WannaCry攻击仅仅是开始

研究人员认为其他攻击者将开始利用与WannaCry勒索软件相同的SMB漏洞

研究人员发现WannaCry的新变体
Gerd Altmann (CC0)

来自世界各地的成千上万的组织都措手不及 WannaCry勒索软件攻击 周五推出。随着这种迅速蔓延的威胁的发展,更多的网络犯罪分子可能会尝试从此漏洞和类似漏洞中获利。

作为勒索软件程序,WannaCry本身并不那么特殊或复杂。实际上,该程序的早期版本 于三月发行 和4月,从其实施情况来看,其创造者不是很熟练。

早期的WannaCry攻击与最新的WannaCry攻击之间的区别是一种蠕虫状组件,它通过利用Windows服务器消息块1.0(SMBv1)协议中的一个严重的远程执行代码漏洞来感染其他计算机。

微软 发布了此漏洞的补丁 在三月和星期五的袭击之后,甚至采取了不寻常的措施 发布Windows较旧版本的修复程序 Windows XP,Windows Server 2013和Windows 8等不再受支持的文件。

WannaCry攻击者也没有花费很多工作来构建基于SMB的感染组件,因为他们只是改编了一个由影子经纪人组织四月份泄漏的现有漏洞利用程序。该代号为EternalBlue的漏洞据称是方程式武器库的一部分,该方程式是一个网络间谍组织,被广泛认为是与美国国家安全局有联系的一个团队。

上周五通过EternalBlue传播的WannaCry版本有一个怪癖:它试图联系一个未注册的域,并在其到达该域时停止其执行,从而阻止了感染。使用在线别名MalwareTech的研究人员很快意识到 这可以用作终止开关 并自己注册了该域,以减缓勒索软件的传播。

从那以后研究人员有了 发现了更多版本:一个试图联系另一个域名(研究人员也设法注册了该域名),另一个没有明显的终止开关。但是,后一个版本不起作用,似乎是由手动修补二进制文件以删除终止开关,而不是从原始源代码重新编译的人进行的测试。这导致研究人员得出结论,这可能不是原始作者的工作。

另外,计算机支持论坛BleepingComputer.com的专家提供了 看过四次模仿 至今。这些其他程序处于发展中的各个阶段,并试图伪装成WannaCry,即使其中一些程序此时甚至无法加密文件。

这确实表明,来自WannaCry作者和其他网络犯罪分子的攻击可能会继续,并且尽管有可用的补丁程序,但许多系统可能仍会在一段时间内保持脆弱状态。

毕竟,安全厂商今天仍然可以看到针对MS08-067的成功利用尝试,MS08-067是Windows漏洞,它允许Conficker计算机蠕虫在9年前传播。

Bitdefender首席安全策略师Catalin Cosoi表示:“在变得更好之前,情况可能会变得更糟,因为它将成为接下来12个月中最严重的威胁之一。” 博客文章 关于EternalBlue漏洞和持续的攻击。

他认为,由国家支持的网络间谍组织还可以利用SMB漏洞在计算机上隐藏秘密的后门程序,而防御者则忙于应对更明显的勒索软件攻击。

专门从事互联网范围扫描的安全公司BinaryEdge拥有 检测到超过一百万个Windows系统 SMB服务已暴露在互联网上。该数量大大高于受WannaCry影响的200,000台计算机,因此有可能遭受更多攻击和受害者。

WannaCry的成功表明,许多组织在补丁程序方面都落后于其他组织,并且许多组织都在运行旧版Windows的旧系统。在某种程度上,这是可以理解的,因为在具有大量系统的环境中部署补丁并非易事。企业需要在安装修补程序之前先对其进行测试,以确保它们与现有应用程序不存在兼容性问题并破坏现有工作流程。

在其他情况下,组织可能会受制于某些运行不受支持的Windows版本的系统,而没有财力来升级或替换它们。对于自动取款机,医疗设备,票务机,电子自助服务亭(例如机场中的服务亭),甚至是运行不易重新设计的遗留应用程序的服务器,都是如此。

但是,可以采取一些措施来保护这些系统,例如将它们隔离在严格控制访问的网段上或通过禁用不需要的协议和服务。微软试图说服公司 停止使用SMBv1 在一段时间内,除了此缺陷外,它还有其他问题。

脆弱性情报公司Risk Based 安全的首席研究官卡斯滕·埃拉姆(Carsten Eiram)通过电子邮件说:“在某些组织或部门中,例如在医疗领域,修补不是一件容易的事。” “在那种情况下,当务之急是他们必须正确了解风险并研究变通办法以限制威胁。”

WannaCry的成功,至少就快速分发而言,已经证明对网络犯罪分子而言,企业网络上存在许多易受攻击的系统,这些系统可以通过旧漏洞利用来进行攻击。他们可能会尝试使用Shadow Brokers泄漏的其他Equation / NSA漏洞利用,或者会更快地采用漏洞利用来解决将来的漏洞,从而在LAN内实现类似的大规模攻击。

Bitdefender的高级电子威胁分析师Bogdan Botezatu在电子邮件中说:“ EternalBlue漏洞是名为“ Lost In Translation”的更大漏洞的一部分,该漏洞包含从简单的烦恼到极端严重的烦恼。 “我们希望,大多数“政府级”漏洞能够像过去那样,将其传播到公共领域并被合并到商业级恶意软件中。”

同时,Eiram坚信,将来会有许多漏洞可以启用类似的勒索软件攻击。

他说:“我毫不怀疑。” “每年我们都会看到这样的漏洞。”

版权© 2017 IDG通讯,Inc.