勒索病毒或將大爆發，你的手機也逃不過

Xtecher【錯別字基金】溫馨提示：如果您在閱讀過程中發現錯別字，請在文章底部留下說明＋聯繫方式，我們會立刻發給您5-88元隨機紅包一個。

這次黑客入侵引起了巨大恐慌，然而這很可能只是剛剛開始，更大的爆發或許就在不遠的將來。

作者｜趙心源

編輯｜賈聰聰、陳光

微信公眾號ID｜Xtecher

序

5月12日晚，勒索病毒「WanaCrypt0r 2.0」席捲全球，它可以讓被感染的電腦在10秒內鎖住，文章被加密無法打開，至今仍無法被解密。全球至少150個國家和地區，包括醫院、學校在內的許多個人用戶、企業及政府機構都遭受了蠕蟲攻擊。

幸運的是，此次病毒高發時間是北京時間周五晚上，給我們留出了足夠的應對時間。但本次襲擊也暴露了我們在網路安全防範上存在的嚴重問題。

綠盟安全安全研究部總監左磊日前在中國計算機學會青年計算機科技論壇上表示，這次危害的創新性在於勒索程序和蠕蟲相結合，黑客利用微軟公開的漏洞補丁中修復的漏洞進行了攻擊。

聽起來有些費解，但事實的確如此。公布漏洞補丁和用戶下載安裝之間有個時間差，而且公布的漏洞補丁介紹了漏洞詳情，黑客利用這個時間差和漏洞詳情就可以輕易攻入還沒有及時修復漏洞的系統。如果用戶在黑客攻擊之前及時根據微軟提供的漏洞補丁修復漏洞（微軟當時沒有發布Windows XP的補丁），就可以避免此類攻擊（1day）。這是一個尷尬的存在。造成這個問題是原因是：一類是用戶缺乏安全意識，不及時對系統進行修復，解決方式只能是用戶增加安全意識。還有一類是用戶想修復，但聯網就會中招，這類問題安全廠商已經通過種種手段解決了（除少數特殊情況外）。

本文想要反思的是，PC之外，是否面臨類似的勒索隱患？Xtecher調查發現，PC上的攻擊只是冰山一角，其他設備處於更大的安全隱患中。因為，移動設備、車聯網和物聯網很難升級，安全廠商難以憑藉一己之力抵禦攻擊。

碎片化的Android

據FreeBuf報道，早在2014年就已經出現了用簡訊傳播病毒的Android手機勒索軟體Koler。此後，勒索病毒的技術在不斷升級，甚至出現了讓受害者用語音說出解鎖密碼的奇葩勒索軟體。以盜取網銀為目的的木馬也層出不窮。在移動支付等功能大規模普及的今天，移動硬體一旦遭受攻擊，危害不亞於PC。

避免感染Android勒索軟體的常用方法有以下幾點：不要安裝未知來源的應用程序；不要給手機中的應用提供不必要的許可權；保證及時修補安卓的漏洞。

這些都能實現嗎？

360互聯網安全中心於2017年1月發布了《2016中國安卓系統安全性生態環境研究》。這份報告是基於360安全衛士的漏洞掃描隨機抽取了70萬台手機的用戶分析而來的，檢測內容涵蓋了近兩年來Android和Chrome36個主流漏洞，包括Android系統的各個層面，並且與設備本身無關。

報告顯示，截止至2016年12月，現存用戶中99.99%的Android手機存在安全漏洞，僅有0.01%的Android手機沒有安全漏洞。其中，99.5%的手機存在被攻擊者遠程攻擊的風險。

移動安全公司Trustlook創始人&CEO張亮接受Xtecher採訪時表示，手機系統的安全更新是很困難的一件事，手機是廠商定製開發的，每個手機打補丁的方式都不同，並且都要做兼容測試，對廠商而言很困難。廠商在其維護周期內，通常會隔一段時間向用戶推送一次升級版本，能做到每月1次更新的廠商寥寥無幾，能夠進行修復的，往往是少數高端機型，而用戶在大多數情況下可以自主選擇升級或不升級。綜上，在Android系統的安全漏洞方面，也產生了嚴重的碎片化問題。

360的報告中也證實了這一觀點，報告顯示，綜合對比用戶手機系統的更新狀態、安卓官方的更新狀態和手機廠商的更新狀態，與安卓官方最新更新情況相比，用戶的手機系統平均滯後了約6.7個月；但如果與手機廠商已經提供該機型的最新版本相比，則平均只滯後了2.4個月，用戶手機因未能及時更新而存在安全漏洞的重要原因之一，就是手機廠商普遍未能實現其定製開發的安卓系統與安卓官方同步更新，而且延時較大。

張亮認為，安卓系統更新不及時特別是很多中低端手機，主要是因為手機廠商優先從商業利益的角度來思考問題。安全不是不受重視，而是當安全和商業利益發生衝突時，廠商往往去犧牲安全而去單邊保商業利益。這樣造成的結果是，手機賣出後廠商不願為用戶提供後面幾年的技術和升級支持。

張亮還表示，安卓代碼是開源的，我們能很清楚的知道谷歌每月修補了哪些漏洞，在高端機修復漏洞的同時，也同時把漏洞昭告天下黑客，他們能在很短的時間內搞清楚漏洞在哪裡，如何做利用去拿到手機控制權，現在利用漏洞並不是一件很難的事。我們過去曾看到每次當一個遠程利用漏洞給修補後，黑客組織都有對4G和LTE網路進行大規模掃描，企圖遠程利用漏洞大規模入侵手機和平板等移動設備。

對此，谷歌一直在解決安卓碎片化的問題，據外媒報道，谷歌推出了Project Treble，在Project Treble的全新模塊化體系下，谷歌直接將由晶元製造商用於控制底層程序的「Vendor Implementation（VI）」介面和整體的安卓框架分離，使新的供應商介面可以通過供應商測試套件進行驗證。在此之前，每次有新系統，廠商就必須升級大量安卓代碼，現在OEM（代工）商則可以跳過晶元供應商直接將新版系統推送給用戶。

不安裝未知來源的應用程序，就能保證你的手機安全嗎？

2015年，ArkTeam和合天網安實驗室聯合發布的WormHole蟲洞漏洞實驗顯示，一個由百度提供的軟體開發包Moplus被曝內含後門，攻擊者可以輕易利用這一後門侵入用戶的Android移動設備。這個事件被稱為「百度全家桶」，據不完全統計，百度雲、百度新聞、愛奇藝視頻等數十個應用均受影響。這個漏洞影響了許多安卓平台用戶量過億的App。

蘋果手機IOS也非絕對安全。同樣在2015年，IOS平台也發生了XCodeGhost事件，開發者使用了非蘋果官方渠道的開發程序，導致正常的蘋果APP被植入惡意代碼，甚至連微信也沒有倖免；2017年3月，有人發現不法分子通過濫用或購買企業證書打包非法App的情況；漏洞也可能發生在第三方，谷歌Project Zero員工Gal Beniamini公布了博通的Wi-Fi晶元的漏洞，漏洞可能導致受害者的設備被完全控制，相應機型的蘋果和Android手機均會受到影響。

當手機惡意軟體和蠕蟲相結合，後果更不堪設想。5月13日，在GeekPwn舉辦的GeekPwn 年中賽上，來自騰訊玄武實驗室的「X興趣小組」就成功演示了一種新的移動安全威脅模型——手機殭屍，Wombie Attack。

這是一種全新的移動安全攻擊思路。不但可以實現傳染式的攻擊，而且攻擊過程不依賴互聯網。攻擊者會入侵附近的手機，並將手機改造成新的攻擊者。

騰訊玄武實驗室負責人於暘（tombkeeper）表示：「如果軟體開發者對手機軟體的安全性繼續這麼不重視的話，涉及移動設備的更大規模數字災難遲早會發生。」

張亮告訴Xtecher，這個災難的大規模爆發不是可能發生，而是一定發生，智能移動設備的普及是一個基礎，目前已經普及完成。現在手機具備了支付功能，這又是一個基礎。手機上的數據對地下黑產有了巨大的價值。最後，有重要數據的人會為此買單。

無法升級的物聯網

相比於通常只會造成信息和財產損失的手機，一旦智能網聯汽車、物聯網遭受攻擊，受影響就可能是人身安全了，如果說Android是碎片化不易升級，那麼物聯網、智能網聯汽車就是幾乎無法升級。在這裡，我們以智能網聯汽車為例進行說明。

「其實安全問題很容易變成這樣，在沒出問題之前大家都覺得不是問題，好像做什麼都是杞人憂天。」中國軟體評測中心的智能網聯汽車測試工程師薛曉卿對Xtecher說，「PC或者手機被入侵，對個人來說的話可能就是丟失一些個人信息，最多造成財產的損失，但如果汽車被入侵的話，可能損失的就不光是論文或者資料了。」

2016年的騰訊互聯網安全領袖峰會上，GeekCar參與協辦了「智能汽車安全分會場」，會上，騰訊科恩實驗室薛偉透露，最近也有黑客在研究榮威RX5，通過挾持手機App 來打開車門車窗。關於針對汽車的攻擊，就連TPMS 胎壓監測也可能成為入口，胎壓過低就會自動剎車，從而對用戶造成危險。

就在2016年的9月20日，科恩實驗室完成了全球首次「遠程入侵」特斯拉的壯舉。此次攻擊通過特斯拉車輛的互聯網路實現，這是他們能夠實現「遠程無物理接觸」的前提。

相比PC，車企修復聯網汽車的軟體漏洞要更為困難，只能通過召回和OTA升級來解決，但特斯拉這種通過OTA升級來解決問題的車企還是少數，因為一旦開啟了OTA，意味著系統反而可能會被病毒「升級」。

除了智能網聯汽車，物聯網也存在安全問題。據2016年9月30日外媒報道，安全專家稱，黑客利用多達100萬台中國造攝像頭、數字視頻錄像機和其他設備，生成造成攻擊目標不能被正常訪問的網路流量。Level 3發現，在最近的攻擊中，中國廠商大華生產的攝像頭和視頻錄像機「功不可沒」。專家還表示，黑客通常通過感染有惡意件的計算機或不安全的WiFi路由器劫持聯網設備，並能藉此發動攻擊。

應對措施

近日，阿里雲安全專家吳翰清以及亞馬遜AWS首席雲計算技術顧問費良宏在接受獵雲網採訪時表達了對此事件的分析。

吳翰清認為，目前大部分學校基本都是一個大的內網互通的區域網，網內單台計算機都可連接互聯網，如果學校沒有使用合適的安全策略，所有機器都將直接在互聯網上暴露。

費良宏說：「很多企業都認為，內網是一個一勞永逸的辦法。所以他們更加忽視了內網信息安全防控。但我們必須承認，當企業實行了內外網隔離，但又缺乏相應嚴格的安全標準執行，並且長期處於安全監控和防範技術缺失的情況下，存在大量安全漏洞的專屬網路，肯定會成為被攻擊的對象，並且爆發程度更嚴重。」

那麼，公有雲是合適的解決方案嗎？但如果所有的數據都在雲里，黑客成功攻擊雲的收益會不會更大？

360首席安全官譚曉生在中國計算機學會青年計算機科技論壇上表示，雲裡面的虛擬機可能被感染，雲用戶的系統有各種各樣的版本，沒打補丁的都會中招。但是放在雲儲裡面是不是就安全了？這也不可能是百分之百保證的。

他解釋說，（在雲伺服器上）通過多個渠道重複存儲或傳輸數據以防止數據的丟失是成立的，因為一個利用漏洞的蠕蟲只會影響一類系統，而這不是雲本身的安全。此外，雲服務商往往有專門團隊看著，補丁打得及時，比在自己的電腦上安全係數高一點。不過，「放在雲里就安全了」的說法從邏輯上來講是不可能成立的。

那麼，我們究竟應該如何進行安全防護？

對於互聯網企業，在線教育企業VIPKID公司安全團隊帶頭人Secsky結合自己從零開始建立安全團隊的經歷，在2017 FreeTalk北京站上進行了分享。他認為，企業需要做的是建設+運營的工作，實際上是循環的過程，企業在挖掘安全需求，確認安全目標進行安全規劃和體系建設後，需要持續地進行安全運營和體系優化完善，這個過程應該伴隨企業的成長。

近日，斗象科技CTO張天琪向Xtecher介紹了漏洞盒子企業SRC，它是一個一站式企業SRC託管服務平台。平台內彙集安全專家資源，擁有國際漏洞審核體系，並能企業級定製，幫助企業保證安全的同時避免企業不必要的投入。

Android系統的安全只能依賴於廠商，對於應用的安全，張亮在接受採訪時表示，Trustlook開發了融入AI演算法的靜態和動態病毒查殺引擎。二者機制不同，基本上是對立、互補的關係。動態引擎指通過軟體的真實行為數據來定位惡意軟體/惡意行為。與之相對應的是靜態引擎，根據軟體的代碼特徵來找到惡意軟體。傳統的移動廠商只用靜態引擎，在病毒檢測準確率和反應時間上都很滯後。移動端的動態查殺引擎是Trustlook從成立開始獨創的技術，在其成熟之後也做了自己的靜態引擎。這套解決方案可以全平台通用，並可針對不同用戶進行需求定製。

薛曉卿談及智能車聯網的安全時認為，汽車的升級介面肯定要留，我們不能因為害怕被利用而不去研究更便捷的技術，但為了防止病毒升級，必須做好介面的防護工作，同時，還要結合市場綜合考慮是否能在車輛端加隔離設備及其成本，是否會影響現有系統，通過軟體實現的可靠性及被破解的風險。但無論如何，為了安全，這些措施都是必不可少的。

阿里雲安全專家祝建躍認為，整個IOT行業的安全解決方案要從晶元做起。IOT的安全要conver是端+管道+雲三大部分，本質還是要將安全做到事前預防。

中關村網路安全與信息化產業聯盟企業移動計算工作組組長王克向Xtecher提出了意見：「無論是移動網路、固定網路，還是物聯網，甚至獨立的智能設備，軟體是網路功能實施者也是網路安全事件的製造者，因此，加強網路空間軟體管控將是網路安全建設的核心任務。針對當前我國的移動終端安全問題，應該實施移動app開發審核、實名簽名與驗證機制，建立移動軟體安全服務產業。首先從政府和企業的移動信息網路做起，建立規範的移動應用市場生態，逐步影響和輻射到移動消費市場，促進中國移動信息化健康可持續發展。」

投入遠遠不足

目前，信息資源對人類社會的重要性超過了能源和物質資源，成為社會生產力中起主導作用的因素，其必要性和重要性已經被世人認同。隨著國內信息化建設的發展，信息安全領域的競爭也在不斷推進，行業在不斷發展，在這個過程中，我們也面臨種種挑戰。

聯想之星投資副總裁胡國中向Xtecher表示安全行業的投資很難，他認為，難點在於市場規模和技術原創，目前假自主自主知識產權，OEM，招投標的不透明控標行為，阻礙了中國獨立安全公司的發展，因此希望國家在制度層面有所改革與創新，給有技術創新力的小公司以發展空間。威客安全的創始人兼CEO陳新龍對該觀點表示認同並補充說，市場拓展能力、技術核心競爭力以及良好的公司管理制度也很重要。因此，投資安全行業是很難的一件事。

擁有國內外200餘家安全公司，1000餘款安全產品，10萬+安全從業者的威客安全是一家基於「互聯網+安全」模式的網路與信息安全產業平台。其發布的《2016年「信息安全」項目公開招標大數據》顯示，據不完全統計，2016年全國「安全項目」公開招標共計607標，總額達14.6億RMB。威客安全的創始人兼CEO陳新龍表示，中投顧問發布的《2016-2020年中國信息安全產業投資分析及前景預測報告》指出美國信息安全投資佔IT總投資佔比約為10%左右，而我國這一比例不到2%，投入遠遠不足。

胡國中認為，雖然投入佔比遠遠不足，但是隨著網路安全法的落地，中國的新創網路安全企業會有一個爆炸式的發展，比如在物聯網安全、雲安全和數據安全等方面。接下來，網路安全將圍繞去邊界化、雲化、智能化的維度快速發展，不管是從技術層面還是理念層面來說，我們都會在10年左右的時間後達到美國安全行業的水平。

結語

1983年，凱文米特尼克因被發現使用一台大學內部電腦擅自進入Internet的前身ARPA網，並通過該網入侵美國五角大樓電腦，而被判管教6個月。這一事件成為黑客攻擊的開山之作。

在這篇文章中，我們僅僅從入侵的角度來分析，個人信息的數據泄露往往不會像勒索軟體這樣引人注目。黑客攻擊只是信息安全的一部分。

Shadow Brokers泄露漏洞的時間是在4月14日，勒索軟體攻擊在5月12日爆發後，有人依舊中招，甚至有人恐慌到不敢開機。日前，Shadow Brokers發布了一篇聲明，將從2017年6月開始公布更多0day漏洞，然而留給我們的時間不多了。

下個「永恆之藍」或將6月爆發，我們還會幸運嗎？

參考資料

1. 左磊. YOCSEF論壇速遞：綠盟信息安全左磊《勒索軟體技術分析的技術報告》[EB/OL].

http://xtecher.com/Xfeature/view?aid=5943, 2017-05-17

2. cindy. 用簡訊傳播病毒：最新Android手機勒索軟體Koler[EB/OL].

http://www.freebuf.com/news/48928.html, 2014-10-28

3. Alpha_h4ck. 這款奇葩的Android勒索軟體竟然讓受害者用語音說出解鎖密碼[EB/OL].

http://www.freebuf.com/news/127810.html, 2017-03-08

4. 360互聯網安全中心. 2016中國安卓系統安全性生態環境研究[EB/OL].

5. 銳志. 谷歌再出手整治安卓碎片化推Project Treble加速系統升級[EB/OL].

http://tech.qq.com/a/20170514/016207.htm, 2017-05-14

6. hh619. 實驗詳解WormHole蟲洞漏洞——百度moplus後門揭秘[EB/OL].

7. Gmxp. 你以為這就是全部了？我們來告訴你完整的XCodeGhost事件[EB/OL].

https://security.tencent.com/index.php/blog/msg/96, 2015-09-19

8. venkkk. 專坑國人！不法分子正大量濫用蘋果iOS企業證書[EB/OL].

http://www.freebuf.com/news/129066.html, 2017-03-13

9. Gal Beniamini. Over The Air: Exploiting Broadcom』s Wi-Fi Stack[EB/OL].

https://googleprojectzero.blogspot.com/2017/04/over-air-exploiting-broadcoms-wi-fi_4.html, 2017-04-04

10. 白書記. 汽車越來越智能，bug 也越來越多，專家們都是怎麼看的？[EB/OL].

http://geekcar.com/archives/53600, 2017-03-08

11. 白書記. 全球首次！騰訊科恩實驗室成功「遠程入侵」特斯拉[EB/OL].

http://geekcar.com/archives/50706, 2016-09-16

12. 王藝多. 比特幣勒索病毒的爆發，或促使公有雲時代全面到來[EB/OL].

http://www.lieyunwang.com/archives/312851, 2017-05-18

13. 霜葉. 黑客借大量攝像頭等聯網設備發動大規模互聯網攻擊[EB/OL].

http://tech.ifeng.com/a/20160930/44460982_0.shtml, 2016-09-30

14. Elaine. 數據清洗、智能網聯汽車與企業安全建設：FreeTalk北京站看點回顧[EB/OL].

http://www.freebuf.com/fevents/133993.html, 2017-05-09

━━━━━

封面設計：王思寧 排版：陳光 校對：楊靜

━━━━━

Xtecher官網平台現開通認證作者，

（添加好友請註明公司、職位、事由）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！