WannaCry爆发一年后，EternalBlue的威胁仍然存在

原文链接：点击打开链接

安全研究人员表示，在WannaCry勒索软件爆发一年后，与安全研究相关的用于传播的攻击仍然威胁着未修补和未受保护的系统。 
 
 
WannaCry感染于2017年5月12日开始，中断了西班牙企业和英国数十家医院。该恶意软件最多击中Windows 7，估计在10天内感染了近50万台计算机和其他类型的设备。 
 
 
在爆发的头几个小时内，最大数量的机器遭到袭击，之后一名安全研究人员发现了一个杀死开关，并将传播速度放缓至接近停止。 
 
 
Varonis现场工程副总裁Ken Spinner在一封电子邮件评论中告诉“安全周刊”，“WannaCry担任了许多在日常IT职责中落后的组织的网络安全警示。” 
 
 
“虽然WannaCry撕毁了像NHS这样的组织，但使用最新补丁更新系统的公司，执行备份并采取主动安全措施的公司却毫发无损，”Spinner继续说道。 
 
 
WannaCry能够迅速传播，因为它滥用了据称从国家安全局连接的方程式组中窃取的漏洞。这个名为EternalBlue的漏洞在微软发布了补丁的一个月后于2017年4月公开发布。 
 
 
EternalBlue针对端口445上Windows服务器消息块（SMB）中的漏洞，但只有较早的操作系统版本（主要是Windows XP和Windows 7）受到影响。 
 
 
尽管它将攻击带到了聚光灯下，WannaCry并不是第一个滥用它的恶意软件。在爆发之前的几周内，EternalBlue被加密货币挖掘僵尸网络和后门所利用。在同一时期，一个名为UIWIX的勒索软件家族也被滥用。 
 
 
尽管微软针对EternalBlue所针对的安全漏洞发布了一些补丁，包括针对不支持系统的紧急补丁，但去年夏天数以万计的系统仍然存在漏洞。 
 
 
WannaCry据说是北韩演员的作品，一年前设法造成严重破坏，但它快速夭折。另一方面，EternalBlue保持强劲，去年在全球NotPetya攻击中也被滥用。 
 
 
事实上，安全研究人员表示，与网络犯罪分子相比，与NSA相关的漏洞利用目前比一年前更受欢迎。 
 
 
总体而言，莫斯科安全公司卡巴斯基实验室告诉“安全周刊”称，2017年5月至2018年5月期间，有200多万用户受到攻击。 
 
 
该安全公司还表示，EternalBlue的独特用户数量在2018年4月比2017年5月高出10倍，平均每月有超过24万用户通过此漏洞攻击。 
 
 
“事实上，黑客一直将针对用户的EternalBlue攻击用于攻击，这意味着许多系统仍未修补，这可能会导致一些危险的后果。组织密切关注其网络的安全性仍然非常重要。他们的首要任务应该是按时安装所有必要的补丁，以避免未来的损失，“卡巴斯基实验室首席恶意软件分析师Anton Ivanov表示。 
 
 
根据ESET的统计，不仅EternalBlue在过去几个月中的流行率大幅增加，而且“最近的峰值甚至超过了2017年以来的最高峰值”。 
 
 
在WannaCry攻击后的平静期之后，每天只有数百个检测结果出现，EternalBlue的使用在去年9月开始增加，并在2018年4月中旬达到新的高度。 
 
 
研究人员称，上个月观察到的撒旦勒索软件活动可能会导致最新的高峰，但该漏洞也可能被用于其他恶意活动。 
 
 
“ESET指出，”到目前为止，这种攻击和所有的攻击都强调了及时修补的重要性以及对可以阻止潜在恶意工具的可靠和多层安全解决方案的需求。 
 
 
Juniper网络公司瞻博网络威胁实验室主管Mounir Hahad告诉SecurityWeek，EternalBlue的使用率最高的主要原因是存在数百万个易受攻击的设备，这些设备继续暴露在互联网上。 
 
 
“去年WannaCry疫情发生后，大多数安全研究人员建议人们完全禁用SMBv1，并确保SMBv2未接触互联网。一年后，我们仍然看到大约230万台SMBv1设备暴露于互联网，其中大多数这些脆弱的机器在阿联酋，美国，俄罗斯，台湾和日本，“哈哈德说。 
 
 
“一再重复推荐的相同缓解技术仍然相关且有效，可将勒索软件攻击的影响降至最低，但归根结底还是要实际实施它们，”哈哈德继续说道。