5月14日,雷锋网发现,微信群里在传播这样一则消息:
“2017年5月12日,新型勒索软件“Wannacry”大闹全球。****研究员发现,该勒索软件存在蔓延到智能移动终端的严重隐患,智能电视、智能汽车,甚至工控移动感知终端等物联网设备都可能会成为勒索软件“Wannacry”新变种的攻击目标。警惕勒索攻击变形回马枪,知己知彼,提前防护,莫让IoT设备成为‘永恒之砖’!”
雷锋网编辑看到这个消息的第一反应是:“你真的不是在逗我?针对 Windows 系统SMB 漏洞的这波勒索蠕虫还能跨平台向智能移动终端蔓延?甚至往工控移动感知终端走?”
谨慎起见,雷锋网编辑先找到了消息源,发现确实是一个移动安全厂商在其官方微信所发。为了再次求证,雷锋网编辑向 360 企业安全工业控制安全国家地方联合工程实验室主任陶耀东咨询:“Wannacry”勒索病毒在工控内网上是不是会蔓延?在工控移动感知终端上会吗?
陶耀东告诉雷锋网编辑,之前有诸多新闻曝出,“Wannacry”勒索病毒已经蔓延到加油站的机器上,其实加油站的机器所在网络已经很接近工控内网,确实不排除该勒索病毒会往工控内网走,最严重的是,工控内网因为业务需求,有很多系统 445 端口一般都开着。而且,工控内网的系统很多机器是 Windows 系统,因为工控内网系统更新起来十分困难,即使补丁出来了,由于考虑到业务的稳定性和可靠性,很多用户也选择不更新,有些工控内网系统甚至 10 年都没有进行过升级和更新补丁,非常担心这波病毒大面积蔓延到工控网络中,造成更严重的损失甚至安全事故。
在著名安全研究员余弦的公号“懒人在思考”5月14日的新推文中,他也解释了为什么“Wannacry”勒索病毒会蔓延到内网:
当下,国内还是无数单位靠着内网隔离来对抗攻击者,这种方式早被证明非常之脆弱。就比如这次的勒索蠕虫传播,怎么进入大内网的?可以这样:
1) 感染掉一台边界上的 Win 服务器,这台服务器可通内网,于是内网遭殃;
2) 在某个场景下感染了某个人的 Win 电脑,这人跑到其他大内网去上网,于是内网遭殃。
感觉要接触到真相了,那么,它会往工控移动感知终端走吗?
专注工控内网安全多年的陶耀东一时语塞,因为对他而言,似乎工控领域没有这么一个专门词汇“工控移动感知终端”,他试探性地问:“这里指的是传感器?”
雷锋网编辑顿悟:这是一个被生造出来的词,一个工控安全领域的“老医生”都没听过,聊起来很尴尬。
陶耀东还告诉雷锋网,目前所谓的类似移动终端控制设备,在工控领域应用类似移动终端,是一个发展趋势,但仍然在发展中,应用量还不大,所以就算勒索病毒要感染到“工控移动端”(并不是指这一波),可能还需要一段时间,中间还涉及工控移动控制设备的平台多样性。
为了交叉求证,雷锋网接着又采访了一位紧跟此次“Wannacry”勒索病毒感染的专注 Windows 系统安全方面的专家以及一位做移动安全的技术专家。
前者的第一反应是:不能让这种消息蹭热点炒作,针对 Windows 系统SMB 漏洞的这波勒索蠕虫确实不能跨平台向智能移动终端蔓延。后者直接说:这个真是掉节操,这次被蠕虫攻击的是 WinXP,物联网系统都是 linux 系统,工控还有自己的嵌入式系统。
上述两者的观点与雷锋网的猜测一致。
上述匿名的 Windows 系统安全专家提醒,这一波“Wannacry”勒索病毒不可能蔓延到跨平台的智能移动终端,但是这几年都发现了很多针对智能移动终端的勒索软件,而陶耀东指出,勒索病毒往工控领域走,这些都是趋势,要重视。
最后,雷锋网编辑觉得,另外一个消息值得重视:移动安全厂商 TrustLook 的创始人张亮刚刚在朋友圈发布消息称,他们收集到了51个“Wannacry”勒索病毒的蠕虫变种。所以,大家还是要认真预防,赶紧行动吧。
