這是2017年5月12日下午晚些時候。兩名精疲力竭的安全研究人員幾乎無法解開剛剛發(fā)生的事件。arcus Hutchins和Jamie Hankins，他們在英國的家中為洛杉磯的網(wǎng)絡安全公司Kryptos Logic工作，剛剛停止了全球網(wǎng)絡攻擊。幾個小時前，WannaCry勒索軟件開始像野火一樣蔓延，加密系統(tǒng)，癱瘓企業(yè)和歐洲各地的交通樞紐。這是十年來計算機蠕蟲開始大規(guī)模攻擊計算機的第一次。英國國家健康服務(NHS)是最大的組織之一，迫使醫(yī)生將病人轉移，急診室關閉。

在廣播新聞網(wǎng)絡中斷后幾個小時，哈欽斯 - 他當時只知道他的在線處理@MalwareTech--成為了一個“偶然的英雄”，因為無意中通過注冊惡意軟件代碼中的網(wǎng)絡域來阻止網(wǎng)絡攻擊。

仍然受到損害的互聯(lián)網(wǎng)已經(jīng)輕易脫落。這兩位研究人員在20歲出頭的時候，已經(jīng)將網(wǎng)絡從一個敵人利用西方開發(fā)的黑客工具發(fā)起的強大的民族國家攻擊中拯救出來。

但這次襲擊遠未結束。

哈欽斯和漢金斯知道殺戮開關是否熄火，惡意軟件會從停止的地方起飛，每分鐘感染數(shù)千臺計算機。蓬松的眼睛和睡眠剝奪，他們知道域必須不惜一切代價熬夜。研究人員發(fā)現(xiàn)了一個憤怒的僵尸網(wǎng)絡運營商的幾次攻擊，他們試圖通過垃圾互聯(lián)網(wǎng)流量將域名脫機。并且，在某一時刻，執(zhí)法部門從法國的數(shù)據(jù)中心查獲了兩臺服務器，因為該域名正在幫助傳播WannaCry并且沒有阻止它。

隨著壓力不斷而且空著，Hankins - 也只是假名為@ 2sec4u- 為了保持清醒而奮斗，并且會在他的沙發(fā)上睡著，他一次工作幾個小時，筆記本電腦仍然打開，只是被震動通過Slack或Skype上的消息喚醒，研究人員曾經(jīng)談過這些消息。

每當他聽到警報時，他都擔心殺戮開關已經(jīng)脫機。

“對這個支持NHS的事情負責?他媽的嚇壞了，“漢金斯告訴TechCrunch。“你需要的最后一件事是整個NHS著火的想法。”

“這可能是我遇到的壓力最大的事情，”他說。

“我想我們可以阻止它”

在5月12日開始的時候，英國新聞網(wǎng)開始報道網(wǎng)絡攻擊時間.Hankins在后臺播放電視。

據(jù)報道，倫敦幾家主要醫(yī)院都出現(xiàn)了中斷。工作人員被鎖在他們的計算機站外，文件被加密，他們的屏幕要求贖金，計時器滴答作響。NHS宣布了一起重大事件。電信巨頭西班牙電信公司(Telefonica)以及航運巨頭聯(lián)邦快遞(FedEx)，汽車制造商雷諾(Renault)，德國鐵路系統(tǒng)以及俄羅斯多個政府部門也受到了沖擊。

英國首相特蕾莎·梅稱其為“國際網(wǎng)絡攻擊”，政府似乎無能為力。

WannaCry正在從計算機傳播到計算機，這是之前在勒索軟件中看不到的功能。國家安全局(National Security Agency)開發(fā)的黑客工具很快就受到了譴責，該工具已被盜，并在網(wǎng)上發(fā)布，供幾周前使用的任何人使用。其中一個漏洞，DoublePulsar，后端漏洞的易受攻擊的計算機，而另一個，EternalBlue，用于傳送和傳播網(wǎng)絡內(nèi)的勒索軟件。

幾個月前，微軟發(fā)布了針對黑客工具的補丁。許多沒有打補丁的人看到他們的系統(tǒng)一個接一個地倒下。

“這只是不分青紅皂白地擦掉東西，”哈欽斯說。

(WannaCry感染計算機時的倒計時和贖金窗口。圖片：文件照片)

通過注冊域名，哈欽斯已經(jīng)“竊取”了勒索軟件，使他能夠捕獲和處理惡意互聯(lián)網(wǎng)流量。Hutchins找到并注冊惡意軟件樣本中的域名并不罕見。作為僵尸網(wǎng)絡和惡意軟件跟蹤工作的一部分，他通常會控制未注冊的域名(假設他們是惡意軟件控制服務器)，以查看惡意軟件傳播的速度和速度。最終目標是將惡意流量引入虛空，以識別受害者并防止進一步感染。

隨著一個域名下降，Hutchins懷疑惡意軟件可能會跳到另一個域，并要求Hankins查看。惡意軟件生成新域以試圖逃避檢測的情況并不少見。

“天哪，我想我們可以阻止它，”漢金斯回應道。

到了下午6:30，在研究人員的Slack房間里進行了激烈的討論，試圖了解Hutchins注冊的域?qū)嶋H上做了什么。但研究人員用了將近一個小時的時間來理解包含Hutchins域名的惡意軟件代碼的復雜但短片段。

“我們非常關注if-else聲明，”Hankins告訴TechCrunch，談到當下的壓力。“這很難想象，因為如果我們搞砸了，情況會更糟。”

幾分鐘后，研究人員驚慌失措，認為域名注冊導致感染。他們來回分析代碼，不確定他們是否應該保持域名，擔心他們使事情變得更糟。然后尤里卡時刻襲來。如果域不存在，勒索軟件只會引爆其有效負載。

“如果域名可以訪問它就不會感染 - 我想，”Hankins寫道。

“你讓我有史以來最長的焦慮癥，”哈欽斯回答道。“我想我會病了。”

漢金斯說，情況的壓力使分析代碼變得更加困難。新聞在后臺播放，增加了持續(xù)的壓力。

“我們花了45分鐘來查看這段代碼，”他說。“從逆向工程的角度來看，這并不復雜。”

他的Fitbit數(shù)據(jù)顯示，在他坐在辦公桌前時，他的心率平均每分鐘平均約為140次 - 相當于劇烈運動。

從kill開關收集的數(shù)據(jù)顯示，它在短短兩天內(nèi)阻止了勒索軟件觸發(fā)大約一百萬次感染。這個數(shù)字可能要高得多，不包括在一臺連接互聯(lián)網(wǎng)的中央服務器下受影響的計算機數(shù)量巨大且未知數(shù)量。自從21世紀初的Blaster和Mydoom之后，世界上還沒有看到過如此堅韌的電腦蠕蟲。

“在我開始看到這些請求以及有多少組織被感染之前，我認為這不是什么大問題，”哈欽斯說。他描述了“認知距離”如何幫助他專注于這個問題，而不是由WannaCry造成的損害或人力成本。

哈欽斯只想深入了解惡意軟件活動。他不知道早些時候注冊域名會阻止勒索軟件傳播和加密。

哈欽斯很快就被稱為“偶然英雄”。

遭到攻擊

到早上7點，兩位研究人員回過頭來討論Slack。一小時后，殺戮開關受到攻擊。

Mirai是一個功能強大的僵尸網(wǎng)絡，由成千上萬被劫持的物聯(lián)網(wǎng)設備組成，負責“有史以來最大規(guī)模”的分布式拒絕服務攻擊，開始肆虐殺戮交換域，帶來大量垃圾互聯(lián)網(wǎng)流量。幾個月前僵尸網(wǎng)絡的目標是Dyn，一家關鍵的網(wǎng)絡公司，將其脫機 - 以及依賴其服務的主要技術品牌 - 通過過多的互聯(lián)網(wǎng)流量超載它。在一次單獨的事件中，僵尸網(wǎng)絡還通過充斥著互聯(lián)網(wǎng)流量的單一海底光纖電纜，使利比里亞成為一個非洲沿海小國。

在WannaCry之前，Mirai是研究人員關注的眾多僵尸網(wǎng)絡之一。每次僵尸網(wǎng)絡襲擊時，專用的Twitter帳戶都會發(fā)布目標。

輪到他們成為僵尸網(wǎng)絡的目標。

“我們在追蹤Mirai方面非常公開，”漢金斯說。“他們不是我們的粉絲。”

kill開關通過自動擴展亞馬遜托管服務器的數(shù)量來保持其基礎，以盡可能多地吸收流量。Mirai很難打到下沉洞，但服務器還是熬了。

“我們受到了重創(chuàng)，”漢金斯說。

Kryptos Logic的首席執(zhí)行官Salim Neino經(jīng)常與研究人員接觸，但很大程度上讓他們自己處理這種情況。在傍晚時分，漢金斯向他的老板介紹了這些事件。

“你說[如果]我們的下沉孔死了那些設備被感染了嗎?”Neino問道。

“是的，”漢金斯回應道。

“誰在看這個?”Neino問道。

“整個世界，”漢金斯回答道。

“馬庫斯和我從來沒有處理過那么長時間的實時事件，”漢金斯在看到WannaCry擊中后第二天結束時回顧Slack消息時說道。“我們沒有人指導我們。您可以看到所有這些非常高級的網(wǎng)絡維護者和擁有所有這些經(jīng)驗的公司。與此同時，馬庫斯登陸了這個非常重要的領域，現(xiàn)在我們處于這場全球災難的核心。“

隨著網(wǎng)絡松了一口氣，認為危險已經(jīng)結束，大多數(shù)人都不知道任何停機會導致毀滅性的后果。即使勒索軟件不再加密文件，如果kill開關脫機，或者受感染的計算機或網(wǎng)絡無法再與kill開關通信，那么現(xiàn)在處于休眠狀態(tài)的惡意軟件仍然存在風險。其他攻擊者很快重新設計WannaCry以改變殺戮交換域，但其他安全研究人員迅速陷入新的變種，減少了勒索軟件的傳播。

Hankins說，許多人認為研究人員“會搞砸了”。

Doxxed

自從襲擊事件發(fā)生30多個小時后，哈欽斯最終得到了一些睡眠。第二天早上，他醒來發(fā)現(xiàn)他的臉貼在英國小報報紙周日版的正面。媒體找到了他。

一些記者稱哈欽斯為“英雄”，而另一些則肆無忌憚地發(fā)現(xiàn)他的身份。鑒于他的工作揭露和研究惡意軟件和犯罪僵尸網(wǎng)絡，哈欽斯只是通過他的在線處理MalwareTech。只有少數(shù)可信賴的人知道他的手柄和他的名字。

哈欽斯表示，他并不期待媒體群。

他幾天沒有離開自己的房間，低著頭試著更多地了解惡意軟件的范圍和影響。他說記者來到他家;他的父母告訴他，他們在前面的草坪上露營。

他并不擔心他的安全，但卻被注意力所挫敗。“我只是不滿意試圖幫助清理星期五門鈴不斷的混亂，”他在推特上說。

哈欽斯一言不發(fā)，一直呆在辦公桌前繼續(xù)工作。“我一直在回復[直接消息]三個小時，”哈欽斯在一篇關于大量新聞調(diào)查和安全研究人員支持的Slack消息中告訴漢金斯。“仍然看不到底部。”

(幾個英國國家健康服務醫(yī)院因WannaCry襲擊而被迫離線。圖片：Getty Images)

媒體對哈欽斯的癡迷并沒有消失。盡管他在注冊殺戮開關方面發(fā)揮了作用，但他也是一位活躍的推特，迅速成為WannaCry及其持續(xù)發(fā)展的公眾形象。

為了更多地了解當時22歲的神秘人物，記者聯(lián)系了他的朋友，出現(xiàn)在他們的房子里，并向他們提供了信息。

安全社區(qū)非常憤怒。他的盟友在Twitter上譴責哈克辛斯的努力。安全研究人員通過假名或在線處理這種情況并不少見。即便如此，即使是英國國家網(wǎng)絡安全中心也將他稱為“MalwareTech”作為他在該組織博客上發(fā)布的帖子。

現(xiàn)在，憑借自己的身份，哈欽斯知道犯罪集團會更容易針對他以前無情的工作來揭露他們的惡意在線行動。但是在針對殺戮開關的各種威脅中，他擔心不必要的注意力會分散他對當前工作的注意力。

“這是一個很大的問題，”他告訴TechCrunch。當媒體涌入他的朋友和家人時，研究人員仍然在與殺戮開關脫機的攻擊和努力作斗爭。

“我對那種關注并不好，”哈欽斯說。“我可以應對壓力，但注意力不是我非常擅長的。”

“連續(xù)數(shù)周都有數(shù)百萬記者在你身邊?這不好玩，“他說。

那天晚些時候，漢金斯出去買了所有的星期日報紙給哈欽斯作為紀念品。

哈欽斯吸收了大部分媒體的關注。但是Hankins，在WannaCry襲擊時他的真實姓名也沒有公開，并且最近幾個月才開始在他的推特賬戶中使用他的真實姓名，擔心他的身份也會被發(fā)現(xiàn)。

“我擔心[記者]會在下一次出現(xiàn)我的位置，”漢金斯說。他說，如果記者找到他的家庭住址，他如何制定計劃。

“我的計劃不是走出前門，記者本來會經(jīng)過我的側門然后從后面出來 - 這就像一條后街 - 而且一個朋友會在車里接我，我會去和他們呆在一起，“他解釋道。

但即使有關注，哈欽斯表示他并不后悔自己在阻止WannaCry方面的作用。“我可能會試圖隱藏得更好，”他開玩笑說。“但是，我真的不喜歡這個。”

騎兵到了

第二天星期一，英國自網(wǎng)絡攻擊以來首次重返工作崗位。

許多企業(yè)已成為WannaCry的受害者，他們的系統(tǒng)處于脫機狀態(tài)。其他系統(tǒng)尚未贖回的人不知道他們的系統(tǒng)也被感染了。殺戮開關是阻止另一次爆發(fā)的唯一因素。由于整個組織的持續(xù)中斷，英國的國民健康服務處處于高度戒備狀態(tài)，預計會出現(xiàn)“第二次飆升”。幾天前，英國當局加入了對襲擊事件背后攻擊者的全球搜捕行動。

但是當研究人員沒有受到一連串攻擊時，他們就知道累積壓力，疲憊和睡眠不足是站不住腳的。

“我并不急于把它交出去，”哈欽斯承認道。“我希望能夠繼續(xù)控制它。”他擔心將其交還會使識別和通知被WannaCry感染但尚未贖回的企業(yè)和政府組織變得更加困難。

“但我意識到，我這樣做有很大的個人風險，”他說。“每次服務器出現(xiàn)故障都只是一周的恐懼。把它交給然后睡一覺更合乎邏輯。“

Hankins告訴TechCrunch，有幾家公司主動提供殺戮開關，但研究人員對信任任何人都持謹慎態(tài)度。“對我們來說，保持活力至關重要，但對于其他人來說，這是一個進入這個巨大的新聞周期的機會，”他說。

這對二人認識了安全和網(wǎng)絡巨頭Cloudflare的人，并向他們尋求幫助?；ヂ?lián)網(wǎng)公司提供許多服務，如域名注冊和防止分布式拒絕服務攻擊。

Cloudflare的信任和安全主管賈斯汀潘恩說，哈欽斯和漢金斯在WannaCry襲擊兩天后接近了Cloudflare。首席執(zhí)行官馬修•普林斯(Matthew Prince)已經(jīng)讓潘恩(Paine)獲得批準，為研究人員提供他們需要的東西，免費提供其服務套件。

帕尼說，未來用它所擁有的一切繼續(xù)攻擊殺戮開關。急于讓殺傷開關盡快上架并受到保護。

在交接完成后，5月16日英國已經(jīng)過了午夜。

就其本身而言，Cloudflare對此安排保持沉默。該公司沒有發(fā)布新聞稿或博客文章，承認其支持殺戮開關。對于大多數(shù)人來說，這是一種無形的合作伙伴關系，唯一的贈品是域名解析為Cloudflare名稱服務器，這對于互聯(lián)網(wǎng)用戶來說是不明顯的。

“沒有他們，我們不可能做到這一點，”漢金斯說。

每周92小時

兩年后，殺戮開關沒有下降一次。

勒索軟件繼續(xù)潛伏在全球數(shù)千個網(wǎng)絡中，準備加密數(shù)百萬臺計算機上的文件，盡管過去兩年已有可用的補丁。漢金斯說，僅在2019年6月，殺戮開關就阻止了約6000萬件勒索軟件爆炸。

為朝鮮工作的黑客后來被指責為網(wǎng)絡攻擊。

哈欽斯說：“在確認它已被停止之后，有一個'神圣的屁股'時刻，這是近期網(wǎng)絡史上最重要的事情之一。”“這是任何一種勒索軟件蠕蟲的第一例。”

根據(jù)他的Fitbit數(shù)據(jù)，漢金斯在五天內(nèi)工作了大約92個小時，每晚睡幾個小時。有一次，英國政府官員私下向研究人員伸出援助之手，同時也要檢查他們的健康狀況，了解他們所承受的壓力。

“我認為我們在努力，但我們做了一個合理的工作，”他告訴TechCrunch。

(被指控發(fā)動WannaCry攻擊的朝鮮黑客的一張照片。圖片：Getty Images)

直到上個月Cloudflare中斷使一部分互聯(lián)網(wǎng)脫機幾個小時，一切似乎都很順利。導致錯誤處理互聯(lián)網(wǎng)流量的原因歸咎于Verizon(擁有TechCrunch)。Cloudflare的Prince對該電信巨頭憤怒地發(fā)了推文。

但殺戮開關沒有扣。Hankins發(fā)推文說，停電并沒有影響到WannaCry殺戮開關。他告訴TechCrunch，在停電期間有22萬名WannaCry被處決。

“這不是Cloudflare的錯，也不是我們能做些什么，”Hankins發(fā)推文說。“中斷和問題一直在發(fā)生，有時它們可??能非常本地化，難以察覺。”

只要計算機感染了WannaCry并且沒有打補丁，數(shù)據(jù)仍然存在風險 - 并且受到kill開關的支配。

“請從你的網(wǎng)絡中刪除這個狗屎，”他推特說。

Paine表示，Cloudflare每年仍會收到少量關于刪除域名的請求，認為該域名正在傳播WannaCry - 而不是阻止它。

“我們必須教育人們，這與你真正想要的完全相反，”潘恩說。“如果我們?nèi)∠撚蛎?，對你來說這將是一個更糟糕的一天。”

第二輪：BlueKeep

2017年8月，在WannaCry襲擊事件發(fā)生三個月后，哈欽斯在拉斯維加斯麥卡倫國際機場被美國當局逮捕，因為他登上了一架飛往英國的飛機，指控他在青少年時期制造惡意軟件 - 與WannaCry無關。他認罪并將于7月底被判刑。鑒于哈欽斯最近為保護用戶免受安全威脅而采取的一致努力，他的支持者呼吁寬大處理。

現(xiàn)在擔任Kryptos Logic安全和威脅情報負責人的漢金斯保留了對殺戮開關的控制權，并為企業(yè)和政府提供對本地化感染數(shù)據(jù)的訪問。

在WannaCry首次出現(xiàn)后差不多兩年，出現(xiàn)了一個新的漏洞。安全研究員凱文·博蒙特(Kevin Beaumont)昵稱為“BlueKeep”，該漏洞也有類似蠕蟲般的特性，可以讓它從計算機傳播到計算機。

“我很恐慌，”漢金斯說。他說，BlueKeep的出現(xiàn)帶來了WannaCry擊中的那一周的很多情緒。

微軟發(fā)布了補丁程序，但是幾周后國家安全局發(fā)布了自己罕見的咨詢報告時，大約有一百萬臺計算機仍然容易受到攻擊。自WannaCry以來，BlueKeep被視為易受攻擊的計算機面臨的最重大威脅之一。盡管尚未公布任何漏洞利用代碼，但國土安全部警告說，黑客弄清楚如何濫用漏洞并發(fā)動攻擊只是時間問題。

“我們曾經(jīng)看過這個，”他說。“我們需要阻止這一點 - 但顯然我們能夠做到他媽的，”他說。

“這次我們沒有得到一個殺戮開關。”