两周过去了,“想哭”勒索蠕虫近来可好?

  距离“想哭”勒索病毒爆发已经过去了两周时间,然而永恒之蓝勒索蠕虫并没有就此停下脚步,此次基于 MS17-010 多个漏洞也极有可能会一直存活下去,持续制造麻烦。以下为 360 威胁情报中心提供的关于“永恒之蓝”勒索蠕虫及值得警惕的趋势。

  360 威胁情报中心从截至到 5 月 26 日的数据中监测到,5 月 23 日以来,对 445 端口发起扫描的独立 IP 数在大量增加,又开始呈现上升趋势,26 日创下历史新高,甚至高出 5 月 12 日永恒之蓝爆发时 11% 左右。

  这个现象令人不安,暗示着基于 NSA 工具的 SMB 服务漏洞正在被积极地蠕虫式利用传播。

  在永恒之蓝勒索蠕虫肆虐期间就出现了很多个去除 Kill Switch 修改版本,之后还发现了捆绑 NSA 几乎所有可用 SMB 漏洞攻击工具进行传播的 EternalRocks(永恒之石)家族,这些派生和其他家族理论上具备更强的传播力,甚至会逐渐取代永恒之蓝蠕虫的主流地位。

  如果利用 SMB 漏洞进行传播的蠕虫只是秘密地潜伏控制,不做更多引起用户注意的事情,则可能持续保持活动状态,2008 年爆发的 Conficker 蠕虫到现在都还处于活跃状态。

  此次基于 MS17-010 多个漏洞的蠕虫(不一定是“永恒之蓝”)也极有可能会一直存活下去,持续地制造麻烦。

  目前扫描源 IP 数量的持续增长暗示还有很多系统没有打上补丁,蠕虫还能进入大量系统扫描攻击传播。

  永恒之蓝勒索蠕虫的现状

  距离永恒之蓝勒索蠕虫(WannaCry)的爆发已经差不多两周时间了,360 威胁情报中心一直在做持续地跟踪。

  基于 360 网络研究院的数据,显示“永恒之蓝”勒索蠕虫的感染量在初期的暴增以后在近期保持平稳,偶有不大的起伏。

  下图为 WannaCry 蠕虫家族 Kill Switch 域名的访问量曲线:

两周过去了,“想哭”勒索蠕虫近来可好?

  在 5 月 12 日蠕虫爆发以后,蠕虫的感染量在最初的几小时内冲高到顶点,在北京时间 5 月 12 日 23 点左右 Kill Switch 域名被注册启用以后受到极大地抑制,在后续的几天内安全厂商与用户的协同处理后,整体感染情况基本得到控制。

  下图为感染蠕虫的独立 IP 数曲线:

两周过去了,“想哭”勒索蠕虫近来可好?

  可以看到蠕虫的感染量基本保持稳定,但近几天有少量的增长。

  值得警惕的趋势

  以上的分析显示“永恒之蓝”勒索蠕虫家族已经得到的很大程度地控制,但是 360 威胁情报中心在分析全网扫描活动的数据后发现了一个令人不安的趋势:对 445 端口发起扫描的独立 IP 数在大量增加。

  下图是蠕虫爆发前的 5 月 2 日对 445 端口进行扫描的独立 IP 数:

两周过去了,“想哭”勒索蠕虫近来可好?

  在 5 月 12 日前,445 端口的扫描源 IP 数基本保持稳定,这个数据可以理解为一个背景参考量。

  下图显示 5 月 12 日蠕虫爆发时扫描源 IP 数,上升 11% 左右:

两周过去了,“想哭”勒索蠕虫近来可好?

  基本可以认为超出的 IP 数绝大部分来自于感染了蠕虫的机器。在接下来的几天全球采取应对蠕虫的措施以后,扫描 IP 数有所下降,蠕虫的传播受到控制。

  但是,5 月 23 日以来,扫描源 IP 数又开始呈现上升的趋势,到 26 日创下历史新高(今天 27 日的数据还不完整),如下图:

两周过去了,“想哭”勒索蠕虫近来可好?

  这个现象令人不安,暗示着基于 NSA 工具的 SMB 服务漏洞正在被积极地蠕虫式利用传播。

  在永恒之蓝勒索蠕虫肆虐期间就出现了很多个去除 Kill Switch 修改版本,之后还发现了捆绑 NSA 几乎所有可用 SMB 漏洞攻击工具进行传播的 EternalRocks(永恒之石)家族,这些派生和其他家族理论上具备更强的传播力,甚至会逐渐取代“永恒之蓝”蠕虫的主流地位。

  “永恒之蓝”蠕虫的加密勒索行为会促使中招用户尽快处置,重装系统安装补丁,减少后续的感染源。

  但是,如果其他利用 SMB 漏洞进行传播的蠕虫只是秘密地潜伏控制,不做更多引起用户注意的事情,则可能持续地保持活动状态,2008 年爆发的 Conficker 蠕虫到现在都还处于活跃状态,此次基于 MS17-010 多个漏洞的蠕虫(不一定是“永恒之蓝”)也极有可能会一直存活下去,持续地给我们制造麻烦。

  处理建议

  无论是什么蠕虫,封堵其进入渠道永远是最有效最根本的解决方案,所以打补丁无论怎么强调都不过分。

  目前扫描源 IP 数量的持续增长暗示还有很多系统没有打上补丁,蠕虫还能进入大量系统扫描攻击传播。

  对网络始终保持监控也是体系化防御的重要部分,做网络安全不能有银弹思维,攻击者通过利用漏洞取得突破而不被检测到是完全可能的,但后续扫描探测的行为则可能有可检测的迹象。

  具体到利用 NSA 工具 SMB 漏洞的蠕虫,如果通过某些漏网未打补丁的系统进入内网,安全系统能够及时发现其自动化的扫描行为加以处置也不算太晚。

  可以预见,利用 MS17-010 漏洞的蠕虫的扫描活动在互联网上会作为背景攻击长期存在,我们需要时刻保持警惕,加固门窗随时恭候来砸门的僵尸。

PS:如果您想和业内技术大牛交流的话,请加qq群(527933790)或者关注微信公众 号(AskHarries),谢谢!

转载请注明原文出处:Harries Blog™ » 两周过去了,“想哭”勒索蠕虫近来可好?

赞 (0)

分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址