大揭秘！WannaCry、Petya勒索病毒“幕后元兇”竟是它

　　2017年5月份，永恒之藍(lán)勒索蠕蟲病毒(WannaCry)肆虐全球，導(dǎo)致150多個國家，30多萬受害者遭遇勒索軟件攻擊，醫(yī)療、交通、能源、教育等行業(yè)領(lǐng)域遭受巨大損失。該勒索軟件之所以有如此大的威力，主要是其借助了軍火級的網(wǎng)絡(luò)漏洞利用工具。黑客分子拿著軍用武器，沖入民用設(shè)施，掃蕩所到之處，破壞與掠奪之慘烈可想而知。

　　近日，360威脅情報中心發(fā)布了《2017年中國高級持續(xù)性威脅(APT)研究報告》，其中提到，以永恒之藍(lán)為代表的漏洞利用武器庫大規(guī)模試水，標(biāo)志著網(wǎng)絡(luò)軍火進(jìn)入民用化的階段，也使業(yè)界和公眾進(jìn)一步加深對APT攻擊與威脅的認(rèn)識和理解。

　　據(jù)《報告》介紹，2017年泄露的網(wǎng)絡(luò)武器庫的最終源頭主要有兩個：一個是據(jù)稱是NSA旗下的方程式組織，另一個據(jù)稱是美國中情局(CIA)直屬的網(wǎng)絡(luò)情報中心。

　　網(wǎng)絡(luò)軍火兩大泄露源頭助紂為虐

　　影子經(jīng)紀(jì)人最早在2016年8月就開始對外兜售據(jù)稱是NSA的網(wǎng)絡(luò)武器或攻擊工具。該組織自稱獲得了方程式組織的網(wǎng)絡(luò)武器，并在GitHub公開拍賣。隨后，斯諾登則隔空響應(yīng)了影子經(jīng)紀(jì)人的判斷，公開了NSA絕密文檔中幾處技術(shù)細(xì)節(jié)，證實NSA攻擊工具與方程式組織攻擊武器屬于同源軟件。

　　圖：影子經(jīng)紀(jì)人兜售的武器與斯諾登曝光的NSA武器細(xì)節(jié)特征完全吻合

　　而中情局也雇傭了大批計算機(jī)網(wǎng)絡(luò)頂尖技術(shù)人員，配合各個項目、行動持續(xù)進(jìn)行武器研發(fā)。據(jù)報道，截止2016年底，CIA直屬的網(wǎng)絡(luò)情報中心擁有超過5000名員工，總共設(shè)計了超過1000個木馬、病毒和其他“武器化惡意代碼”。而2017年，從特朗普政府大幅提高軍事預(yù)算的政策傾向看，CIA從事網(wǎng)絡(luò)武器庫開發(fā)人員數(shù)量會大幅增加。

　　《報告》中提到，CIA開發(fā)的一些網(wǎng)絡(luò)武器，在命名上非常具有欺騙性。比如一款名為“精致美食”的黑客工具，貌似一款普通的打廣告的推廣軟件而已。而“蜂房”也看似一個無害的程序，但實際可以攻擊互聯(lián)網(wǎng)路由器，建立被感染設(shè)備之間的通訊鏈路。

　　關(guān)于這些網(wǎng)絡(luò)武器是否已經(jīng)流入民用領(lǐng)域，維基解密表示：中情局對其黑客武器庫已經(jīng)“失控”，其中大部分工具“似乎正在前美國政府的黑客與承包商中未被授權(quán)地傳播”，存在“極大的擴(kuò)散風(fēng)險”。

　　WannaCry背后竟有APT組織的影子

　　不論是已經(jīng)借助漏洞武器爆發(fā)的WannaCry和petya，還是正面臨擴(kuò)散風(fēng)險的其他黑客武器，這背后似乎也暗藏著APT組織的影子：Google的研究員發(fā)現(xiàn)，2017年2月的一個疑似WannaCry的早期版本和APT組織的樣本之間具有一定的相似性。由此可見APT組織與漏洞武器幾乎如影隨形，因為只有掌握最新的漏洞武器，他們才能針對目標(biāo)發(fā)起更加精準(zhǔn)、致命的攻擊。

　　圖：疑似WannaCry的早期版本與某APT組織的樣本對比

　　從安全角度看，武器庫的泄露致使大量高精尖的攻擊性惡意程序，散播到開放的互聯(lián)網(wǎng)，給一般的黑客、網(wǎng)絡(luò)不法分子可乘之機(jī)，利用這些武器級工具肆意滲透系統(tǒng)、竊取數(shù)據(jù)信息、破壞信息基礎(chǔ)設(shè)施等，將給廣大普通互聯(lián)網(wǎng)用戶帶來巨大危害，WannaCry就是最典型的代表。

　　而且武器級工具和普通的惡意軟件、滲透工具等結(jié)合，讓很多攻擊行為同時具備高級攻擊手段和一般手段的特性，增加了犯罪分子的隱蔽性，也會干擾監(jiān)測識別高級威脅。某種程度上，抬升了安全研究者的門檻，增加了APT的防控難度，網(wǎng)絡(luò)安全企業(yè)仍然任重道遠(yuǎn)。