受感染 IP 僅為 269 個(gè)360 首席安全官：教育網(wǎng)背了“黑鍋”

2017 年 5 月 16 日，中國計(jì)算機(jī)學(xué)會(huì) CCF YOCSEF聯(lián)合CCF計(jì)算機(jī)安全專業(yè)委員會(huì)共同舉辦“勒索病毒：憑什么能綁架我們的系統(tǒng)？”特別論壇，論壇邀請國內(nèi)信息安全領(lǐng)域知名專家、學(xué)者一同揭開勒索病毒的真面目。

360 首 席 安 全 官 譚曉 生 在 論 壇 上 做 了 主 題 為《WannaCry 病毒給網(wǎng)絡(luò)空間安全應(yīng)急處理體系帶來的啟示》的報(bào)告。他分析了 WannaCry病毒傳播過程及事件態(tài)勢，以及此次事件的成功之處與經(jīng)驗(yàn)教訓(xùn)，特別澄清了媒體報(bào)道中對 CERNET及教育網(wǎng)用戶的失實(shí)報(bào)道。

還原勒索病毒事件經(jīng)過

5 月 12 日 15:00 開始，勒索病毒開始感染中國境內(nèi)用戶；5 月 12 日 23:00，勒索病毒爆發(fā)進(jìn)入高峰期，多個(gè)機(jī)構(gòu)用戶中招；5 月 13 日 12:00，勒索病毒感染趨勢呈現(xiàn)下降態(tài)勢，應(yīng)急工作取得了成效；5 月 14 日 7:00至今，勒索病毒感染量平衡，事件進(jìn)入尾聲。

此次蠕蟲病毒由于英國的安全人員注冊了域名，將危害控制住了。據(jù)多家專業(yè)安全公司的分析，WannaCry 蠕蟲感染后首先連接 URL（域名為 www.iuqe rfsodp9ifjaposdfjhgosurijfaewrwergwea.com）。在 5 月 12日該域名被安全分析人員注冊并啟用，從該域名的服務(wù)器上可以看到世界各地感染主機(jī)的DNS查詢。根據(jù)來自中國的 DNS 查詢的 IP 地址及其 BGP AS 號碼，通過對域名解析量的分析，可以知道有多少人中招。圖1是中國區(qū)域蠕蟲傳播的監(jiān)測數(shù)據(jù)。綠色的線，表示在沒有域名解析之前傳播的量；藍(lán)色的線，表示開始域名解析后，病毒感染的量?？梢钥吹?，域名解析后，感染數(shù)量急速下降，得到了控制。

圖1 蠕蟲傳播態(tài)勢

圖2 蠕蟲變種傳播態(tài)勢

圖2為變種的傳播情況，變種危害性很小。圖2中黃色的線代表變種，藍(lán)色的線是原始版本的感染情況。

從 360 安全衛(wèi)士監(jiān)測到的感染量數(shù)據(jù)可以看到，5 月 15 日，為受攻擊的高峰，全天總攔截量為 63285臺，中招感染的機(jī)器為 888 臺，其中一天中最高峰集中在 10 點(diǎn)至 12 點(diǎn)，11 點(diǎn)時(shí)共受到了 5389 次攻擊，共有 105 臺電腦中招。5 月 16 日總攔截量為 15432 臺，中招感染的機(jī)器為 302 臺。

澄清教育網(wǎng)背了黑鍋的事實(shí)真相

譚曉生在報(bào)告中特別提到，從5月 12日開始大量的媒體報(bào)道對教育網(wǎng)存在誤解。他列舉了一些數(shù)據(jù)說明教育網(wǎng)在這個(gè)事件中背了黑鍋的事實(shí)。

根據(jù) 360 獲取的權(quán)威數(shù)據(jù)，利用了 GIS 信息系統(tǒng)，取所在地理信息點(diǎn)名稱，教育相關(guān)的感染一共有 4825個(gè)，其中，高等院校 2981 個(gè)，顯著較高。然而，從權(quán)威出處分析的數(shù)據(jù)也可以看出，教育網(wǎng)感染數(shù)量只占0.63%，并不是“重災(zāi)區(qū)”。

截止到5月16日0點(diǎn)的數(shù)據(jù)分析，數(shù)據(jù)來自安全社區(qū)，全球 26 萬次感染記錄，獨(dú)立感染 IP 來源 16 萬個(gè)，其中，來自中國區(qū)域分布如圖4所示，可見總體感染數(shù)量，主要與運(yùn)營商體量相關(guān)。教育網(wǎng) CERNET 的域 AS4538，受感染的 IP 為 269 個(gè)，僅占國內(nèi)受感染總量的 0.63%。

譚曉生分析了其中的原因，第一，多數(shù)校園網(wǎng)同時(shí)連接教育網(wǎng) CERNET和運(yùn)營商網(wǎng)絡(luò)；第二，校園網(wǎng)最早向外報(bào)告感染案例，因?yàn)橛脩羧后w在社交媒體上比較活躍；第三，高校 90% 的感染是通過接入運(yùn)營商的網(wǎng)絡(luò)所感染。的確，根據(jù)CERNET的調(diào)查數(shù)據(jù)，CERNET 在全國調(diào)查了超過 1600 個(gè)高校，確認(rèn)感染的單位66個(gè)，確認(rèn)感染的電腦數(shù)百臺。

圖3 5 月 15 日及 5 月 16 日上午中國境內(nèi)受感染與中招的情況

譚曉生提到，情況較好的高校軟件更新比較及時(shí)，歸因于長期推行的軟件正版化；并且很多校園網(wǎng)根據(jù)4月份微軟的漏洞預(yù)警提前做了防范。4月 15日，清華大學(xué)就采取了系統(tǒng)防范措施，確保未發(fā)生病毒感染。

經(jīng)驗(yàn)教訓(xùn)與啟示

譚曉生指出，本次應(yīng)急處置的成功之處在于：第一，國家安全主管機(jī)構(gòu)，公安部、中央網(wǎng)信辦、工信部等安全領(lǐng)導(dǎo)機(jī)構(gòu)迅速響應(yīng)，進(jìn)行全國動(dòng)員，部署防護(hù)方案；第二，安全廠商迅速響應(yīng)，及時(shí)提供預(yù)警通告、修復(fù)工具和安全指南，上門支持，幫助了政企客戶有效防控；第三，國內(nèi)各大政企單位高度重視，部署專人迅速響應(yīng)，采用安全廠商的應(yīng)急方案全面修復(fù)，確保了周一沒有形成爆發(fā)；第四，消費(fèi)者電腦補(bǔ)丁打得比較全，蠕蟲攻擊成功率低；第五，運(yùn)營商對傳播端口做了封禁，限制傳播途徑。

圖4 截至 5 月 16 日 0 時(shí)的數(shù)據(jù)分析

然而，本次應(yīng)急處置也存在一些運(yùn)氣因素：比如，國外安全人員發(fā)現(xiàn)代碼中的域名，注冊后停止了蠕蟲的破壞行為，所謂的 Kill Switch；感染是從周五晚上開始的，有大內(nèi)網(wǎng)的機(jī)構(gòu)已經(jīng)下班了，大量電腦處于關(guān)機(jī)狀態(tài)；另外，沒有危害更大的變種出現(xiàn)，后來出現(xiàn)的病毒變種并沒有去掉 Kill Switch；等等。

由此，譚曉生也分析了此次事件帶來的教訓(xùn)與啟示：首先，應(yīng)當(dāng)提前響應(yīng)，整個(gè)事件的響應(yīng)從3月就應(yīng)該開始了；其次，運(yùn)維水平高的網(wǎng)絡(luò)，應(yīng)急可以更加從容；第三，安全企業(yè)以及客戶內(nèi)部的組織能力和執(zhí)行力是重要的保障。

他認(rèn)為本次事件中反映出了一些老問題，應(yīng)當(dāng)引起未來網(wǎng)絡(luò)空間安全部署的重視。

第一，終端安全如何做，我們真的想清楚了嗎？核心問題：終端在網(wǎng)絡(luò)當(dāng)中，是可信源還是風(fēng)險(xiǎn)？關(guān)鍵問題：終端=殺毒？

第二，隔離專網(wǎng)，究竟是優(yōu)勢還是劣勢？隔離專網(wǎng)是安全島，但是不應(yīng)該把所有的寶押在邊界的防護(hù)上；而一個(gè)隔離專網(wǎng)意味著一個(gè)迷你版的互聯(lián)網(wǎng)產(chǎn)業(yè)，其復(fù)雜程度并未引起相關(guān)人員的高度重視。

第三，補(bǔ)丁問題和老舊操作系統(tǒng)問題，是安全問題還是 IT 問題？譚曉生指出，未來，安全應(yīng)該融入IT，融入架構(gòu)。