雷鋒網編者按:距離「想哭」勒索病毒爆發已經過去了兩周時間,然而永恆之藍勒索蠕蟲並沒有就此停下腳步,此次基於MS17-010多個漏洞也極有可能會一直存活下去,持續製造麻煩。以下為360威脅情報中心提供給雷鋒網(公眾號:雷鋒網)的關於「永恆之藍」勒索蠕蟲及值得警惕的趨勢。授權雷鋒網發布。
360威脅情報中心從截至到5月26日的數據中監測到,5月23日以來,對445埠發起掃描的獨立IP數在大量增加,又開始呈現上升趨勢,26日創下歷史新高,甚至高出5月12日永恆之藍爆發時11%左右。這個現象令人不安,暗示著基於NSA工具的SMB服務漏洞正在被積極地蠕蟲式利用傳播。
在永恆之藍勒索蠕蟲肆虐期間就出現了很多個去除Kill Switch修改版本,之後還發現了捆綁NSA幾乎所有可用SMB漏洞攻擊工具進行傳播的EternalRocks(永恆之石)家族,這些派生和其他家族理論上具備更強的傳播力,甚至會逐漸取代永恆之藍蠕蟲的主流地位。
如果利用SMB漏洞進行傳播的蠕蟲只是秘密地潛伏控制,不做更多引起用戶注意的事情,則可能持續保持活動狀態,2008年爆發的Conficker蠕蟲到現在都還處於活躍狀態,此次基於MS17-010多個漏洞的蠕蟲(不一定是「永恆之藍」)也極有可能會一直存活下去,持續地製造麻煩。目前掃描源IP數量的持續增長暗示還有很多系統沒有打上補丁,蠕蟲還能進入大量系統掃描攻擊傳播。
永恆之藍勒索蠕蟲的現狀
距離永恆之藍勒索蠕蟲(WannaCry)的爆發已經差不多兩周時間了,360威脅情報中心一直在做持續地跟蹤。基於360網絡研究院的數據,顯示「永恆之藍」勒索蠕蟲的感染量在初期的暴增以後在近期保持平穩,偶有不大的起伏。
下圖為WannaCry蠕蟲家族Kill Switch域名的訪問量曲線:
在5月12日蠕蟲爆發以後,蠕蟲的感染量在最初的幾小時內衝高到頂點,在北京時間5月12日23點左右Kill Switch域名被註冊啟用以後受到極大地抑制,在後續的幾天內安全廠商與用戶的協同處理後,整體感染情況基本得到控制。
下圖為感染蠕蟲的獨立IP數曲線:
可以看到蠕蟲的感染量基本保持穩定,但近幾天有少量的增長。
值得警惕的趨勢
以上的分析顯示「永恆之藍」勒索蠕蟲家族已經得到的很大程度地控制,但是360威脅情報中心在分析全網掃描活動的數據後發現了一個令人不安的趨勢:對445埠發起掃描的獨立IP數在大量增加。
下圖是蠕蟲爆發前的5月2日對445埠進行掃描的獨立IP數:
在5月12日前,445埠的掃描源IP數基本保持穩定,這個數據可以理解為一個背景參考量。
下圖顯示5月12日蠕蟲爆發時掃描源IP數,上升11%左右:
基本可以認為超出的IP數絕大部分來自於感染了蠕蟲的機器。在接下來的幾天全球採取應對蠕蟲的措施以後,掃描IP數有所下降,蠕蟲的傳播受到控制。但是,5月23日以來,掃描源IP數又開始呈現上升的趨勢,到26日創下歷史新高(今天27日的數據還不完整),如下圖。
這個現象令人不安,暗示著基於NSA工具的SMB服務漏洞正在被積極地蠕蟲式利用傳播。在永恆之藍勒索蠕蟲肆虐期間就出現了很多個去除Kill Switch修改版本,之後還發現了捆綁NSA幾乎所有可用SMB漏洞攻擊工具進行傳播的EternalRocks(永恆之石)家族,這些派生和其他家族理論上具備更強的傳播力,甚至會逐漸取代「永恆之藍」蠕蟲的主流地位。
「永恆之藍」蠕蟲的加密勒索行為會促使中招用戶儘快處置,重裝系統安裝補丁,減少後續的感染源。但是,如果其他利用SMB漏洞進行傳播的蠕蟲只是秘密地潛伏控制,不做更多引起用戶注意的事情,則可能持續地保持活動狀態,2008年爆發的Conficker蠕蟲到現在都還處於活躍狀態,此次基於MS17-010多個漏洞的蠕蟲(不一定是「永恆之藍」)也極有可能會一直存活下去,持續地給我們製造麻煩。
處理建議
無論是什麼蠕蟲,封堵其進入渠道永遠是最有效最根本的解決方案,所以打補丁無論怎麼強調都不過分。目前掃描源IP數量的持續增長暗示還有很多系統沒有打上補丁,蠕蟲還能進入大量系統掃描攻擊傳播。
對網絡始終保持監控也是體系化防禦的重要部分,做網絡安全不能有銀彈思維,攻擊者通過利用漏洞取得突破而不被檢測到是完全可能的,但後續掃描探測的行為則可能有可檢測的跡象。具體到利用NSA工具SMB漏洞的蠕蟲,如果通過某些漏網未打補丁的系統進入內網,安全系統能夠及時發現其自動化的掃描行為加以處置也不算太晚。可以預見,利用MS17-010漏洞的蠕蟲的掃描活動在網際網路上會作為背景攻擊長期存在,我們需要時刻保持警惕,加固門窗隨時恭候來砸門的殭屍。
雷鋒網版權文章,未經授權禁止轉載。詳情見轉載須知。