按理說,勒索病毒只是一個「鎖」,其本身並沒有大規模傳播的能力。這次病毒的洩露與爆發,跟美國國家安全局(NSA)有關。
NSA是美國政府機構中最大的情報部門,隸屬於美國國防部,專門負責收集和分析外國及本國通訊資料,而為了研究入侵各類電腦網路系統,NSA或多或少會跟各種黑客組織有合作,這些黑客中肯定有人能夠入侵各種電腦。
事情起源於2016 年 8 月,一個叫 「The Shadow Brokers」 (TSB)的黑客組織號稱入侵了疑似是NSA下屬的黑客方程式組織(Equation Group),從中竊取了大量機密文件,還下載了他們開發的攻擊工具,並將部分文件公開到網上(GitHub)。
這些被竊取的工具包括了大量惡意軟體和入侵工具,其中就有可以遠程攻破全球約70%Windows機器的漏洞利用工具永恆之藍(Eternal Blue)。「永恆之藍」是疑似NSA針對CVE-2017-(0143~0148)這幾個漏洞開發的漏洞利用工具,通過利用Windows SMB協議的漏洞來遠程執行代碼,並提升自身至系統權限。
2017年4月8日和16日,「The Shadow Brokers」分別在網上公布了解壓縮密碼和保留的部分文件,也就是說,無論是誰,都可以下載並遠程攻擊利用,各種沒有打補丁的Windows電腦都處在危險狀態。
勒索病毒與永恆之藍搭配的效果就是,只要有一個人點擊了含有勒索病毒的郵件或網絡,他的電腦就會被勒索病毒感染,進而使用永恆之藍工具進行漏洞利用,入侵並感染與它聯網的所有電腦。
圖片來源:騰訊安全反病毒實驗室攻擊流程演示
簡單地說,可以把永恆之藍(傳播的部分)當成武器,而WannaCrypt勒索病毒(加密文件並利用傳播工具來傳播自身)是利用武器的人。一旦機器連接在網際網路上,它就會隨機確定IP位址掃描445埠的開放情況,如果是開放的狀態則嘗試利用漏洞進行感染;如果機器在某個區域網裡,它會直接掃描相應網段來嘗試感染。
很多人會奇怪,攻擊工具明明是上個月洩露的,但是怎麼時隔一個月才集中爆發?一些安全專家發現,這些電腦其實早已被感染,也就是說,在一個月前永恆之藍早已像定時炸彈一樣被安在各個系統中,只是5月12日那天才被啟動。
5月16日上午,殺毒軟體公司卡巴斯基(Kaspersky Lab)的研究室安全人員表示,他們在研究了早期蠕蟲病毒版本與2015年2月的病毒樣本發現,其中部分相似的代碼來自於卡巴斯基之前關注的朝鮮黑客團隊「拉撒路組」,代碼的相似度遠超正常程度。
因此,卡巴斯基認為這次WannaCrypt勒索病毒與之前的衝擊波病毒出自同一黑客團隊,同時,信息安全領域的解決方案提供商賽門鐵克(Symantec)也發現了同樣的證據,安全專家Matt Suiche上午在推特(@msuiche)上公布證據,表示遍及全球的勒索病毒背後可能是朝鮮黑客團隊「拉撒路組」的猜測。
Twitter:https://t.co/qSnkyug8XH