來源:界面新聞王付嬌
剛剛過去的一個週末是對互聯網安全從業者的一場大考。
安全從業者像是在和病毒的始作俑者玩一場“貓和老鼠”的遊戲。勒索病毒攻城掠地,襲擊一個又一個國家地區、感染醫院、學校、警察局,甚至連邊檢站也遭到毒手;安全人員像救火一樣研究病毒樣本、提醒用戶儘快修補漏洞,試圖止住蔓延的趨勢,降低用戶損失。
情況剛剛好一點的時候,網上又有關於勒索病毒2.0版本的消息出現,用戶“心又提到了嗓子眼”,在這場與勒索病毒的攻防戰中,不少安全人員都徹夜未眠。病毒已經可以達到“載入史冊”的量級了,他們的故事同樣值得被記錄。
D1:病毒來了
從5月12日週五晚發現勒索病毒開始,360安全監測與響應中心負責人趙晉龍就幾乎沒有合過眼。
週五晚上,趙晉龍就陸續在論壇上看到有學校學生感染了某種蠕蟲病毒,通過Windows系統的445端口,感染用戶數據,勒索比特幣。趙晉龍放下睏意,起來開始蒐集信息,職業本能告訴他,這場病毒來頭不小。
凌晨1點半,同事打電話來,說客戶那邊出事兒了。對方是超大型企業客戶,同事的電話堅定了趙晉龍的判斷,這是個很大的事情,得馬上搞定。
當時市面上還沒有任何報道,能做出判斷的原因有兩點:第一,在安全界,蠕蟲和勒索病毒是兩個最大的混蛋。蠕蟲會自我複製、傳播性強,現在有些老蠕蟲即使沒有危害了,但依然在活動,一旦發現就像牛皮蘚一樣難以根除;勒索病毒是這幾年的新興事物,在業界被稱為“數字綁票”,破壞用戶數據,給掛一個鬧鐘倒計時,簡單粗暴。
現在,這兩個最大的混蛋聚在一起,簡直是暴亂。
判斷過後,客戶的問題是當務之急。由於趙晉龍的團隊偏後端,在凌晨1點半時,就有同事趕往“現場”了,他們必須第一時間出現在客戶辦公室。
去現場的路上,作為負責人的趙晉龍順帶叫醒了幾個主力同事。安全團隊的同事有個習慣,睡覺不關機、也不靜音,24小時隨時stand by。
週六凌晨3點左右,在客戶那裡,趙晉龍的團隊拿到了病毒樣本。在另一頭,360企業安全集團總裁吳雲坤成立了一個臨時的指揮中心,一部分人趕到辦公室、另一部分先在線上辦公、遠程協助。
爭分奪秒。凌晨4點多時,360已經給出了用戶材料和簡單的措施建議。比如,這麼大樣本量怎麼能抑制住它的傳播?怎麼能保證主機不被它控制?已經中毒的怎麼清理?怎麼恢復核心業務?
結合用戶提出的具體問題,在凌晨5點左右,整個團隊拿出了一個可落地的執行方案。同時,一個臨時的免疫工具出臺。8點左右,官網信息發佈。
據360企業安全集團總裁吳雲坤介紹:“截至15日上午9點,360推送給政企客戶的預警通告更新了8個版本,提供了7個修復指南,6個修復工具。出動近千人,提供上萬次的上門支持服務,超兩萬多次電話支持服務,我們還製作了5000多個U盤和光盤發放到客戶上手上,手把手教會客戶修復電腦,配置網絡。”
一些大型企業也在第一時間重視了該病毒,避免了週一上班時的大規模感染。之前大家擔心,週一上班,將會迎來電腦開機高峰,如果沒有做好預警和安全措施,後果不可想象。
好在各地的配合也都高效積極。某銀行在上週六上午六點半就建立了響應群,將免疫工具下發,八點半部署全國防護策略,從網絡、服務器、終端360度無死角,到5月15日早晨十點半,全行無一例感染;南寧市網信辦聯合發改委信息中心、南寧公安局網安支隊在13日下午召開緊急會議,由網安支隊提供360的第七套解決方案,並由網安支隊刻了600張光盤,由發改委、網信辦、網安支隊一起發放全市各政府企事業單位,整個南寧的病毒感染率極低。
對付電腦病毒,頭24小時是戰爭的最關鍵時間。
“同行競爭也是存在的。大家都在比誰跑得快,誰會脫穎而出。所以你會看到,很多公司都在輸出各種版本的報告和病毒防治方法。”互聯網安全創業公司白帽匯員工吳明告訴界面新聞記者。
吳明認為,做安全企業,一定要對自己和用戶負責。報告一定是要自己驗證過的才能發佈出去。所以在發現勒索病毒後,吳明和他的團隊第一時間做的工作是搭建測試環境、搭建攻擊環境、反反覆覆做樣本測試。
“團隊最開始也是在網上先交流信息,也通過一些圈內朋友瞭解樣本資源,雙方互相交換。週六開始樣本測試。我們在後來運行樣本時發現,很多細節並不像網上說的那樣。”吳明說。
每個樣本文件都有特定的“哈希”(hash),安全術語特定字符串的意思,有點類似一個唯一識別碼。根據不同文件的哈希,吳明的測試在不同平臺上展開。
毫無疑問的一點是,這樣反覆驗證反覆測試,會影響報告發布的時間。“準確度是會影響時間,我們是為了驗證與其他人不同的地方,找出差異性。”
在最後的報告裡,吳明他們對勒索病毒的重要時間線進行了梳理——從不同時間跨度到各種里程碑事件,那些圈內圈外知道不知道的事情,都被一一盤點了出來。也解答了用戶對微軟的抱怨——微軟早在今年3月份就推過一輪補丁了。
中證網聲明:凡本網註明“來源:中國證券報·中證網”的所有作品,版權均屬於中國證券報、中證網。中國證券報·中證網與作品作者聯合聲明,任何組織未經中國證券報、中證網以及作者書面授權不得轉載、摘編或利用其它方式使用上述作品。凡本網註明來源非中國證券報·中證網的作品,均轉載自其它媒體,轉載目的在於更好服務讀者、傳遞信息之需,並不代表本網贊同其觀點,本網亦不對其真實性負責,持異議者應與原出處單位主張權利。
相關推薦
