一天中最高峰集中在 10 點至 12 點，11 點時共受到了 5389 次攻擊，共有 105 臺電腦中招。5 月 16 日總攔截量為 15432 臺，中招感染的機器為 302 臺。

澄清教育網背了黑鍋的事實真相

譚曉生在報告中特別提到，從5月 12日開始大量的媒體報道對教育網存在誤解。他列舉了一些數據說明教育網在這個事件中背了黑鍋的事實。

根據 360 獲取的權威數據，利用了 GIS 信息系統，取所在地理信息點名稱，教育相關的感染一共有 4825個，其中，高等院校 2981 個，顯著較高。然而，從權威出處分析的數據也可以看出，教育網感染數量只占0.63%，并不是“重災區”。

截止到5月16日0點的數據分析，數據來自安全社區，全球 26 萬次感染記錄，獨立感染 IP 來源 16 萬個，其中，來自中國區域分布如圖4所示，可見總體感染數量，主要與運營商體量相關。教育網 CERNET 的域 AS4538，受感染的 IP 為 269 個，僅占國內受感染總量的 0.63%。

譚曉生分析了其中的原因，第一，多數校園網同時連接教育網 CERNET和運營商網絡；第二，校園網最早向外報告感染案例，因為用戶群體在社交媒體上比較活躍；第三，高校 90% 的感染是通過接入運營商的網絡所感染。的確，根據CERNET的調查數據，CERNET 在全國調查了超過 1600 個高校，確認感染的單位66個，確認感染的電腦數百臺。

圖3 5 月 15 日及 5 月 16 日上午中國境內受感染與中招的情況

譚曉生提到，情況較好的高校軟件更新比較及時，歸因于長期推行的軟件正版化；并且很多校園網根據4月份微軟的漏洞預警提前做了防范。4月 15日，清華大學就采取了系統防范措施，確保未發生病毒感染。

經驗教訓與啟示

譚曉生指出，本次應急處置的成功之處在于：第一，國家安全主管機構，公安部、中央網信辦、工信部等安全領導機構迅速響應，進行全國動員，部署防護方案；第二，安全廠商迅速響應，及時提供預警通告、修復工具和安全指南，上門支持，幫助了政企客戶有效防控；第三，國內各大政企單位高度重視，部署專人迅速響應，采用安全廠商的應急方案全面修復，確保了周一沒有形成爆發；第四，消費者電腦補丁打得比較全，蠕蟲攻擊成功率低；第五，運營商對傳播端口做了封禁，限制傳播途徑。

圖4 截至 5 月 16 日 0 時的數據分析

然而，本次應急處置也存在一些運氣因素：比如，國外安全人員發現代碼中的域名，注冊后停止了蠕蟲的破壞行為，所謂的 Kill Switch；感染是從周五晚上開始的，有大內網的機構已經下班了，大量電腦處于關機狀態；另外，沒有危害更大的變種出現，后來出現的病毒變種并沒有去掉 Kill Switch；等等。

由此，譚曉生也分析了此次事件帶來的教訓與啟示：首先，應當提前響應，整個事件的響應從3月就應該開始了；其次，運維水平高的網絡，應急可以更加從容；第三，安全企業以及客戶內部的組織能力和執行力是重要的保障。

他認為本次事件中反映出了一些老問題，應當引起未來網絡空間安全部署的重視。

第一，終端安全如何做，我們真的想清楚了嗎？核心問題：終端在網絡當中，是可信源還是風險？關鍵問題：終端=殺毒？

第二，隔離專網，究竟是優勢還是劣勢？隔離專網是安全島，但是不應該把所有的寶押在邊界的防護上；而一個隔離專網意味著一個迷你版的互聯網產業，其復雜程度并未引起相關人員的高度重視。

第三，補丁問題和老舊操作系統問題，是安全問題還是 IT 問題？譚曉生指出，未來，安全應該融入IT，融入架構。