勒索病毒危机前传：漏洞攻击工具上月泄露

　　勒索病毒事件继续发酵，截至5月15日，我国已有包括公安、边检、加油站、医疗机构、学校、铁路、民航等在内多个系统受到波及。

　　回溯此次勒索病毒的起源，一种颇为流行的说法是，一家名为“Shadow Brokers”（影子经纪人）的黑客组织，盗取了美国国家安全局（NSA）网络武器库中的相关文档和漏洞工具。

　　如果此说属实，那么“影子经纪人”在今年4月14日泄露的一份117.9 MB的美国NSA机密文档，就可以被视为本次勒索病毒危机的一次预演或者说前传。当时被泄露的文档中，就包含了多个Windows远程漏洞利用工具。

　　“十年一遇”的非交互式远程漏洞攻击工具

　　尽管微软曾宣称，Windows系统已经超过十年没有出现非交互式远程攻击的漏洞了。但此次的勒索病毒事件，正好应了“十年一遇”的窘运。

　　此次事件的背后黑手——“影子经纪人”曾在今年4月14日泄露了一份117.9 MB的美国NSA 机密文档，内含23个最新黑客工具，其中包含了多个Windows远程漏洞利用工具。

　　当时就曾有网络安全研究团队推测，由于此次泄露的漏洞几乎涉及到所有的Windows版本，故一旦拥有了这个工具，远程攻击者可以非常简单地入侵受影响的系统，要做的也许仅仅只是输入目标的IP。

　　安恒信息安全研究院院长吴卓群向澎湃新闻（www.thepaper.cn）记者展示了一份报告，这份报告为当时他的研究团队对泄露和利用工具进行的分析结果报告。

　　这份名为《NSA泄露SMB端口漏洞 全网安全风险报告》（以下简称“报告”）显示，当时所泄露的工具将会影响到的Windows版本包括但不限于Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

　　报告中对主要攻击工具做出了如下说明（见下图），并表示多个工具都是利用了SMB的远程利用漏洞来进行攻击，漏洞影响大，危害范围广。

　　安恒信息安全研究院对NSA泄露SMB端口漏洞的主要攻击工具分析报告 图/安恒信息安全研究院

　　吴卓群称，当时团队分析发现，当攻击者利用泄露的工具成功入侵目标机器后，会在目标机器对应的SMB端口植入一个名为Doublepulsar的后门程序。远程攻击者可以利用该后门向目标机器植入dll或者shellcode。而这一些都可以在悄无声息的情况下发生。

Doublepulsar后门程序运行状态 图/安恒信息安全研究院

　　据吴卓群表示，大部分的漏洞发生在windows内核对协议处理的过程中，一旦后门被植入，攻击者就就可以毫无阻碍地向目标机器植入dll或者shellcode，植入的任意程序或者代码将以系统最高权限运行，系统就此将被完全控制。而上述分析结果也在此次勒索病毒事件中得到了印证。

　　风险分布：港台受冲击最大

　　在该次泄露事件发生后，安恒信息安全研究院对全球开放SMB端口的2901094个主机进行了探测分析发现，在当时被确认存在相关漏洞的主机有164263个，可能存在漏洞的主机至少达1787640个（无法远程明确探测），受威胁主机占比高达67.2%。

　　值得注意的是，其中检测到中国漏洞主机数量为57591个，占全球的35%，风险指数位居首位，美国受影响数为25086。

全球开放SMB端口的主机分布图 图/安恒信息安全研究院

当时全球存在风险漏洞的主机分布视角图 图/安恒信息安全研究院

　　而在当时，全球范围内检测发现被入侵植入Doublepulsar后门的主机就已达94613个。其中检测到美国被植入后门主机数量为58072，占全球数量的61%，中国被植入后门主机数量为20655，占全球数量的22%。

　　全球范围内检测发现被入侵植入Doublepulsar后门的主机分布视角图 图/安恒信息安全研究院

　　在当时，安恒信息安全研究院还对国内可能受到影响的主机进行了分析。

　　分析结果显示：检测到中国开放SMB端口的主机数量为513682。其中，国内受漏洞影响的主要地区分布在台湾、浙江、山东、江苏、北京。

　　其中，台湾数量为17506位，占全国总量的30%，居首位，浙江数量为10162，占比18%。

　　国内已被植入后门的主机数量为20655。其中，被入侵主机主要分布在香港、台湾、贵州、江西以及浙江，其中香港数量12335，占全国总数的59%。

中国存在漏洞威胁的主机分布视角图 图/安恒信息安全研究院

国内已被植入后门主机的地域分布情况视角图 图/安恒信息安全研究院

　　冰山一角