[安全]WannaCry小问答

此文为科普性质，其中对一些漏洞和机制的描述并不十分准确，欢迎留言讨论。

五月初全球爆发的勒索软件事件实在让人记忆犹新，很多莫名其妙的词汇突然出现在大众眼中，令人目不暇接。那么，这到底是怎么回事呢？希望下面这几个小问答能帮到你。

1. 什么是永恒之蓝？

这是一个黑客攻击工具包里面的一个模块，英文是Eternalblue，这个工具包在2017年4月中被影子经纪人（Shadow Brokers）公布。永恒之蓝利用了Windows系统中（除Win10外）的SMB漏洞对系统进行内存溢出（越权改写），一旦中招，你的电脑就会变成黑客的“肉鸡”，任人鱼肉。

2. 这个工具包具体是个什么东东？

这个黑客工具包非常强大，下载解压后大概有几百兆，一共有23个工具，有12个是针对Windows系统的。影子经纪人从方程式组织（Equation Group）中窃取到这个文件，它被认为是美国NSA黑客团队使用的工具，而且压缩包里的log文件显示NSA曾入侵中东SWIFT银行系统。

3. 那么445端口跟上面这些东西有什么关系？

445端口是在局域网中共享文件夹、共享打印机的服务端口。这里需要结合SMB漏洞举一个或许不太恰当的比喻：如果说你的电脑是一座小房子，445端口相当于一个烟囱，SMB相当于壁炉，本来嘛，你只会从壁炉外面丢可靠的柴火进去，可是这次黑客就从烟囱那丢了些催泪弹，燃烧弹这些东西进去，那可不就糟了吗！

4. WannaCry又是什么？

还是继续用上面的房子比喻，这就是黑客从你烟囱那丢下来的杀伤性武器。把你系统里面的东西加密，然后用密码索要赎金。这东西全称是WannaCrypt0r 2.0，再多的信息也没找到了，加密勒索软件的机理大家都知道，不细说啦。

5. 能不能介绍一下SMB漏洞？

这个漏洞1997年就被发现了，这么多年来一脉相承，基本也没对它做过很大的修整。这个漏洞刚被发现的时候，并没有引起很大的重视，因为SMB其实是用于文件传输的一个模块，一般来说，用户没有文件传输需求（换句话说，就是用户没有主动去下载文件）的时候，这个漏洞很难被利用。但是技术发展啊，发展得飞快啊，当SMB被用于更多的场景的时候，问题就来了。比如说，你的excel文档里面有几个网址链接，本来它是文本形式的，可是office会帮你渲染成一个超链，这时候SMB就启动了；或者说，你开了微信和QQ跟人聊天，别人给你发了一张图，聊天软件就会帮你导入啊，这时候SMB又启动了，这些场景里用户都没有主动去干什么呀，只是在进行别的活动的过程中被动启用了SMB，就中招了。这次的永恒之蓝，连用户进行什么“别的活动”都不需要，只要你开着Windows（Win10以下），只要你的电脑是联网的，只要你的445端口开着，你就中招，可不可怕？

6. 微软提供的修复补丁效果如何？真的修复了漏洞吗？

唉，实话说，并没有哎。我在第一点的时候写到说这本质是个内存溢出，现在的补丁就是在溢出之前加了一个过滤条件，并没有在实际上制止溢出。Win10倒是实现了，那部分系统内存不能被溢出改写，所以说Win10系统开了445端口也不怕（暂时）。

7. 用户能做什么？

为保安全，关闭445端口！关闭445端口！关闭445端口！还是上面的例子，你把烟囱封起来了，敌人就不能从烟囱里丢炸弹了。可是……除了烟囱，还有窗啊，门啊这些可以被丢炸弹的地方啊，所以还是要勤补丁，平时多了解一下怎么保护自己的电脑。

8.最后制止了病毒扩散的Kill-switch是什么？

现在黑客植入病毒，其实都是通过控制用户电脑后让电脑自己去下载的，有人在反编译这次的病毒的时候发现了一串网址（就是病毒源啦），发现其中有一个域名是空域名，并没有被注册。于是他就赶紧去注册了这个域名，这样有什么用处呢？

实际上，在病毒软件里插一个无效域名的检查是用来防止安全专家对病毒进行编译分析的，因为专家在取得病毒样本后，会把它放在sandbox环境里运行，这个环境会给病毒模拟一个对病毒来说“什么都可以”的状态。所以在这样的环境中病毒请求一个不存在的网址的话，sandbox照样会给出回应。这样的不存在的网址检测其实就是为了让病毒确认是不是处在安全环境中。这次这个空域名被注册了，实际上就是欺骗了病毒，让它把真的现实环境当成了sandbox环境，为了避免被分析，它的所有功能就停止了。