勒索軟件攻擊事件或將引發網絡軍備競賽升級

劉權 王超

摘 要：2017年5月12日，全球爆發了大規模的勒索軟件攻擊事件，包括英國、俄羅斯、中國、美國等在內的 150 個國家超過 30 萬臺電腦受到勒索軟件 WannaCry 攻擊， 對能源、電力、交通、醫療等領域的關鍵信息基礎設施造成嚴重影響。鑒于此次事件對全球網絡空間造成嚴重危害，有必要對其根源進行深入分析，研判“后WannaCry”時期的網絡安全形勢，并提出針對性的措施建議。

關鍵詞：勒索軟件；WannaCry；關鍵信息基礎設施；網絡安全形勢

中圖分類號：TP393 文獻標識碼：A

The ransomware attacks may lead to the escalation

of the cyberspace arms race

Abstract： In May 12， 2017， massive ransomware attacks broke out around the world， UK，Britain， Russia， China， the United States and other 150 countriess more than 300 thousand computers suffered WannaCry ransomware attacks， the impact range affects critical information infrastructure in the fields of energy， electricity， transportation ，healthcare and other fields. Considering the incident has caused serious damage to the global cyberspace， it is necessary to make an in-depth analysis of its root causes， study the cyberspace security situation during the post WannaCry era， and put forward specific measures and suggestions.

Key words： ransomware； WannaCry， critical information infrastructure， cyberspace security situation

1 引言

2017 年 5 月 12 日，全球爆發大規模勒索軟件 WannaCry 攻擊事件，超過 30 萬臺電腦受到攻擊，波及包括英國、俄羅斯、中國、美國等在內的 150 個國家，涉及能源、電力、交通、醫療、 教育等多個重點行業領域。作為 NSA 網絡軍火民用化的全球第一例， WannaCry 勒索軟件利用微軟 SMB 遠程代碼執行漏洞 MSl7-010，并基于 445 端口迅速傳播擴散，無需用戶任何操作，即可實現系統入侵，對用戶主機系統內的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件實施加密，并向用戶勒索比特幣“贖金”。 此次事件給全球網絡安全造成嚴重危害，有必要對其根源進行深入分析， 并研判“后WannaCry”時期的網絡安全形勢， 以便為我國網絡空間防御能力建設提供借鑒與參考。

2 勒索軟件WannaCry肆虐全球的原因

2.1 NSA 網絡武器被公開，點燃攻擊事件導火索

2017 年 4 月 14 日，黑客組織 Shadow Brokers （影子經紀人）公布了 NSA（美國國家安全局）旗下 Equation Group（方程式組織）使用的網絡武器庫，涉及多個 Windows 系統服務（SMB、RDP、 IIS）的遠程命令執行工具。事件發生不足一個月，泄露的網絡武器引發全球規模的勒索軟件攻擊。據安天實驗室、 360追日團隊、卡巴斯基等國內外網絡安全研究機構分析，作為此次攻擊事件的主角，勒索軟件 WannaCry 利用微軟 SMB 遠程代碼執行漏洞 MSl7-010，并基于 445 端口實施攻擊，其攻擊原理與 Shadow Brokers 公布的名為“永恒之藍”（EtemalBlue）的漏洞利用工具的實現原理極為相似。據推測，攻擊發起者在借鑒 NSA網絡武器攻擊原理的基礎上，研發形成了新的勒索軟件WannaCry，并借此發動了此次大規模網絡攻擊

2.2 系統漏洞修復不及時，為勒索軟件傳播留下了通道

網絡安全研究機構分析顯示， WannaCry 利用了微軟操作系統 SMB 遠程代碼執行漏洞 MSl7-010， 其攻擊范圍覆蓋了Windows 10 之外的幾乎所有 Windows 操作系統，過低的操作系統漏洞修復率為此次全球規模的勒索襲擊提供了可乘之機。雖然，微軟已于 2017 年 3 月發布了 MSl7-010 漏洞的補丁，但是廣大企業和個人用戶沒有及時升級 Windows 7 系統，加之Windows XP、 Windows 8、 Windows Server 2003 等無法獲得漏洞補丁的操作系統仍在廣泛使用，導致全球存在大量的可攻擊目標。據安全評級公司 BitSight 的調查數據顯示，全球約 67%的被感染電腦都是基于 Windows 7 操作系統運行的。

2.3 網絡安全防護不到位，加劇了勒索軟件的全球蔓延

較弱的網絡安全防護能力在客觀上加劇了勒索軟件在全球的蔓延。 WannaCry 屬于“蠕蟲式”勒索軟件，對于企業局域網或內網的主機系統破壞性尤其嚴重，然而，包括我國在內的全球諸多國家在架構安全和被動防御層面，目前仍存在嚴重的先天基礎不足，過份重視網絡邊界防御而輕視內網防護，終端準入控制、終端主動防御、終端安全審計能力普遍不強。 一旦勒索軟件通過釣魚郵件、網頁掛馬等方式突破網絡防御邊界進入內網， 就極易造成應用單位“一點攻破、全線失守” 的局面。

2.4 威懾全球的霸權主義是引發事件的罪魁禍首

美國一貫堅持威懾全球的網絡空間安全戰略，為了鞏固其網絡空間的霸主地位，高度重視研發進攻性網絡武器來威懾可能對美產生重大威脅的網絡攻擊，或其它惡意網絡活動。 NSA 的高級官員曾透露，美國聯邦政府九成以上的網絡項目經費用于攻擊性項目，如挖掘操作系統、數據庫、路由器等基礎軟硬件漏洞，研發針對性的軍火級攻擊平臺、漏洞利用工具和惡意代碼、監聽通訊網絡等。早在 2013 年，美國網絡武器就已超過 2000 種，部分網絡武器無需用戶任何操作，即可入侵聯網電腦，像沖擊波、震蕩波等著名蠕蟲一樣瞬間血洗互聯網。美國奉行的網絡威懾戰略，使其囤積了大量高危網絡漏洞和強大網絡武器，不僅刺激了全球國家開展網絡軍備，大大提升了網絡戰局部爆發的風險，也最終導致了此次全球規模的勒索軟件攻擊事件。

3 勒索軟件 WannaCry 網絡攻擊潛在影響巨大

3.1 關鍵信息基礎設施網絡安全風險居高不下

此次勒索軟件 WannaCry 攻擊事件的波及范圍十分廣泛，包括西班牙電力公司 Iberdrola、天然氣公司 Gas Natural， 德國德累斯頓火車站，以及俄羅斯內政部及其第二大電信運營商 Megafon等在內的多個國家的電力、石油、交通運輸等領域，關鍵信息基礎設施領域也受到影響。盡管 WannaCry 的傳播速度已大為放緩，但考慮到關鍵信息基礎設施領域的工業主機（如操作站、工程師站、歷史服務器等）仍在廣泛使用通用 Windows 操作系統，尤其是默認開放 445 端口的 Windows 2000 和 Windows XP 系統大量存在，極有可能被 WannaCry 利用漏洞進行入侵攻擊，并迅速蔓延至企業內網甚至工業控制網絡，導致企業重要文件被加密、生產、運行等敏感數據無法正常采集和讀取，造成整個企業內網的癱瘓。這不僅會對工業生產造成嚴重經濟損失，還可能嚴重影響人民群眾的財產安全。由于關鍵信息基礎設施領域使用的通用Windows 操作系統，在補丁升級、防護更新方面技術難度和資金成本較高，在未來相當長的一段時間內，關鍵信息基礎設施領域的安全風險仍將居高不下。

3.2 網絡攻擊產生的“破窗效應”進一步顯現

一方面，美國國家安全局（NSA）、中央情報局（CIA）等網絡安全機構泄露了包括 Android、 iPhone、 Windows PC、 Mac、三星電視等設備的安全漏洞和利用工具，以及感染 USB 閃存盤的惡意軟件等一大批網絡武器。“ 影子經紀人”還宣布， 將從 6月份開始，每月出售 NSA 的 Web 瀏覽器、路由器和手機漏洞和相應的攻擊工具，以及針對 Windows 10 的 0 day 漏洞和相應利用技術。考慮到網絡武器復制成本幾乎為零的特點，以及美國情報機構網絡武器的強大攻擊力，泄露的網絡武器能滿足絕大多數個人、組織甚至國家實施高破壞性、強針對性網絡攻擊的需求，使得發起國家級網絡攻擊的門檻大幅降低。

另一方面，美國研發的網絡武器為了避免追蹤，多采取高度“模塊化”的工具編寫方式，模糊了攻擊者的攻擊特點；其具備的“防追溯”、“嫁禍”等功能，也大大增加了成功追溯到攻擊發動者的難度，從而進一步減小了攻擊者的后顧之憂，WannaCry 網絡攻擊發動者能躲過英、美等國家的重重網絡追捕即是例證。在強大的“網絡軍火”支持和“無責任”網絡攻擊的刺激下，各種以情報獲取、資金攫取等為目的規模化、針對性的網絡攻擊，必將顯著增多。

3.3 全球新一輪網絡軍備競賽恐將上演

當前，美國聯邦政府將九成以上的網絡項目經費用于提升網絡攻擊能力， NSA、 CIA等國家網絡安全機構更是無節制地研發各類進攻性網絡武器。然而，美國政府沒能有效履行妥善管理網絡武器的國際義務，其泄露的軍火級攻擊平臺、漏洞利用工具和惡意代碼，以及攻擊思路，已成為威脅全球基礎互聯網安全、破壞網絡空間安全穩定的重要因素。考慮到 NSA 泄露的一種網絡武器就能產生全球規模的網絡攻擊后果，世界各國為了提升網絡空間話語權、避免重蹈覆轍，勢必會加強網絡安全領域的資金、人力投入，著力推進針對 NSA、 CIA 泄露的網絡武器的分析工作，研究針對性的抵御方法和網絡防御武器，甚至以泄露的網絡武器為基礎，研發形成新的網絡攻擊“殺手锏”，構建特定國家專屬的網絡武器庫，新一輪恐慌性全球網絡軍備競賽恐難避免。

4 應對之策

4.1 重技術，強化網絡空間安全防御能力建設

面對將來可能集中爆發的高破壞性、強針對性網絡攻擊，我們應重點提升國家網絡空間安全防御能力。

一是強化網絡漏洞發現能力。支持網絡安全企業和科研院所創新漏洞挖掘技術，鼓勵網絡安全研究機構、白帽子黑客等加大針對操作系統、數據庫、信息系統、通信協議等的漏洞挖掘工作，對發現的漏洞進行快速定位和風險評估，研究形成解決方案。

二是加強網絡武器攻擊應對能力。支持國內網絡安全研究機構加大對美國泄露網絡武器的跟蹤研究，分析網絡武器的攻擊思路、攻擊目標、攻擊過程、攻擊效果，加強對其衍生武器的模擬分析，盡快研究形成針對美國系列網絡武器的應對方案。

三是提升網絡攻擊溯源能力。組織國內網絡安全研究機構開展基于匿名網絡的惡意代碼追蹤、網絡攻擊溯源和阻斷等技術難題的聯合攻關，推動網絡攻擊溯源技術盡快實現突破，強化打擊網絡犯罪的支撐能力。

4.2 嚴監管，消減關鍵信息基礎設施安全隱患

沒有及時對系統漏洞進行補丁升級，是我國各領域關鍵信息基礎設施遭受勒索攻擊的重要原因。面對居高不下的網絡安全風險，我國應進一步落實關鍵信息基礎設施的安全監管工作。

一是在全國范圍內對關鍵信息基礎設施網絡安全檢查形成常態化，通過指導并監督地方開展安全自查，組織專業隊伍對重點系統開展安全抽查等方式，排查關鍵信息基礎設施的網絡安全風險隱患，督促運營單位及時處置系統漏洞，強化系統安全防護，消減安全風險。

二是建立健全關鍵信息基礎設施網絡安全應急機制，推動關鍵信息基礎設施運營單位制定網絡安全事件應急預案，定期組織開展網絡安全應急演練，及時總結攻防演練情況，加強落實整改，變被動防御為主動防御，提高突發網絡安全事件的應對能力。

4.3 謀合作，共建網絡空間國際新秩序

面對日益泛濫的網絡武器和日益囂張的網絡犯罪，我國應著力加強與各國的網絡安全合作，協同應對，形成合力。

一是推動在聯合國框架下制定各國普遍接受的防范網絡武器擴散的國際公約，確立國家及各行為體在防范網絡武器擴散方面的基本準則，明確國際禁運、禁用的網絡武器清單。

二是積極開展雙邊、多邊對話，謀求制定符合各國利益的網絡空間武器使用規范，不率先利用網絡武器攻擊關鍵信息基礎設施。

三是支持并推動聯合國開展打擊網絡犯罪的工作，參與聯合國預防犯罪和刑事司法委員會、 聯合國網絡犯罪問題政府專家組等機構的工作，推動在聯合國框架下討論并制定打擊網絡犯罪的全球性國際法律文書，明確網絡犯罪的懲罰條款，強化對網絡犯罪的懲治力度，提高網絡罪犯的違法成本。

5 結束語

本文重點分析了勒索軟件WannaCry攻擊事件的原因，研判了“后WannaCry”時期的全球網絡安全形勢，并提出了幾點針對性的措施建議，即強化網絡空間安全防御能力建設，消減關鍵信息基礎設施安全隱患，共建網絡空間國際新秩序。

參考文獻

[1] 沈逸.武器級勒索軟件催生全球網絡空間防擴散機制建設契機[J]. 信息安全與通信保密， 2017（9）：33-39.

[2] 徐金偉，郝軍雷，劉權峰，等.智能制造企業應對新型安全威脅“勒索軟件”探討[J].信息安全與技術， 2017， 8（8）：6-11.

[3] 黃道麗，何治樂，原浩.打擊勒索軟件的法律思考[J].中國信息安全， 2017（4）：70-72.

[4] 于世梁.警惕網絡軍備競賽 維護網絡空間安全——由勒索病毒WannaCry肆虐引發的思考[J]. 湖北行政學院學報， 2017（4）：49-53.

[5] 周宏仁.共同構建網絡空間命運共同體[J].信息安全與通信保密， 2017（10）：9-9.

[6] 閆曉麗.關鍵信息基礎設施安全保護應把握幾個要點[J].中國信息安全， 2017（8）：39-40.