安全研究人员一直在追踪WannaCry勒索软件的动向,他们发现在过去两年中,该勒索软件已经传播到近500万易受攻击设备。
最初的WannaCry攻击发生在2017年5月,当时造成巨大破坏,直到安全研究员Marcus“MalwareTech” Hutchins通过注册恶意软件代码中发现的虚拟URL无意中发现该勒索软件的紧急开关(kill switch)。然而,虽然该紧急开关可阻止勒索软件加密系统数据,但Malwarebytes研究人员观察到WannaCry仍然在继续传播到易受攻击的系统。
根据Malwarebytes研究显示,WannaCry感染率一直在下降,但在过去两年中仍有超过480万个WannaCry感染。
尽管WannaCry继续传播, Malwarebytes实验室主任Adam Kujawa表示,感染几乎没有危险,因为“在受害者系统上加载新的勒索软件会更容易”,而不是试图激活休眠的WannaCry。
Kujawa通过电子邮件写道:“为了执行预先存在的感染的加密例程,攻击者必须修改运行内存中的值以强制程序跳转到其加密例程,或者通过添加紧急开关URL并指向到无意义的IP地址来修改系统的主机文件,然后强制系统重启。攻击者也可以破坏DNS服务器,并将紧急开关URL指向任何东西。然后,任何被感染并连接到该服务器的系统都可能激活加密。但这确实不太可能发生。”
根据Malwarebytes研究人员的说法,仍然有成千上万的系统容易受到EternalBlue和EternalRomance漏洞利用的攻击,Wannacry勒索软件正是利用这些漏洞利用来自动传播,而这些未修补的系统也正在为新的恶意软件敞开大门。
EternalBlue和EternalRomance主要瞄准Windows中Server Message Blockv1协议中的目标漏洞。该问题可通过过滤SMB流量或安装2017年5月发布的Microsoft补丁来缓解。
Kujawa称:“还有很多WannaCry检测,因为仍有样本在互联网上游荡。然而,最让人担心的是,像Emotet和TrickBot这样的新一代特洛伊木马,它们正在利用WannaCry相同的机制,试图制造巨大破坏。目前有数百万系统易受恶意软件攻击。企业和消费者都应该定期更新他们的系统,并将其作为首要任务。”
Alphabet公司的网络安全子公司Chronicle的应用情报负责人Brandon Levene表示,来自Malwarebytes的WannaCry感染数字似乎是合理的,因为“VirusTotal已经看到了超过500,000个不同的WannaCry副本,平均每天有211个新样本。”
Levene 指出:“WannaCry仍然是可行的勒索软件,即使是最基本的威胁攻击者也可以轻易修改它。虽然系统可能会针对传播机制EternalBlue进行修补,但安装该恶意软件的主机仍然可以被加密。命令和控制[C2]服务器保持活动状态,但在研究人员的控制下,加密不会发生。WannaCry会检查C2是否响应;如果是,则不会对目标进行加密。如果出于某些原因,C2宕机-或者网络管理员要阻止他们使用其网络 – 勒索软件将会启动。”
虽然Kujawa建议企业修复系统,但他承认,系统仍然容易受到攻击,“很多这些系统可能只是在企业网络的角落里处于休眠状态。”
Kujawa说:“自2017年以来,我们观察到WannaCry感染检测的稳定下降,看起来,至少,时间会使这些系统老化,它们将被更换或升级,它们的漏洞会被修补,并且,感染会被清除。”
在一篇关于WannaCry周年纪念的博客文章中,位于波士顿的Rapid7的首席数据科学家Bob Rudis写道,使用EternalBlue的恶意软件仍有很多潜在的目标。
Rudis称:“当你试图在互联网上查找暴露的Microsoft Windows Server消息块(SMB)节点时,根据你扫描的方式、扫描的位置以及你的计算方式,你将获得500,000到100万之间的任意数字。基于EternalBlue的SMB探测和攻击绝对是互联网背景噪音‘新常态’的一部分,攻击者(机会主义者或其他方式)使用他们最新、最好的代码和技术,具有几乎完美的免疫性,所以他们一旦在你的企业中获得立足点,便能获得更大的成功。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]