别以为结束了!“想哭”勒索蠕虫越发嚣张-阿里云开发者社区

开发者社区> 安全> 正文

别以为结束了!“想哭”勒索蠕虫越发嚣张

简介:

距离“想哭”勒索病毒爆发已经过去了两周时间,然而永恒之蓝勒索蠕虫并没有就此停下脚步,此次基于MS17-010多个漏洞也极有可能会一直存活下去,持续制造麻烦。以下为360威胁情报中心提供的关于“永恒之蓝”勒索蠕虫及值得警惕的趋势。

360威胁情报中心从截至到5月26日的数据中监测到,5月23日以来,对445端口发起扫描的独立IP数在大量增加,又开始呈现上升趋势,26日创下历史新高,甚至高出5月12日永恒之蓝爆发时11%左右。

这个现象令人不安,暗示着基于NSA工具的SMB服务漏洞正在被积极地蠕虫式利用传播。

在永恒之蓝勒索蠕虫肆虐期间就出现了很多个去除Kill Switch修改版本,之后还发现了捆绑NSA几乎所有可用SMB漏洞攻击工具进行传播的EternalRocks(永恒之石)家族,这些派生和其他家族理论上具备更强的传播力,甚至会逐渐取代永恒之蓝蠕虫的主流地位。

如果利用SMB漏洞进行传播的蠕虫只是秘密地潜伏控制,不做更多引起用户注意的事情,则可能持续保持活动状态,2008年爆发的Conficker蠕虫到现在都还处于活跃状态。

此次基于MS17-010多个漏洞的蠕虫(不一定是“永恒之蓝”)也极有可能会一直存活下去,持续地制造麻烦。

目前扫描源IP数量的持续增长暗示还有很多系统没有打上补丁,蠕虫还能进入大量系统扫描攻击传播。

永恒之蓝勒索蠕虫的现状

距离永恒之蓝勒索蠕虫(WannaCry)的爆发已经差不多两周时间了,360威胁情报中心一直在做持续地跟踪。

基于360网络研究院的数据,显示“永恒之蓝”勒索蠕虫的感染量在初期的暴增以后在近期保持平稳,偶有不大的起伏。

下图为WannaCry蠕虫家族Kill Switch域名的访问量曲线:


f599dd6e27fbe8da8db6a6c88f85a71be1918aaf

可以看到蠕虫的感染量基本保持稳定,但近几天有少量的增长。

值得警惕的趋势

以上的分析显示“永恒之蓝”勒索蠕虫家族已经得到的很大程度地控制,但是360威胁情报中心在分析全网扫描活动的数据后发现了一个令人不安的趋势:对445端口发起扫描的独立IP数在大量增加。

下图是蠕虫爆发前的5月2日对445端口进行扫描的独立IP数:


80df8dbc54a54c4e2d3f3e1a1cb9534c13b4a1bd

这个现象令人不安,暗示着基于NSA工具的SMB服务漏洞正在被积极地蠕虫式利用传播。

在永恒之蓝勒索蠕虫肆虐期间就出现了很多个去除Kill Switch修改版本,之后还发现了捆绑NSA几乎所有可用SMB漏洞攻击工具进行传播的EternalRocks(永恒之石)家族,这些派生和其他家族理论上具备更强的传播力,甚至会逐渐取代“永恒之蓝”蠕虫的主流地位。

“永恒之蓝”蠕虫的加密勒索行为会促使中招用户尽快处置,重装系统安装补丁,减少后续的感染源。

但是,如果其他利用SMB漏洞进行传播的蠕虫只是秘密地潜伏控制,不做更多引起用户注意的事情,则可能持续地保持活动状态,2008年爆发的Conficker蠕虫到现在都还处于活跃状态,此次基于MS17-010多个漏洞的蠕虫(不一定是“永恒之蓝”)也极有可能会一直存活下去,持续地给我们制造麻烦。

处理建议

无论是什么蠕虫,封堵其进入渠道永远是最有效最根本的解决方案,所以打补丁无论怎么强调都不过分。

目前扫描源IP数量的持续增长暗示还有很多系统没有打上补丁,蠕虫还能进入大量系统扫描攻击传播。

对网络始终保持监控也是体系化防御的重要部分,做网络安全不能有银弹思维,攻击者通过利用漏洞取得突破而不被检测到是完全可能的,但后续扫描探测的行为则可能有可检测的迹象。

具体到利用NSA工具SMB漏洞的蠕虫,如果通过某些漏网未打补丁的系统进入内网,安全系统能够及时发现其自动化的扫描行为加以处置也不算太晚。

可以预见,利用MS17-010漏洞的蠕虫的扫描活动在互联网上会作为背景攻击长期存在,我们需要时刻保持警惕,加固门窗随时恭候来砸门的僵尸。

本文来自开源中国社区 [http://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章