可信计算，让“EternalBlue”不再永恒

一、事件还原

近日，全球多个国家正在遭受一款被称作WannaCry的勒索软件的攻击，包括各国的医院，能源，公共服务设施以及大学都不同程度的受到该恶意软件的攻击。据分析这一恶意软件利用了Windows中被称作“EternalBlue”（永恒之蓝）的漏洞，而该漏洞的发现者是美国国家安全局（NSA）。微软已于今年3月通过MS17-010补丁修复了该漏洞（微软甚至对已经不支持的Windows XP，Windows 8和Windows Server 2003版本推出了特别版补丁。）。但一家名为ShadowBrokers的组织4月发布了多款来自NSA的黑客工具，其中就包含针对该漏洞的工具。很明显，许多组织并未及时安装补丁。本次勒索软件是3月底时曾经出现过的勒索软件的变种。据称新版本的勒索软件已波及了至少74个国家的数万台计算机。受影响地区包括俄罗斯、中国、法国和日本等。

其实早在去年从黑客组织“影子经纪人”宣布攻陷NSA方程式小组（震网、火焰病毒创造者）武器库时，已经为今天遭受攻击埋下伏笔，根据网络安全机构通报显示，永恒之蓝是NSA网络军火库民用化第一例。

目前已知NSA武器库共十个 EternalBlue（永恒之蓝）、EternalChampion（永恒王者）、EternalRomance（永恒浪漫）、EternalSynergy（永恒协作）等。

“永恒之蓝”还没有真正解决，“永恒王者”可能就如同“王者荣耀”开场台词一样，“30秒之后到达战场！！！”，如此之多的0day攻击，这是“信息安全不能承受之重”，但又“为之奈何”？

本次大规模爆发的漏洞到底是微软的“无心之失”还是“有意为之”？相信大家见仁见智，都有自己的看法。

二、攻击技术分析

不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起网络攻击。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏，无需用户进行任何操作，只要开机联网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。

病毒的大致攻击过程为，首先利用MS17-010漏洞攻击Windows主机，然后执行dllpayload释放mssecsvc.exe并注册服务。之后会释放dropper执行文件加密过程，在加密过程中，蠕虫会释放一个加密模块到内存，直接在内存加载该DLL。DLL导出一个函数TaskStart用于启动整个加密的流程。程序动态获取了文件系统和加密相关的API函数，以此来躲避静态查杀。同时mssecsvc服务会继续在内网查找其他主机进行感染。恶意软件还会通过使用WMIC.exe，vssadmin.exe和cmd.exe删除受害者机器上的任何还原点，以使恢复更加困难。

三、可信计算解决方案

目前大部分安全厂商的解决方案为停止服务（SMB），关闭端口（445等），杀灭病毒，升级补丁等，但这样“头疼医头”的安全策略，面对其他“永恒”病毒及其变种时又该如何解决呢，还是封堵查杀么，这种被动的防御理念怎么能够从安全问题本源解决日益增多和潜在的未知威胁呢？！

我国可信计算先驱沈昌祥院士不止一次提出，“信息安全问题是由设计缺陷而引起，传统的计算机体系结构只强调了计算功能，而没有考虑安全防护，这相当于一个人没有免疫系统，只能生活在无菌状态下，当前大部分网络安全系统主要是由防火堵、入侵监测和病毒防范等组成，消极被动的封堵查杀是防不胜防的。”

可信华泰“白细胞”操作系统免疫平台，采用先进的主动免疫思想，使用可信计算技术，形成对未知病毒木马以及系统漏洞的防御能力，从根本上预防未来的攻击事件。

1）可信度量技术形成系统免疫能力

采用主动免疫系统防御机制，提供执行程序可信度量，阻止非授权及不符合预期的执行程序运行，实现对已知/未知恶意代码的主动防御。对于本次勒索病毒来说堵住来源mssecsvc.exe，使之通过445端口随机生成IP地址，在传播后本地自动运行收到拦截。

（图1 病毒样本运行拦截）

（图2 病毒样本拦截审计）

(图3 病毒样本运行后释放文件运行拦截日志)

2）数据文件的完整性保护

提供业务程序划分系统安全进程域和文件域；支持根据业务访问需求授权进程对文件的访问权限，确保受保护的文件不被其他进程违规访问；同时支持设置进程对授权文件以外的文件访问权限，强制限制进程只拥有合理的业务访问权限。即使用户系统在安装“白细胞”产品前已感染mssecsvc.exe病毒，进入潜伏期，我们也可以对于受保护的数据文件指定合法的访问进程，避免dropper病毒加密进程对其修改加密。

(图4  策略配置图)

（图5 受保护措施文件与无保护措施文件攻击效果对比）

（图6 文件加密篡改审计日志）

3）系统关键配置文件的完整性保护

提供基于内核层实现的文件强制访问控制，有效解决操作系统自身文件访问控制薄弱和操作系统超级用户带来的安全风险。安全机制采用对用户或进程授权读写权限的方式，限制用户或进程对系统目录、文件的访问权限，权限包括读、读写、拒绝等；通过文件强制访问控制，拒绝攻击者对重要系统文件的篡改和破坏。本次攻击中，病毒会删除系统还原文件，造成系统修复困难。使用文件访问控制机制，可以拒绝WMIC.exe，vssadmin.exe和cmd.exe删除受害主机上的还原文件。

4）计算节点的可信互联

“白细胞”操作系统免疫平台，不仅对网络内的每一台主机颁发数字来标示主机的唯一身份，在网络主机之间通信时，还要对通信双方进行身份认证，只有通过认证后，才允许主机之间建立通信会话。

同时，实时监控网络中每台主机的可信状态，主机可信状态值较低时，将自动断开该主机与网络内其他主机的网络连接，避免系统被植入病毒木马后向其他业务主机发起通信而导致的威胁扩散。

在本次安全事件中，当系统发现蠕虫的传播机制不符合预制的安全策略时，将自动降低受威胁的主机可信状态评估值，从而关闭该主机的网络通信，将受害主机隔离起来。

四、事件反思

从“火焰病毒”、“震网病毒”，到“棱镜门事件”再到“微软XP停维”，今年又带给我们“NSA网络武器事件”。一次次的安全事件说明“加快发展我国自主可控、安全可信的信息系统已刻不容缓”。

我们的自主创新是必要的，要长远发展也必须要有自己的知识产权。但同时也要警惕国产化过渡过程中的安全性问题，也可能被人利用设计缺陷进行攻击。毕竟我们信息系统在自主创新方面的积累还不够多，应承认可能会存在缺陷更多、安全问题更多的现状，那么应该采取科学的方法去保障自身的安全，就像人体的免疫系统也可以控制内生的病变一样，可信计算系统的免疫功能并不仅仅保护计算机不被外部侵扰，实现安全交互使用，还可防止自身的漏洞及缺陷被利用，保障自主创新。因此，可信计算是可以让信息系统国产化战略真正落地的重要保障。