美国APT泄露的军火——美国网络武器管理失控，成为网络犯罪的工具

大家好，我是紫队安全研究。近期我将连载美国APT针对全球的历史安全事件，希望能帮助到大家。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击"紫队安全研究"进入公众号首页，然后点击右上角的【...】,然后点击【设为星标】即可。

2017年4月，“影子经纪人”事件分批曝光了NSA的网络武器装备，涉及大量系统级零日漏洞利用工具和先进的后门程序。美国未能实施有效管控，导致“军火级”网络攻击武器泄露，引发了全球用户的极大恐慌。在一个月后，WannaCry勒索蠕虫仅利用美国NSA网络武器中的“永恒之蓝”（Eternalblue）漏洞，就制造了一场遍及全球的巨大网络灾难。

事件回顾

“永恒之蓝”漏洞被黑客利用实施勒索攻击：2017年5月12日，黑客利用NSA泄露的“永恒之蓝”漏洞传播“蠕虫式”勒索软件WannaCry，该蠕虫利用基于445端口的SMB漏洞MS17-010在全球范围感染了大量Windows系统计算机。受病毒侵害的电脑文件被加密，受害者向黑客支付赎金后才可获取密钥解锁恢复文件。WannaCry勒索病毒造成了一场全球性互联网灾难，至少150个国家、30万名用户中招，造成损失达80亿美元，影响到金融、能源、医疗等众多行业，造成严重的危机管理问题。微软在2017年3月份发布了该漏洞的补丁，“影子经纪人”在2017年4月14日公布的“方程式组织”使用的网络武器中包含了该漏洞的利用程序，而黑客正是运用了这一网络武器，针对所有未及时打补丁的Windows系统电脑实施了此次全球性大规模攻击。

这是一起严重的因网络武器扩散导致的大规模网络安全事件。超级大国无节制地发展网络军备，但又不严格履行保管义务，已经严重影响互联网的安全基础和信任。从此次事件也可以看出，高能力的网络武器一旦失控泄露，将快速转化为普遍性的攻击能力，从而引发雪崩式的社会风险。

各方反应

2017年4月16日，中国国家互联网应急中心（CNCERT）负责的中国国家信息安全漏洞共享平台（CNVD）发布了关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告，对“影子经纪人”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报，并对可能产生的大规模攻击进行了预警。

事件爆发后，2017年5月13日，CNVD发布了关于重点防范Windows操作系统勒索软件攻击的情况公告，综合360、安天等单位已获知的样本情况和分析结果，明确该勒索软件在传播时基于445端口并利用SMB服务漏洞（MS17-010），总体可以判断是由于此前“影子经纪人”披露漏洞攻击工具而导致的黑产攻击威胁。根据CNVD普查的结果，互联网上共有900余万台主机IP暴露445端口（端口开放），而中国大陆地区主机IP有300余万台。CNCERT对勒索软件及相关网络攻击活动进行了监测，建议广大用户及时更新Windows已发布的安全补丁，同时做好网络边界、内部网络区域、主机资产、数据备份方面的防护工作。

卡巴斯基在WannaCry勒索软件攻击事件爆发后随即发布报告，称这次网络攻击所用的黑客工具“永恒之蓝”，是由黑客组织“影子经纪人”此前在网上披露，来自NSA的网络武器库。犯罪分子利用了微软Windows操作系统的一个弱点，对运行该系统的计算机开展广泛攻击。

安天曾在2017年1月发布的2016威胁年报中指出，网络武器的扩散全面降低了威胁行为体的攻击成本，勒索模式带动的蠕虫回潮将不可避免。果然，在安天发布威胁年报4个月后，WannaCry开始爆发并迅速进入全球性感染模式。安天对该勒索软件利用的SMB漏洞MS17-010进行了分析，并将其定性为“军火级攻击装备的非受控使用”。

360安全团队在2017年5月12日检测到一款新型勒索病毒正在利用“永恒之蓝”漏洞武器迅猛传

播，迅速发布警报呼吁民众及时安装系统补丁和安全软件。WannaCry大规模爆发期间，360获取到样本后，推出了系列解决方案。

小结

超级大国储备有大量的网络武器，一旦被窃取泄露，可能造成的网络威胁及影响难以预料。“影子经纪人”的曝料让美国一批军火级网络攻击装备浮出水面，这些漏洞利用工具和恶意代码载荷的外泄，被低层级网络空间威胁行为体广泛利用，酿成了包括WannaCry大爆发等网络安全事件。由此深刻反映出美国网络攻击超级武器库的丰富储备和强大能力，以及因其未有效管控造成泄露被恶意使用而引发全球网络安全事故的极端严重性。WannaCry利用的“永恒之蓝”漏洞只是网络武器中的沧海一粟，更多泄露的网络武器可能被有背景有纪律的网络攻击组织针对性地使用，其衍生的危害可能不低于“永恒之蓝”，只是因为没有造成明显的大范围危害而尚未能引起足够的重视，但它们的存在和泄露才是更令人担忧的。 

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：美国APT泄露的军火——美国网络武器管理失控，成为网络犯罪的工具