王忘杰

旧事重提,美国国家安全局与永恒之蓝比特币勒索病毒到底是什么关系
啥病毒?我有360 -路人甲辣鸡,我用win10自带的杀毒 -路人乙? -360
扫描右侧二维码阅读全文
31
2017/10

旧事重提,美国国家安全局与永恒之蓝比特币勒索病毒到底是什么关系

1509006426288.png

啥病毒?我有360 -路人甲
辣鸡,我用win10自带的杀毒 -路人乙
? -360

提要

对于知识,不同的人的有不同的看法,有的人点到为止,有的人吹毛求疵。本人长期关注安全圈并参与某些活动,因此本文会以一个安全爱好者的身份为大家带来一个不一样的解析。

名词介绍

棱镜计划

Seal_of_the_U.S._National_Security_Agency.svg.png

棱镜计划(英语:PRISM)是一项由美国国家安全局自2007年开始实施的绝密级电子监听计划。该计划的正式名称为“US-984XN”。
国家安全局在PRISM计划中可以获得的数据电子邮件、视讯和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知,以及社交网络细节。
2007年和2008年,美国政府曾威胁雅虎:如果雅虎不按照美国国安局(NSA)的棱镜计划要求,向其缴交网站的使用者资料,那么将受到政府每日25万美元的罚款处罚。
美国国家情报总监James Clapper发布了一份声明,证实了美国政府在长达近六年的时间里一直以保卫国家安全为由,利用诸如Google和Facebook等大型互联网服务公司收集位于美国境外的外国人的信息。

特定入侵行动办公室

特定入侵行动办公室(英语:Office of Tailored Access Operations)是美国国家安全局其中一个部门,主要工作是收集其他国家的电脑信息,大约在1998年设立。国家安全局称其为“电脑网络的非法利用”。

方程式组织

方程式组织(英语:Equation Group)是一个十分先进而隐秘的计算机间谍活动团体,计算机安全专家Claudio Guarnieri和一位匿名前情报组织成员怀疑其与美国国家安全局(NSA)有所关联。Equation Group是由卡巴斯基实验室命名,命名的原因是该团体在间谍活动中喜好使用复杂的加密算法和混淆策略。卡巴斯基指出,该团体的恶意软件已感染起码42个国家的各类设备。

影子经纪人
影子经纪人(英语:The Shadow Brokers,缩写:TSB)又名影子掮客,是2016年夏季出现的一个黑客组织,发布了包括美国国家安全局的黑客工具在内的数个漏洞,其中包括数个零日攻击。这些漏洞针对企业防火墙、杀毒软件和微软软件。影子经纪人称这些漏洞来自与美国国家安全局特定入侵行动办公室有关的方程式组织。其中EternalBlue工具包含的0day漏洞(MS17-010)被用于WannaCry蠕虫攻击。

MS17-010
Microsoft 安全公告 MS17-010 - 严重
Microsoft Windows SMB 服务器安全更新 (4013389)
发布日期:2017 年 3 月 14 日
执行摘要
此安全更新程序修复了 Microsoft Windows 中的多个漏洞。如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。

永恒之蓝
永恒之蓝(英语:EternalBlue)是美国国家安全局开发的漏洞利用程序,于2017年4月14日被黑客组织影子掮客泄漏。
尽管微软于2017年3月14日发布操作系统补丁修补了这个漏洞,5月12日WannaCry勒索软件利用这个漏洞传播时,很多Windows用户仍然没有安装补丁。
由于WannaCry的严重性,微软于2017年5月13日为已超过支持周期的Windows XP、Windows 8和Windows Server 2003发布了紧急安全更新,以阻止WannaCry的传播。

勒索软件
勒索软件是一种特殊的恶意软件,又被人归类为“阻断访问式攻击”(denial-of-access attack),其与其他病毒最大的不同在于手法以及中毒方式。其中一种勒索软件仅是单纯地将受害者的电脑锁起来,而另一种则系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密档案。勒索软件通常通过木马病毒的形式传播,将自身为掩盖为看似无害的文件,通常会通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播。

WannaCry
WannaCry是一种利用NSA的“永恒之蓝”(EternalBlue)漏洞利用程序通过互联网对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索软件兼蠕虫病毒(Encrypting Ransomware Worm)。该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币,使用Tor进行通讯,为WanaCrypt0r 1.0的变种。

比特币
比特币(英语:Bitcoin)是一种用去中心化、全球通用、不需第三方机构或个人,基于区块链作为支付技术的电子加密货币。

时间回溯

如果你已经对上面的名词有了一定的了解,那么我们按照事件线的顺序对事件做一个完整的回溯。

1998年,美国安全局成立主要工作是收集其他国家的电脑信息的特别入侵小组
2007年,美国安全局实施棱镜计划
2015年,卡巴斯基发布了关于方程式组织的调查报告,该组织被怀疑为美国安全局旗下的国家级黑客组织
2016年,影子经纪人发布了数个与美国安全局有关的漏洞以及攻击工具,其中包含eternalblue永恒之蓝漏洞信息
2017年3月14日,微软对所有在生命周期内的系统发布了针对永恒之蓝MS17-010的补丁4013389
2017年4月14日,微软修复漏洞的行为引起了影子经纪人的不满,eternalblue相关利用工具被全部放出。
2017年5月12日,WannaCry勒索软件爆发
2017年5月13日,微软发布了对已经过了生命周期的系统,包括xp win8 2003的紧急安全更新补丁,以阻止WannaCry的传播

疑难解答

永恒之蓝是什么玩意?
永恒之蓝是一个针对微软smb文件共享服务的漏洞利用工具,该漏洞编号为ms17-010,补丁编号为4013389.

勒索病毒跟比特币有关系?
永恒之蓝比特币勒索病毒实际上只是一个利用永恒之蓝工具传播的勒索病毒,而比特币仅仅是赎金的支付手段

win7是否更脆弱?
我们不难看出,win7的补丁已经在勒索软件爆发的前两个月,永恒之蓝利用工具发布的前一个月就已经发布。
而病毒爆发的直接原因是win7的系统更新被手动关闭了

win10是否受影响?
如果不打补丁,那么以下版本的win10将受影响
win10 正式版 x86 x64全部版本
win10 1511 x86 x64全部版本
win10 1607 x86 x64全部版本
因此win10免疫勒索病毒,实际上只是win10自动更新已经修复了ms17-010漏洞。win10并没有对勒索软件的免疫能力。

国内xx卫士的修复工具怎么来的?
国内xx卫士针对xp的修复工具仅仅是通过防火墙关闭了smb协议的通讯,跟修复完全扯不上关系

总结
如果真相很复杂,人们就不会去关心。在网络上依然大量流传诸如win7不安全,win10免疫勒索病毒等错误的说法。我不能改变所有人,但我希望看到文章的你,能了解到真相,仅此而已。

最后修改:2017 年 12 月 27 日 03 : 57 PM

发表评论