大揭秘！WannaCry、Petya勒索病毒“幕后元凶”竟是它

　　2017年5月份，永恒之蓝勒索蠕虫病毒(WannaCry)肆虐全球，导致150多个国家，30多万受害者遭遇勒索软件攻击，医疗、交通、能源、教育等行业领域遭受巨大损失。该勒索软件之所以有如此大的威力，主要是其借助了军火级的网络漏洞利用工具。黑客分子拿着军用武器，冲入民用设施，扫荡所到之处，破坏与掠夺之惨烈可想而知。

　　近日，360威胁情报中心发布了《2017年中国高级持续性威胁(APT)研究报告》，其中提到，以永恒之蓝为代表的漏洞利用武器库大规模试水，标志着网络军火进入民用化的阶段，也使业界和公众进一步加深对APT攻击与威胁的认识和理解。

　　据《报告》介绍，2017年泄露的网络武器库的最终源头主要有两个：一个是据称是NSA旗下的方程式组织，另一个据称是美国中情局(CIA)直属的网络情报中心。

　　网络军火两大泄露源头助纣为虐

　　影子经纪人最早在2016年8月就开始对外兜售据称是NSA的网络武器或攻击工具。该组织自称获得了方程式组织的网络武器，并在GitHub公开拍卖。随后，斯诺登则隔空响应了影子经纪人的判断，公开了NSA绝密文档中几处技术细节，证实NSA攻击工具与方程式组织攻击武器属于同源软件。

　　图：影子经纪人兜售的武器与斯诺登曝光的NSA武器细节特征完全吻合

　　而中情局也雇佣了大批计算机网络顶尖技术人员，配合各个项目、行动持续进行武器研发。据报道，截止2016年底，CIA直属的网络情报中心拥有超过5000名员工，总共设计了超过1000个木马、病毒和其他“武器化恶意代码”。而2017年，从特朗普政府大幅提高军事预算的政策倾向看，CIA从事网络武器库开发人员数量会大幅增加。

　　《报告》中提到，CIA开发的一些网络武器，在命名上非常具有欺骗性。比如一款名为“精致美食”的黑客工具，貌似一款普通的打广告的推广软件而已。而“蜂房”也看似一个无害的程序，但实际可以攻击互联网路由器，建立被感染设备之间的通讯链路。

　　关于这些网络武器是否已经流入民用领域，维基解密表示：中情局对其黑客武器库已经“失控”，其中大部分工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”，存在“极大的扩散风险”。

　　WannaCry背后竟有APT组织的影子

　　不论是已经借助漏洞武器爆发的WannaCry和petya，还是正面临扩散风险的其他黑客武器，这背后似乎也暗藏着APT组织的影子：Google的研究员发现，2017年2月的一个疑似WannaCry的早期版本和APT组织的样本之间具有一定的相似性。由此可见APT组织与漏洞武器几乎如影随形，因为只有掌握最新的漏洞武器，他们才能针对目标发起更加精准、致命的攻击。

　　图：疑似WannaCry的早期版本与某APT组织的样本对比

　　从安全角度看，武器库的泄露致使大量高精尖的攻击性恶意程序，散播到开放的互联网，给一般的黑客、网络不法分子可乘之机，利用这些武器级工具肆意渗透系统、窃取数据信息、破坏信息基础设施等，将给广大普通互联网用户带来巨大危害，WannaCry就是最典型的代表。

　　而且武器级工具和普通的恶意软件、渗透工具等结合，让很多攻击行为同时具备高级攻击手段和一般手段的特性，增加了犯罪分子的隐蔽性，也会干扰监测识别高级威胁。某种程度上，抬升了安全研究者的门槛，增加了APT的防控难度，网络安全企业仍然任重道远。