想哭攻击仅仅是个开始

研究人员认为,其他攻击者将开始利用与WannaCry勒索软件相同的SMB漏洞

全封闭的资深作家,IDG新闻服务 |

奥特曼Gerd (CC0)

组织成千上万来自世界各地都被打了个措手不及WannaCry ransomware攻击周五发布。随着这种迅速传播的威胁的演变,越来越多的网络罪犯可能会试图从这种或类似的漏洞中获利。

作为一个勒索软件程序,WannaCry本身并不特殊或专业。事实上,该程序的早期版本在3月分发四月和四月,从它的实施来看,它的创建者不是很熟练。

较早WannaCry攻击和最新的一个之间的差值是一个蠕虫状部件,感染其它计算机通过利用在Windows实现服务器消息块1.0(SMBv1)协议的关键远程执行代码漏洞。

微软发布了一个补丁此漏洞在3月和周五的袭击之后,甚至采取了不同寻常的步骤发布旧版本Windows的修复程序不再支持的,如Windows XP, Windows Server 2013和Windows 8。

该WannaCry袭击者并没有投入大量的工作来完成构建基于SMB感染组成部分,因为他们只是适应现有的漏洞在四月被称为影子经纪人组泄露。该漏洞,代号为EternalBlue,据称一直方程的武库的一部分,一个网络间谍组普遍认为,联系到美国国家安全局的一个团队。

上周五,通过永恒蓝(EternalBlue)传播的WannaCry版本有一个古怪之处:它试图联系一个未注册的域名,但在可能触及该域名时就停止了执行,从而阻止了感染。一位使用在线别名MalwareTech的研究人员很快意识到这一点这可以用作一个杀死开关并注册了域名自己放慢勒索软件的蔓延。

从那时起,研究人员发现了更多的版本:一个试图联系另一个域名(研究人员也成功注册了),还有一个没有明显的“致命开关”。然而,后一个版本是没有功能的,并且似乎是有人手动修补二进制文件以删除杀死开关,而不是从原始源代码重新编译它的测试。这使得研究人员得出结论,这很可能不是原始作者的工作。

另外,从计算机支持论坛的专家BleepingComputer.com有看到四个仿制品至今。这些其他程序在不同的发展阶段,并试图伪装成WannaCry,尽管他们中的一些甚至不能够在这一点上加密文件。

这确实表明,来自想要软件作者和其他网络犯罪分子的攻击很可能会继续,尽管有补丁可用,但许多系统在未来一段时间内仍将处于脆弱状态。

毕竟,安全厂商仍然看到成功利用此漏洞的企图今天MS08-067,Windows的漏洞,九年前允许的Conficker蠕虫病毒传播。

Bitdefender的首席安全策略师Catalin Cosoi在报告中称,"情况可能会在好转之前变得更糟,因为这将是未来12个月最严重的威胁之一。博客文章关于永恒的蓝色脆弱性和正在进行的攻击。

他认为,国家资助的网络间谍组织也可以利用SMB漏洞在计算机上植物隐身后门的同时捍卫者正忙于对付更加明显勒索软件攻击。

专门从事互联网扫描的安全公司BinaryEdge已经做到了这一点检测到超过100万个Windows系统将SMB服务暴露在internet上。这一数字远高于受“想哭”影响的20万台机器,因此可能会有更多的攻击和受害者。

WannaCry的成功表明,许多组织在补丁方面落后于其他组织,而且许多组织的遗留系统运行的是旧版本的Windows。在某种程度上,这是可以理解的,因为在具有大量系统的环境中部署补丁并不是一项简单的任务。企业需要在安装补丁之前测试它们,以确保它们不会与现有应用程序存在兼容性问题,也不会破坏现有的工作流。

在其他情况下,组织可能被固定在运行不支持的Windows版本,而不必财力升级或更换某些系统。这是一个运行旧版应用程序不能轻易地重新设计自动取款机,医疗设备,售票机,电子自助服务亭,像那些在机场,甚至服务器的情况。

不过,也有可以采取的保护这些系统,像在那里访问受到严格控制网段隔离,或通过禁用不需要的协议和服务措施。微软一直试图说服公司停止使用SMBv1一段时间以来,除了这个缺陷,它还有其他问题。

“有一定的组织或部门 - 例如医疗 - 在补丁不是一个简单的事情,”卡斯滕Eiram,在漏洞情报公司基于风险的安全首席研究人员,在电子邮件中说。“在这种情况下,它的当务之急,他们正确理解风险和直视变通方法来限制的威胁。”

WannaCry的成功,至少就迅速分布而言,已经证明网络犯罪分子有可通过旧的漏洞为目标的企业网络中的许多漏洞的系统。很可能他们会尝试使用其他公式/ NSA功勋由暗影经纪人泄露或将更快地采取对未来的缺陷,使内部的局域网类似的大规模大规模攻击的漏洞。

Bitdefender的高级电子威胁分析师Bogdan Botezatu在电子邮件中表示:“‘永恒之蓝’漏洞是名为‘迷失在翻译中’的更大漏洞的一部分,该漏洞包含了从简单的麻烦到极其严重的漏洞。”“我们预计,大多数‘政府级别’的攻击会进入公共领域,并与商业级别的恶意软件合并,就像过去发生的那样。”

同时,Eiram相信会有在未来,使类似的勒索软件攻击的许多漏洞。

“我一点也不怀疑,”他说。“每年我们都能看到这样的弱点。”

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对那些顶级心态的话题发表评论。
相关:

Lucian Constantin是CSO的高级作家,内容涉及信息安全、隐私和数据保护。

版权©2017Raybet2

工资调查:结果在