详细内容或原文请订阅后点击阅览
WannaCry,改变网络安全历史的勒索软件攻击
WannaCry 展示了未修补的缺陷和泄露的网络工具如何削弱全球系统,重塑全球网络安全防御。纪念数字世界被震撼的那一天,但也学会了反击。 WannaCry 勒索软件攻击是近期网络安全历史上最重大的事件之一,不仅因为其全球规模,而且 [...]
来源:Security Affairs _恶意软件WannaCry,改变网络安全历史的勒索软件攻击
WannaCry 展示了未修补的缺陷和泄露的网络工具如何削弱全球系统,重塑全球网络安全防御。
纪念数字世界被震撼的那一天,但学会了反击。
WannaCry 勒索软件攻击是近代网络安全史上最重大的事件之一,不仅因为其全球规模,而且还因为它引发的技术和地缘政治影响。分析其历史意味着了解已知的漏洞、先进的工具和缓解措施的延迟如何汇聚成能够破坏全球关键基础设施的事件。
WannaCry 于 2017 年 5 月 12 日出现,利用 Microsoft Windows SMBv1 协议中的漏洞(CVE-2017-0144 又名 EternalBlue)。该漏洞允许在未经身份验证的情况下远程执行代码,该漏洞已于 2017 年 3 月由 Microsoft 安全补丁 MS17-010 修复。最关键的细节是,所使用的漏洞利用程序名为“EternalBlue”,并非由普通网络犯罪分子开发,而是源自美国国家安全局 (NSA) 的攻击性工具,后来由黑客组织 Shadow Brokers 泄露。
这种组合使 WannaCry 特别有效。它不是传统的通过网络钓鱼传播的勒索软件,而是一种能够在网络内自主传播的蠕虫病毒。
5 月的那天,WannaCry 开始迅速传播,在数小时内感染了 150 多个国家/地区的 200,000 多个系统。受影响最严重的国家包括西班牙、英国、美国、中国、葡萄牙、越南、俄罗斯和乌克兰,其中英国医院 IT 系统和西班牙电信网络受到的影响尤其严重。
感染机制和行为
通过注册该域名,他有效地减缓并部分阻止了蠕虫病毒的全球传播。该机制可能旨在作为一种反分析技术,但它最终在减轻攻击方面发挥了关键作用。