组织成千上万来自世界各地都被打了个措手不及WannaCry勒索软件攻击周五推出。由于这种迅速蔓延威胁的发展,更多的网络犯罪分子可能从这个和类似的漏洞,试图利润。
作为一个勒索软件程序,WannaCry本身并不特殊或专业。事实上,该程序的早期版本被分布在三月四月,并通过它的实施情况来看,它的创造者是不是很熟练。
较早WannaCry攻击和最新的一个之间的差值是一个蠕虫状部件,感染其它计算机通过利用在Windows实现服务器消息块1.0(SMBv1)协议的关键远程执行代码漏洞。
微软发布了一个补丁此漏洞在三月和,上周五攻击的高跟鞋,甚至采取不寻常的一步释放修复旧版本的Windows这不再支持,如Windows XP和Windows Server 2013和Windows 8。
该WannaCry袭击者并没有投入大量的工作来完成构建基于SMB感染组成部分,因为他们只是适应现有的漏洞在四月被称为影子经纪人组泄露。该漏洞,代号为EternalBlue,据称一直方程的武库的一部分,一个网络间谍组普遍认为,联系到美国国家安全局的一个团队。
WannaCry的版本通过EternalBlue该价差上周五有一个怪癖,它试图联系一个未经注册域名,并暂停其执行时,它可能会达到它,停止感染。谁使用在线别名MalwareTech很快就意识到,研究员这可以被用作切断开关并注册了域名自己放慢勒索软件的蔓延。
从那时起,研究人员发现一对夫妇更版本:一个尝试联系不同的域名,这研究者还设法寄存器,和一个具有没有明显的切断开关。然而,后者的版本是不起作用的,似乎已经被人谁手动补丁二进制去除切断开关,而不是从它的原始源代码重新编译测试。这使得研究人员得出结论,很可能不是原作者的作品。
另外,从计算机支持论坛的专家BleepingComputer.com有看到4个仿制品至今。这些其他程序在不同的发展阶段,并试图伪装成WannaCry,尽管他们中的一些甚至不能够在这一点上加密文件。
这确实表明,攻击,无论是从WannaCry作者和其他犯罪分子,将可能继续,尽管补丁可用,许多系统可能将保持弱势一段时间来。
毕竟,安全厂商仍然看到成功利用此漏洞的企图今天MS08-067,Windows的漏洞,九年前允许的Conficker蠕虫病毒传播。
“这可能会变得更糟,它变得更好之前,因为这将是在12个月内的最严重威胁之一,”克特林Cosoi,BitDefender的首席安全战略官,在说博客文章有关EternalBlue脆弱性和正在进行的攻击。
他认为,国家资助的网络间谍组织也可以利用SMB漏洞在计算机上植物隐身后门的同时捍卫者正忙于对付更加明显勒索软件攻击。
安全公司BinaryEdge,专门在互联网范围内扫描,具有检测到超过1个亿个Windows系统有暴露在互联网上的SMB服务。数量比受WannaCry 200000名机高得多,所以有更多的攻击者和受害者的潜力。
WannaCry的成功表明,大量的组织正在补丁落后,许多运行Windows的旧版本的遗留系统。从某种程度上说,这是可以理解的,因为有大量的系统上部署的环境中的补丁不是一件容易的事。企业需要测试补丁安装它们,以确保它们不具有兼容性问题与现有的应用程序以及现有工作流程之前。
在其他情况下,组织可能被固定在运行不支持的Windows版本,而不必财力升级或更换某些系统。这是一个运行旧版应用程序不能轻易地重新设计自动取款机,医疗设备,售票机,电子自助服务亭,像那些在机场,甚至服务器的情况。
不过,也有可以采取的保护这些系统,像在那里访问受到严格控制网段隔离,或通过禁用不需要的协议和服务措施。微软一直试图说服公司停止使用SMBv1有一段时间,因为它有其他问题除了这一缺陷。
“有一定的组织或部门 - 例如医疗 - 在补丁不是一个简单的事情,”卡斯滕Eiram,在漏洞情报公司基于风险的安全首席研究人员,在电子邮件中说。“在这种情况下,它的当务之急,他们正确理解风险和直视变通方法来限制的威胁。”
WannaCry的成功,至少就迅速分布而言,已经证明网络犯罪分子有可通过旧的漏洞为目标的企业网络中的许多漏洞的系统。很可能他们会尝试使用其他公式/ NSA功勋由暗影经纪人泄露或将更快地采取对未来的缺陷,使内部的局域网类似的大规模大规模攻击的漏洞。
“该EternalBlue漏洞是所谓的‘迷失东京’那个包的多个漏洞,从简单的烦恼极其严重的,更大的泄漏的一部分”波格丹Botezatu,在BitDefender的高级电子威胁的分析师说,通过电子邮件。“我们预计,大多数这些‘政府级’的利用,使其向公共领域并获得合并到商业级的恶意软件,因为它在过去发生的事情。”
同时,Eiram相信会有在未来,使类似的勒索软件攻击的许多漏洞。
“我不怀疑了一秒钟,”他说。“每年,我们看到了这样的漏洞。”