网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

哈钦斯开始追踪 Mirai。他与 Kryptos Logic 的同事一起专研 Mirai 的代码样本，然后创建了可以渗透进入 Mirai 僵尸网络之中的程序，该程序可以截听其中的命令并通过 Twitter 实时递送攻击新闻：https://twitter.com/miraiattacks。2017 年 1 月，袭击利比里亚的那个 Mirai 僵尸网络对英国最大的银行劳埃德银行发动了袭击，试图敲诈勒索，这场袭击导致该银行的网站几天内多次离线。

得益于他开发的 Mirai 跟踪器，哈钦斯找到了向该僵尸网络发送攻击指令的服务器，并发现那是个提供「DDoS 攻击租用服务（DDoS-for-hire）」的服务器。而在该服务器上，他发现了注册该服务器的黑客的联系人信息。哈钦斯很快在即时通信服务 Jabber 上找到了他，其用户名为 popopret。

哈钦斯要求这个黑客停止攻击。他告诉 popopret 说他知道他本人并不对攻击劳埃德银行直接负责，他只是出租了 Mirai 僵尸网络的使用权。然后他发送了一些消息，包括因为无法访问网站而被困在国外无钱可用的劳埃德银行客户的推文。他还指出劳埃德银行是英国的关键基础设施，如果继续攻击，英国的情报机构肯定会追踪到攻击者。

这场 DDoS 攻击停止了。

拯救互联网的英雄

2017 年 5 月 12 日中午时分，英国皇家伦敦医院的一位年轻麻醉师 Henry Jones（化名）发现出问题了。

他没法登陆医院的邮件系统。他当时与房间里的其他医生吐了吐槽，毕竟他们的办公电脑还用着老旧的 Windows XP，英国 NHS 的系统也老是有各种问题，他们都习惯了。

但就在这时，一位 IT 工作人员走了进来，说这次问题更加不同寻常。一个病毒似乎正在医院的网络上传播。他们重启了办公室内的一台电脑，Jones 看到了带锁图案的红色屏幕，上面写着：「糟糕，你的文件被加密了！」屏幕下方写着需要支付 300 美元的比特币才能解锁该机器。

但 Jones 没时间困惑，他还有手术室的工作要做。但这时候他得知手术室的电脑也中招了，当天安排的其他手术也被迫取消。这场网络攻击不仅袭击了这家医院的网络，而且瘫痪了整个信托医院网络，其中包含伦敦东部地区的五家医院。

Jones 很震惊很愤怒。这难道是对多家 NHS 医院的协同攻击？没有病人可看，Jones 那天其余时间都在帮助 IT 人员拔掉电脑网线。后来他看新闻才知道发生了什么：这不是针对他们的攻击，而是一种正在互联网上疯狂蔓延的自动化蠕虫病毒。设施陈旧的医院遭受重创，手术被迫取消，急救被迫延迟……Jones 意识到：人们可能因此失去生命。

网络安全研究人员将这个蠕虫病毒命名为 WannaCry，得名于其在加密文件时添加在文件名称后的 .wncry 扩展名。WannaCry 在加密计算机时还会使用名为 EternalBlue 的一套强力代码传播自身。EternalBlue 是一个月前由一组名为 Shadow Brokers 的黑客从国家安全局（NSA）窃取出来并公布在网络上的，老旧的 Windows 计算机很容易被其感染。现在，NSA 这个高度复杂的间谍工具变成了武器，几个小时内就在全球范围内造成了前所未有的勒索软件大流行，受害者包括德国铁路公司 Deutsche Bahn、俄罗斯联邦储蓄银行、汽车制造商雷诺、日产和本田、中国多所大学、印度的警察局、西班牙电信公司 Telefónica、联邦快递和波音。短短一个下午的时间，该病毒就破坏了将近 25 万台计算机的数据，预估损失在 40 亿-80 亿美元之间。而且情况似乎还将继续恶化。

那个星期五下午 2:30 左右，买完午餐的马库斯·哈钦斯坐回电脑前才看到这场互联网大灾难。

几分钟后，一个代号 Kafeine 的黑客朋友给哈钦斯发送了 WannaCry 的代码副本。来不及吃午餐，哈钦斯就开始剖析这些代码。

首先，他在隔离的虚拟机中运行了这个程序。然后很快他就注意到其在执行加密时会向一个看起来随机生成的网址发送一条查询信息：iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

很显然，这个病毒采用了「命令-控制」模式，即某个地方的服务器能给被感染的计算机发送控制指令。哈钦斯将这个网址放到浏览器中，却发现根本没有网站。

因此他访问了域名注册商 Namecheap，在下午 3:08 用 10.69 美元注册了这个地址。哈钦斯希望此举能让他从 WannaCry 创造者那里夺回部分受害计算机的控制权。或者他至少可通过 sinkholing（沉洞）技术获知受害计算机的数量和位置。