张 恬,陈志强
(无锡城市职业技术学院,江苏 无锡 214153)
2017年5月12日起,“永恒之蓝”勒索病毒(WannaCry)在世界范围内爆发,短时间内迅速扩散到全球各个国家,很多公司企业纷纷受到威胁,如英国国家医疗体系遭遇大规模网络攻击,多家医院电脑系统几乎全部瘫痪,导致电话线路被迫切断,医院病人紧急转移。我国很多通信、企业及医疗等机构也受到影响[1~2]。该病毒主要以邮件、程序木马、网页挂马的形式进行传播,性质恶劣、危害极大,一旦感染将利用各种加密算法对文件进行加密,被感染者一般无法解密恢复,必须支付高额赎金,获取解密私钥才能破解,否则文件将会被破坏、损毁,故称该病毒为“勒索病毒”。从2018年年初到9月中旬,勒索病毒总计对超过200万台计算机终端发起过攻击,攻击次数高达1 700万余次,且整体呈上升趋势。2019年3月,国内安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。
终端设备一旦感染勒索病毒,病毒会自动运行,为降低被杀毒软件等安全防护类软件查杀的可能性,会快速删掉软件样本,并通过网络连接,接至黑客服务器,一旦连接成功,就将本机信息进行上传,并下载加密公钥与私钥,之后在本机注册表内写入加密公钥,遍历本机内所有文件后将格式进行篡改和加密操作,使用户无法完成相应的解密操作,最后在电脑桌面位置或者其他易察觉位置生成勒索提示文件,让感染用户缴纳解密赎金,换取解密私钥,恢复文件。该病毒变种类型快,对常规依靠特征检测的杀毒软件造成极大挑战,具有免疫性,感染文件以exe,vbe,wsf,jpg等为主,导致文件无法正常读取,关键数据被破坏,给企业及用户带来严重影响。
1.2.1 攻击流程
该类型病毒目标性强,传播方式主要通过程序、邮件进行。用户一旦点击运行了病毒文件,会通过脚本文件进行http请求,连接到黑客的服务器,并通过脚本文件,将本机信息上传,下载勒索病毒加密公钥和私钥。然后,遍历本地电脑内所有文档、图片等文件并进行格式篡改,将加密公钥写入注册表,对这些文件进行加密。加密操作执行完毕后,会在电脑的桌面位置或者其他易察觉位置生成勒索提示文件,让感染用户缴纳赎金用以换取解密密钥。具体的攻击流程如图1所示。
图1 攻击流程
1.2.2 加密流程
该病毒感染文件后,用高级加密标准(Advanced Encryption Standard,AES)加密算法随机生成一个密钥Key,用于之后的RSA加密。病毒在本地电脑端,随机生成RSA密钥,其中的公钥用于加密AES的密钥Key,且私钥将被加密后隐藏在某个文件中。上一步的RSA私钥,则被另一个RSA公钥加密,且加密后的私钥仅为黑客本人所有。加密流程如图2所示。
图2 加密流程
勒索病毒往往具有大规模爆发、传播迅速、无法解密、隐蔽通信等特征。以下从传播范围、危害性、隐蔽性3个方面做简要阐述。
(1)传播范围广。勒索病毒感染了终端的用户电脑,病毒自动运行,为了避免被杀毒软件等安全防护类软件的查杀,还会删除自身样本,用户的网络连接正常,会直接接到勒索病毒服务器,自行完成加密公钥和私钥的下载。同时,相同局域网内其他电脑也会一并进行感染,如果同一局域网内的网络防护措施较弱,将导致整个局域网沦陷。
(2)损失巨大。用户电脑感染勒索病毒后,勒索病毒会将电脑内所有文档、视频图片、压缩文件、邮件信箱和数据库文件等进行加密,并修改文件格式,统一命名为.WNCRY,提示用户支付赎金,用户若未在规定时间内支付赎金,则会被强制删除电脑内数据且无法修复,而且也有部分的勒索病毒制造者,即使对其完成了赎金的支付,也并没有给出相应的解密密钥,既造成钱财损失,又使得用户数据丢失。
(3)隐蔽威胁。勒索病毒进入电脑后,能够自我复制,驻留系统注册表,修改系统服务,篡改系统内核数据,以此躲避杀毒软件的检测,导致传统的安全防御技术对其难以检测,直到用户被劫持数据、勒索赎金。因此,勒索病毒攻击于无形之中,来去无踪,危害巨大,后果严重。
近年来,网络安全事件的爆发给校园网的安全也敲响了警钟,校园网的安全隐患主要来自内网和外网两个方面。对于校园网安全建设主要从培养网络安全意识、建立网络安全机制和网络安全管理团队建设3个方面进行分析。
2.1.1 培养网络安全意识
网络安全意识的培养在网络安全建设中是最突出的。2014年起,每年9月的第三周,在中央网络安全和信息化领导小组领导下,由中央网信办牵头,教育部、工业和信息化部、公安部、新闻出版广电总局、共青团中央等相关部门共同举办国家网络安全宣传周,旨在培育有高度的安全意识、有文明的网络素养、有守法的行为习惯、有必备的防护技能的“四有好网民”[3]。
培养师生网络安全意识,就是要让“没有网络安全就没有国家安全”的意识深入内心,让“网络信息人人共享、网络安全人人有责”的意识落地生根,让师生加强法制观念,文明规范上网习惯、增强个人信息保护意识。
2.1.2 建设网络安全机制
建立网络安全机制有利于校园网的安全稳定,校园网的安全防御中,网络安全机制的建立是其中一环,可对整个网络架构实现安全保障的最大化和损失危害的最小化,涉及网络架构的物理和逻辑结构两方面。在安全防御方面,校园网最常用的手段是防火墙技术。为使校园网内网安全,一般会在出口处加入出口防火墙,有效阻止外网攻击,对校园内部网络的攻击,则会在内网与服务器之间加增数据中心防火墙,避免内网攻击。安全防御中的IPS(入侵防御系统)和IDS(入侵检测系统)可主动判断网络行为是否具备攻击性,从而也成为对安全隐患进行预防的有效手段,这两种入侵检测手段可识别恶意攻击,并进行拦截,从而开启保护模式。
对于校园网,还需建立分层、分段的安全保护机制,即各部门间划分不同的网段,设置不同的权限,培养各部门均有网络安全管理人员,在网络安全预警发出后,可即时接收信息,缩短响应时间。网络安全管理人员平时还需定期地更新操作系统补丁并指导部门人员下载安装,应用软件也需及时升级,减小安全隐患。
2.1.3 网络安全管理团队建设
数据显示,中国网络安全人才缺口巨大,中国高校培养的信息安全专业毕业生近3年仅3万余人,不足市场需求量70万的5%[4]。由此可见,高校网络安全管理团队的建设任务是相当艰巨的。为了加强校园网安全管理团队建设,不仅需要学习网络安全技术知识,还需要学习相关的法律法规,并推行适合学校实际情况的规章制度。根据各类人员分工的不同,所进行的培训也应更有针对性,比如系统管理员,不仅需要有扎实的知识,还需要对硬件的升级、管理、维护及相关规章制度等都要熟悉,而对于普通用户来说,应重点培养他们的网络安全意识和网络安全素养,通过分层有目的地培养,逐步建立起良好的网络安全管理队伍。
(1)数据备份强于预防勒索病毒传播。勒索病毒的威胁性极强,它的爆发时间短,当前,对于被感染勒索病毒的机器,只能采取格式化电脑的方式,删除电脑内所有数据文件,重新安装操作系统,除此之外,没有更优的解决方案。如此操作之后,若用户平时未对重要数据进行备份,则将导致用户电脑内储存的数据被清空,无法还原,损失巨大。因此,在应对勒索病毒威胁时,必须事先做好预防工作,若在病毒感染前做好数据备份,提前采取数据保护措施,使核心数据得到有效保护,可以避免造成不可挽回的损失。
(2)科学备份数据。正常备份工作应做到时刻备份,确保每周备份一次。对于极度重要的数据文件,甚至可以做到每天备份,备份文件可以保存到不同的存储设备中,备份范围可包括硬盘及网盘内的所有数据文件。若能够对数据文件进行科学备份,一旦受到病毒威胁,则可以将数据恢复到之前的正常状态,避免数据丢失造成威胁。大量实践证明,在面对病毒威胁时,数据备份的效果要明显优于病毒感染后的系统修复、漏洞扫描、病毒查杀,这是最安全的手段之一。在面对病毒威胁时,不论是个人还是团体,都不应该有侥幸心理,及时、有效地进行科学备份工作,通过保证数据安全,避免受到病毒攻击。
尽管网络安全隐患无法全面排除,但这些漏洞可通过采取安全技术和提高预防意识两方面入手,也是面对校园网终端用户的应对方案,具体如下。
在安全技术方面可以采取的措施:(1)开机前可断掉网络,定期备份计算机内重要数据文件,避免重要文件感染勒索病毒后丢失。(2)将电脑里防火墙功能开启,并添加相关的安全策略,关闭TCP445端口和UDP135,147端口,避免通过该端口在局域网内传播病毒。(3)升级最新的防病毒安全软件,自动更新病毒特征库,提升安全防护效果。(4)打开Windows更新服务,给操作系统安装最新系统补丁。(5)安装反勒索防护工具。
在预防意识方面可以采取的措施:(1)对于陌生可疑邮件,尤其是带有链接或附件的,提高警惕,不要轻易点击打开,避免邮件附件变成攻击工具。(2)Office宏运行方面的提示,不可直接点击运行键,有效阻止Office组件的攻击路径。(3)需要安装更新软件时,从官方网站进行下载,后缀名为js,vbs等文件要确保其安全方可打开。(4)定期进行电脑全盘扫描病毒,清理各类系统垃圾、流氓软件及插件。
本文通过对WannaCry勒索病毒的传播途径、攻击流程、危害和特点进行分析,从而引发对校园网网络安全的思考,并提出了校园网信息安全应对措施。虽然网络安全的防护不是铜墙铁壁,但积极采取有效的应对方案,加强制度、人员等的防范意识,有意识地主动减轻网络安全风险,从而降低或避免网络安全方面的损失。科学技术在进步发展,网络安全管理人员形成梯队管理,业务水平整体提升,也有利于校园网安全的稳固。