WannaCry(直譯「想哭」[2][3]、「想解密」[4],俗名「魔窟」[5][6],或稱WannaCrypt[7]、WanaCrypt0r 2.0[8][9]、Wanna Decryptor[10])是一種利用NSA的「永恆之藍」(EternalBlue)漏洞利用程式透過網際網路對全球執行Microsoft Windows作業系統的電腦進行攻擊的加密型勒索軟體兼蠕蟲病毒(Encrypting Ransomware Worm)。該病毒利用AES-128和RSA演算法惡意加密使用者檔案以勒索比特幣,使用Tor進行通訊[11],為WanaCrypt0r 1.0的變種[12]。
日期 | 2017年5月12日 | -2017年5月15日
---|---|
地點 | 全球 |
類型 | 加密性勒索軟體、電腦蠕蟲 |
主題 | 網路攻擊、漏洞利用 |
參與者 | The Shadow Brokers |
結果 | 超過230,000台電腦受到影響[1],但目前受控 |
2017年5月,此程式大規模感染包括西班牙電信在內的許多西班牙公司、英國國民保健署[13]、聯邦快遞和德國鐵路股份公司。據報道,至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊(截至2018年,已有大約150個國家遭到攻擊)。[14][15][16][17]俄羅斯聯邦內務部、俄羅斯聯邦緊急情況部和俄羅斯電信公司MegaFon共有超過1000台電腦受到感染。[18]於中國大陸的感染甚至波及到公安機關使用的內網[19],國家互聯網應急中心亦發布通報[20][21]。
WannaCry被認為利用了美國國家安全局的「永恆之藍」(EternalBlue)工具以攻擊執行Microsoft Windows作業系統的電腦。[17][9]「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主[22][需要較佳來源]。「永恆之藍」利用了某些版本的微軟伺服器訊息區塊(SMB)協定中的數個漏洞,而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修復該漏洞的安全修補程式已經於此前的2017年3月14日發布[23],但並非所有電腦都進行了安裝[24]。
背景
此次爆發的電腦惡意程式對漏洞的利用基於「永恆之藍」(EternalBlue)工具。駭客組織「影子掮客」(The Shadow Brokers)在2017年4月14日發布了一批從方程式組織(Equation Group)洩露的工具,其中便包括「永恆之藍」[25][26][27];而方程式集團據信是屬於美國國家安全局[28][29]。
永恆之藍利用了Windows伺服器訊息區塊1.0(SMBv1)的數個漏洞,這些漏洞在通用漏洞披露(CVE)網站中分別被列為CVE-2017-0143至CVE-2017-0148。而就這些漏洞,微軟公司已於2017年3月14日在TechNet發佈「MS17-010」的資訊安全公告,並向使用者推播了Windows系統修復修補程式「KB4013389」封堵此漏洞。[23]但因該補丁只適用於仍提供服務支援的Windows Vista或更新的作業系統(註:此修補程式不支援Windows 8),較舊的Windows XP等作業系統並不適用。[23]不少使用者也因各種原因而未開啟或完成系統修補程式的自動安裝。
2017年4月21日起,安全研究者檢測到數以萬計被安裝DoublePulsar後門的電腦[30],該後門是另一款從NSA外洩的駭客工具[31]。截至4月25日,感染該後門的電腦估計有幾十萬台,數字每天還在呈指數增長[32][33]。除EternalBlue外,WannaCry的本輪攻擊也利用了這一名為DoublePulsar的後門[34][35]。
2017年5月12日[36],WannaCry在國際網際網路開始廣泛傳播,感染了全球很多執行Windows系統的裝置。該病毒進入目標主機之後,就會對主機硬碟和儲存裝置中許多格式的檔案進行加密[37][38],然後再利用網路檔案分享系統的漏洞,傳播到任意的其他聯網的主機[39],而處於同一區域網路的相鄰主機也會被感染。[40]這個漏洞不是零日攻擊的漏洞(還沒有修補程式的安全漏洞),而微軟早在2017年3月14日就推播了更新,封堵了這個漏洞。[23]與此同時,微軟也通告使用者,不要再使用老舊的第一代伺服器訊息區塊,應該以最新的第三代伺服器訊息區塊取而代之。[41]
沒有及時下載這個修補程式的Windows主機很可能被感染,而到目前為止,沒有證據顯示攻擊者是有目標的進行攻擊。還在執行已被微軟淘汰的Windows XP的主機則非常危險,因為微軟早已不對Windows XP提供安全更新與支援。[42]但由於此次事件的嚴重性,微軟後已為部份已經淘汰的系統發布了漏洞修復修補程式,Windows XP、Windows Server 2003和Windows 8使用者都可從微軟網站下載修復修補程式[43]。但部份騰訊電腦管家使用者因修補程式遭到封鎖而未能接受到安全更新,事後據官方回應,部份第三方修改系統安裝修補程式後可能致使藍畫面、系統異常,因此有部份使用者修補程式被封鎖[44][45]。
影響
2017年5月12日晚,中國大陸內地部份高校學生反映電腦被病毒攻擊,檔案被加密。病毒疑似透過教育網傳播[46]。隨後,山東大學、南昌大學、廣西師範大學、桂林電子科技大學、大連海事大學、東北財經大學等十幾家高校發布通知,提醒師生上網時注意防範[47][48]。除了教育網、校園網路以外,新浪微博上不少使用者回饋,北京、上海、江蘇、天津等多地的出入境、派出所等警方內部網路和政企專網也遭遇了病毒襲擊,許多警方部門和政府部門由於勒索軟體的影響被迫停止工作[49][50][51][52]。中國國家互聯網應急中心發布關於防範WannaCry的情況通報,稱全球約101.1萬個IP位址遭受「永恆之藍」SMB漏洞攻擊工具的攻擊嘗試,發起攻擊嘗試的IP位址數量9300餘個[53]。由於中國大陸個人區域網路絡使用者的445網路埠大多已被網路業者封鎖,故該病毒對一般家庭使用者影響不大[54]。而且病毒首輪傳播時,中國大陸正值週五夜晚,事發後許多安全軟體已立即呼籲使用者完成更新以抵抗病毒。
截至香港時間2017年5月16日為止,香港電腦保安事故協調中心收到受加密勒索軟體「WannaCry」攻擊的報告,增至31宗,比15日多14宗。新增個案一宗來自商業機構,其餘是家庭使用者,大部份都是使用微軟Windows軟體或伺服器。其中家庭使用者多使用Windows 7;商業使用者涉及Windows 7及Windows Server 2008系統[55]。香港警方亦接獲3宗有關報案。[56][57]
此病毒也重創臺灣,爆發初期,受到感染的電腦使用者於PTT、Dcard等社群發文,而後臺灣媒體在2017年5月13日對此新聞作出大篇幅報導。
2018年8月3日台積電發生成立以來重大資安事件,造成竹科、中科與南科廠區停工,此次事件肇因為新機台在安裝軟體的過程中發生操作失誤。3日安裝新機台時並未將此機台於連結網路前先隔離確保無病毒,造成「WannaCry」變種病毒進入公司網路,令機台當機或是重複開機。此次受到感染的機台與自動搬運系統,以及相關的電腦系統,主要是使用Windows 7卻未安裝修正軟體於機台自動化介面,以致受影響的機台無法運作以及部份自動搬運系統無法正常運作。[58]
勒索軟體影響了英國醫療系統的運作。[59]由於勒索軟體導致的系統癱瘓,部份常規手術被臨時取消,救護車也被迫分流到其他未受到影響的醫院。[16][60]英國國民保健署在2016年仍然有上千台電腦在使用Windows XP,[61]而Windows XP直到本次感染爆發之前並沒有任何修復伺服器訊息區塊漏洞的修補程式,這成為英國醫療系統受到攻擊的原因之一。
據日本警察廳聲稱,截至5月18日,在日本境內被確認的受害事件共21件。具體為東京、大阪等地共4個企業、神奈川縣內的行政機關、茨城縣的一家醫院等。[62]當地時間15日,日本政府於首相官邸危機管理中心設定「情報聯絡室」。[63]6月19日,本田在狹山市的汽車工廠受WannaCry影響停工一天。[64]
此外,巴西聖保羅法院[65]、加拿大公共衛生服務機構湖嶺醫療網路[66]、哥倫比亞國立衛生研究院[67]、法國雷諾[68]、德國鐵路系統[69]、印度安得拉邦警察局[70]、印度尼西亞的多家醫院[71]、義大利米蘭比科卡大學[72]、羅馬尼亞外交部[73][74]、俄羅斯通訊運營商MegaFon[75]、俄羅斯聯邦內務部[76]、俄羅斯鐵路[77]以及西班牙[78]、瑞典[71]、匈牙利[79]、泰國[80]、荷蘭[81]、葡萄牙[82]等將近一百個國家的機構院所也受到波及。
病毒功能
以下以2017年5月第一次大規模傳播的病毒版本為主;該病毒早前的一個版本曾於4月透過電子郵件和有害Dropbox連結傳播,但沒有利用Windows漏洞進行主動傳播的能力[83]。
通過利用漏洞,病毒不需要打攪使用者,可以靜默獲得作業系統的特權,然後得以在本機網路中傳染。[84]
簡而言之,程式在載入完成後會呼叫Windows的CryptoAPI,新生成一對2048位元的RSA金鑰。金鑰對包括私鑰和公鑰,它們會被儲存至被感染電腦;但解密時需要的私鑰在儲存前會使用程式內建的另一RSA公鑰加密,該公鑰對應的私鑰由攻擊者持有。[85]
隨後程式會遍歷儲存裝置(部份系統資料夾等除外[12]),加密特定副檔名的檔案;程式在加密檔案時使用AES演算法,會為每一個檔案隨機生成一個128位元AES金鑰,金鑰隨後會被程式載入完後生成的RSA公鑰加密,並在當前檔案加密完後儲存在該檔案的頭部[11]。程式還會呼叫命令提示字元刪除裝置上的卷影副本(Shadow copy)備份[86]。早先有報道認為這一操作可能會引起UAC彈框而被使用者注意到[87],但後續分析指出,病毒是通過核心漏洞注入系統處理程序來執行的,傳染過程中並不會有UAC彈窗出現[88]。
加密過程結束後,病毒會把系統桌布替換成英語告示[87],並顯示一封提供28種語言版本的勒索信[60],其中部份可能使用了機器翻譯[89][90]。程式要求使用者支付與300至600美元等值的比特幣[87][91],並在勒索信中給予被感染者3天期限,如若超過贖金會翻倍,超過一周仍未付款則會「撕票」[92]。在勒索信中,病毒還聲稱今後可能舉行免費恢復活動,對象是運氣好且「半年以上沒錢付款的窮人」[93]。
程式透過Tor匿名網路與攻擊者的伺服器連接[87]。此外,程式還會在電腦所屬區域網路內,隨機連結其他電腦SMB使用的TCP/UDP 445與139等埠以自我傳播[40],並嘗試用同樣方式隨機感染網際網路上的其他電腦[39]。
據思科分析,病毒在感染其他電腦時會嘗試透過DoublePulsar後門安裝[94]。而根據《連線》的報道,此病毒也會同時在電腦上安裝該後門[17],現已有指令碼可檢測並移除[39]。
攻擊者在程式中寫死了至少3個比特幣位址(或稱「錢包」),以接收受害者的贖金[95],這些錢包的真實擁有者身分不明,但交易情況和餘額是公開的。有人在Twitter上設定了一個機器人,以即時追蹤這三個錢包收到的轉帳。[96]截至2017年5月14日[update],攻擊者已獲得約合3.2萬美元的比特幣[97]。
應對措施
若想有效防禦此蠕蟲的攻擊,首先應立即部署Microsoft安全公告MS17-010中所涉及的所有安全更新。Windows XP、Windows Server 2003以及Windows 8應根據微軟的使用者指導安裝更新。
當不具備條件安裝安全更新,且沒有與Windows XP (同期或更早期Windows)主機共用的需求時,應當根據Microsoft安全公告MS17-010[98]中的變通辦法[99],停用SMBv1協定,以免遭受攻擊。雖然利用Windows防火牆阻止TCP 445埠也具備一定程度的防護效果,但這會導致Windows共用完全停止工作,並且可能會影響其它應用程式的執行,故應當按照微軟公司提供的變通辦法[99]來應對威脅。
2017年5月第一次大規模傳播時,署名為MalwareTech的英國安全研究員在當時的病毒中發現了一個未註冊的網域名稱,主因是病毒內建有傳播開關(Kill Switch),會向該網域名稱發出DNS請求,用於測試病毒是否處於防毒軟體的虛擬運作環境中,由於該網域名稱並沒有設定DNS,所以正常情況是不會有回應,若有回應就說明處於虛擬環境下,病毒會停止傳播以防被防毒軟體清除[100][101][102]。這名安全研究員花費8.29英鎊註冊網域名稱後發現每秒收到上千次請求。在該網域名稱被註冊後,部份電腦可能仍會被感染,但「WannaCry的這一版本不會繼續傳播了」[103]。
然而需要注意的是,在部份網路環境下,例如一些區域網路、內部網路,或是需要透過代理伺服器才能訪問網際網路的網路,此網域名稱仍可能無法正常連接[104][39]。另外,有報道稱該病毒出現了新的變種,一些變種在加密與勒索時並不檢查這一網域名稱[105][106][107]。
該病毒會「讀取原始檔並生成加密檔案,直接把原始檔作刪除操作」[108]。2017年5月19日,安全研究人員Adrien Guinet發現病毒用來加密的Windows API存在的缺陷,在Windows10以下版本的作業系統中,所用私鑰會暫時留在主記憶體中而不會被立即清除。他開發並開源了一個名為wannakey的工具,並稱這適用於為感染該病毒且執行Windows XP的電腦找回檔案,前提是該電腦在感染病毒後並未重新啟動,且私鑰所在主記憶體還未被覆蓋(這需要運氣)[109]。後有開發者基於此原理開發了名為「wanakiwi」的軟體,使恢復過程更加自動化,並確認該方法適用於執行Windows XP至Windows 7時期間的多款Windows作業系統[110]。一些安全廠商也基於此原理或軟體開發並提供了圖形化工具以說明使用者恢復檔案[111][112]。
評論
一些人士批評與此事件有關聯的美國國家安全局(NSA)。稜鏡計劃告密人愛德華·史諾登稱,如果NSA「在發現用於此次對醫院進行攻擊的缺陷時就進行私下披露,而不是等到遺失時才說,(此次攻擊)就可能不會發生」[60]。微軟總裁布拉德·史密斯則表示:「政府手中的漏洞利用程式一次又一次地洩露到公共領域,造成廣泛破壞。如果用常規武器來說,這種情況等同於美軍的戰斧飛彈發生失竊。」[113][114]
也有人士聚焦於網路安全意識方面。德國聯邦資訊安全辦公室主任Arne Schönbohm聲明道:「現在發生的攻擊突顯出我們的資訊社會是多麼脆弱。這對公司是一次警醒,是時候認真考慮IT安全了。」[115][116]美國外交關係協會數字和網路政策專案負責人亞當·謝加爾認為政府和私營部門的修補程式和更新系統運轉不正常,不是所有人都會在第一時間為系統漏洞打上修補程式[117];半島電視台在文章中引述觀點稱,許多企業的員工缺乏網路安全方面的訓練[116]。《福布斯》網站上的一篇專欄文章則認為,該攻擊生動地證明了安全備份和良好安全習慣的重要性,包括及時安裝最新的安全更新[118]。英國首相特雷莎·梅也就此次攻擊發表講話,稱英國國家網路資訊安全中心正在與所有受攻擊的機構合作調查[119]。特雷莎·梅還表示:「這不是針對國民保健署的攻擊,這是國際性的攻擊,全世界數以千計的國家和組織都受到了影響[120]。」
調查
2017年5月29日,據CNET引述美國安全公司閃點(Flashpoint)發布的報告稱,根據對病毒附帶的28種語言撰寫的勒索信的文法分析研究,病毒製造者有可能是一名中文母語者[121],其中文版勒索信文法道地,而英文版有一些語法錯誤,其他語言版本則更像是藉助Google翻譯以機器翻譯而得[122]。在早前的5月16日,Google、卡巴斯基、閃點等多家安全公司的安全研究員曾發文認為,病毒的幕後黑手可能是源自北韓的「拉撒路組」(Lazarus Group)駭客組織[123],而據傳該組織成員居於中國[121]。但奇虎360和安天的安全工程師認為閃點網路情報公司僅以語言判斷是十分不專業的臆測行為,質疑其只是為了吸引目光焦點[124]。
2017年6月17日,據《華盛頓郵報》報道,NSA的內部報告認為此惡意軟體來自北韓情報機關贊助的駭客團體,並對這份報告有「中等信心(moderate confidence)」。[125]英國國家網路資訊安全中心(NCSC)也發布報告將此事件源頭指向北韓的駭客團隊[126][127]。
2017年10月,微軟總裁布萊德·史密斯(Brad Smith)接受ITV採訪稱,他非常相信北韓是影響全球150個國家摧毀20萬台電腦的幕後黑手[128]。
軼事
2017年5月15日,臺灣一名Windows XP使用者遭受WannaCry的攻擊後,因電腦配備老舊,導致WannaCry程式運作到一半,突然「停止回應」而無法運作。[129][130]
參見
參考資料
外部連結
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.