图1:勒索病毒肆虐后的界面
资料来源:互联网,安信证券研究中心
与以往勒索病毒传播不同的是,这次勒索病毒大爆发主要源于通过一种被称之为EtenalBlue(永恒之蓝)的蠕虫病毒,该病毒是NSA(美国国家安全局)基于Windows系统网络端口445漏洞开发的一种网络攻击工具,其可以通过网络端口445在局域网内自动进行病毒传播。在今年4月,永恒之蓝被黑客获取,5月全球互联网即出现勒索病毒爆发,据Avast统计,目前病毒已感染全球至少5.7万台Windows系统电脑,并仍在迅速蔓延中。根据360检测显示,5月12日下午,WannCry病毒发动全球性攻击,在中国校园网扩散,夜间高峰期每小时攻击约4000次。
图2:受本次病毒影响的地区
资料来源:互联网,安信证券研究中心
此次病毒事件影响范围之广、性质之恶劣在互联网历史上都是非常罕见的,就目前曝光的国外重大影响有:1)英国10多家医院最先遭受病毒攻击导致瘫痪,病人资料威胁外泄,手术被迫取消,病人转移;2)德国和意大利的大学计算机实验室受到影响;3)西班牙大量公司受到攻击,包括电信巨头Telefonica,电力公司Iberdrola和公用事业公司Gas Natural都不幸中招;4)葡萄牙电信公司,联邦快递公司,瑞典当地政府和Megafon,俄罗斯第二大手机网络,也表示受到影响。中国也未能幸免。自5月12日起,中国各大高校校园网成为重灾区,数十所高校受到了不同程度的攻击;5月13日凌晨,中石油部分旗下加油站出现断网情况;中午起,部分公安部门出入境系统遭受攻击。
这次网络攻击是一种复合型网络攻击,涉及到勒索病毒(WannaCry等)、蠕虫病毒(永恒之蓝)、比特币,其中永恒之蓝强悍的传播性更是此次病毒传播肆虐的罪魁祸首,又因为其源于NSA,成为NSA自斯洛登曝光的“棱镜门”事件后又一次泄密事件。
在对此次事件进一步剖析之前,我们先认识下勒索病毒、蠕虫病毒和比特币:
1)勒索病毒:勒索病毒是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播,这种病毒利用各种加密算法对文件进行加密,所有文件均被加密技术锁死,禁止用户正常读取,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
2)蠕虫病毒:蠕虫病毒是自包含的程序,它通过网络能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中。
3)比特币:比特币是一种“电子货币”,由计算机生成的一串串复杂代码组成,基于密码学的设计可以使比特币只能被真实的拥有者转移或支付。这确保了货币所有权与流通交易的匿名性。比特币的匿名性,很多时候也被不法分子当做洗钱工具,欧洲刑警组织发布的《2015年度互联网有组织犯罪威胁评估报告》中提到,犯罪分子40%的在线支付是使用比特币完成的。
简单说:勒索病毒+比特币的组合,确保了黑客不用担心勒索用户的货币交易被追溯,而且比特币支付还具有跨境支付的便捷性。勒索病毒+蠕虫病毒的组合,又不同于传统勒索病毒钓鱼式传播,蠕虫病毒极大的增强了勒索病毒传播范围和传播速度。下图中,永恒之蓝负责寻找漏洞目标,WannaCry负责加密用户文件,要求通过比特币支付赎金。
图3:本次病毒攻击流程
资料来源:知道创宇,安信证券研究中心
WannaCry、永恒之蓝和比特币的组合这次真的是让全世界的中招用户真的“想哭”。如果给上面三大金刚在这次破坏事件中的作用排个序,我们认为,永恒之蓝将是第一。勒索病毒形式多样,存在时间已久,说简单点,其就是一种加密算法,这种病毒制造并不复杂,难的是如何传播和入侵。早期,勒索病毒通过网站、邮件等形式进行钓鱼式传播,在当期的网络安全体系下,其影响有限。而永恒之蓝这种蠕虫病毒就不一样,其基于Windows系统漏洞,可以做到神不知鬼不觉的入侵局域网内的其他机器,一旦用户机器被入侵,是进行系统破坏还是进行数据勒索可谓手到擒来。2007年的“熊猫烧香”病毒也是一种蠕虫病毒,当年造成的影响也是轰动一时。
而更让人深思的是,这次永恒之蓝是源于NSA黑客工具库泄露,也就是说NSA找到了Windows网络端口445的漏洞机制,并开发了永恒之蓝作为黑客工具。更让人意外的是,大名鼎鼎的NSA这次居然栽在了黑客组织 Shadow Brokers手里,2016年8月,Shadow Brokers就声称攻破了给NSA开发网络武器的美国黑客团队方程式组织(Equation Group),公布了其中部分文件,其公开拍卖据称是美国政府使用的黑客工具,索要100万比特币。2017年4月,一直没有收到赎金的Shadow Brokers一怒之下一口气暴露了剩余文件,包括23个神级黑客工具,多个Windows 远程漏洞利用工具,永恒之蓝还只是其中之一。
这件事情其实在安全圈并非什么新鲜事,我们找到了今年4月国内知名网络安全机构i春秋的一篇文章(http://mp.weixin.qq.com/s/6HsnLeDsO7WXe0kqhHQPNw)就已经提及此次Shadow Brokers公布的多个NSA神级黑客工具,我们也找到了2016年推酷上的文章http://www.tuicool.com/articles/MnUjeiN,其对Shadow Brokers和NSA这次交锋有更详细的介绍,有兴趣的可以详细看看,相信会对网络安全世界有全新认识。
其实,NSA网络工具被泄露从时间上,已经不是什么新鲜事,尤其对于网络安全圈,4月微软也发布了相关补丁,但是最终这次永恒之蓝+WannaCry真的弄哭了很多人,甚至一些机密部门,国内外慨莫能外。安全和威胁,网络攻击和网络防护是一个永恒的话题,彼此在对抗中提升,作为用户,能做的也很多:及时更新系统补丁、安装网络安全软件、做好数据备份等等。而对于政企客户,也都是在安全威胁下提升自身的安全意识和安全投入。我们相信这次事件,将是对用户的一次深刻教育,对网络安全整个产业链都将深远影响。
1)网络战可能会成为未来战争的主要形式。本次445系统漏洞是由NSA先发现,但并不公之于众,而是利用漏洞来开发网络武器。 Shadow Brokers又出于政治目的和经济利益攻击并泄露了NSA一大波网络攻击工具,最终导致永恒之蓝被黑客获取,结合勒索病毒和比特币,创造此次全球互联网重大事件。日前,巴菲特在伯克希尔哈撒韦股东大会上说过,“我对大规模杀伤武器是很悲观的,但我认为发生核战争的可能性要低于生化武器与网络攻击”。随着我国国家安全法和网络安全法的推出,国家对网络安全作为“第五空间”的主权意识更加突出,网军作为新的军种也将在舞台发挥更大作用。
2)数据!数据!数据!数据作为重要的资产,其安全性安全将会越来越受到关注。在大数据、云计算的浪潮之下,数据已经成为重要资产,如何保障数据安全将会成为重要命题。此次勒索病毒通过加密用户数据造成用户数据不可用,从而勒索用户。数据的重要性不言而喻,此次事件将是对广大用户一次深刻的网络安全教育。
国家对网络安全十分重视,高层曾多次强调:没有网络安全,就没有国家安全!2016年国家颁布的《网络安全法》将于今年6月1日起开始执行,加之本次重大网安事件,将进一步驱动国内信息安全的发展。
投资建议:重大安全事件历来都是推动网络安全发展的重要推手,斯洛登事件后,我国在网络安全立法和国产化上取得了重大发展。此次肆虐全球的勒索病毒事件也是源于NSA泄露的永恒之蓝蠕虫病毒,对全球互联网用户都是一次深刻的教训,也将成为推动网络安全发展的重要事件,建议重点关注:北信源、启明星辰、南洋股份、绿盟科技、任子行等。
风险提示:行业竞争加剧、下游客户投资不达预期。
