NSA被盗走了黑客工具之后,后患无穷。
如果说由于WannaCry的作祟,在过去一周,很多人办不了护照、检不了车、加不了油、写好的毕业论文消失不见...连广场舞阿姨都知道了蠕虫病毒、80岁的大爷都开始学习电脑技能....那么,如果说勒索软件WannaCry可能只是个开始呢.....
神秘的黑客团体“影子经纪人”公布NSA的黑客工具被用作勒索软件WannaCry发动了全球攻击,这事儿刚刚有所平息,就有安全公司Proofpoint指出,同样的工具其实早在前几周,就被用来感染了更多电脑,以便通过挖矿来赚取加密的货币。
原来,WannaCry勒索比特币,真的是黑客的“醉翁之意不在酒”?还是向全世界演了一场好戏?有爆说这次病毒的始作俑者只收到了35万美元,似乎比它全球的影响力来说并不多。甚至没有A股的一个安全厂商股东这两天赚得多。所以,你当黑客是真天真?
毕竟,WannaCry所使用的攻击工具,包括Eternalblue及DoublePulsar,都是在4月随着“影子经纪人”公布 NSA档案而公诸于世了。其中EternalBlue开采Windows TCP 445端口的Server Message Block (SMB)漏洞,入侵有漏洞的连网PC。NSA开发的后门程式DoublePulsar,这次则是被WannaCry用来植入到了受害电脑中。
这家安全公司随后发现,其实早自4月24日到5月2日之间还有另一波攻击,也是使用Eternalblue和DoublePulsar来植入到加密货币挖矿工具Adylkuzz中了。
这波攻击因为没有勒索所以不为人知,但其实规模要比WannaCry更严重,影响了全球数十万台PC及服务器。
研究人员发现,全球有20多台虚拟主机扫瞄网路上开启的TCP 445端口以寻找目标。之后以EternalBlue成功开采漏洞、并植入DoublePulsar后门程序,后者再从另一台主机下载、执行Adylkuzz。Adylkuzz开始执行后(下图,来源: Proofpoint ),就会切断SMB连线,然后判断受害者电脑的IP位置,下载挖矿指令、挖矿软件及清除工具。研究人员相信网上执行Adylkuzz指令及挖矿二进制程序和指令的C&C服务器也超过20台。
黑客利用Adylkuzz挖取也十分受欢迎的加密货币Monero,这个新兴货币近来因为获得了暗网上交易黑市AlphaBay的采用而得到普及。挖矿十分耗计算性能,但挖矿者可以因此获得7.58 Moneros或约205美元的报酬。
被植入Adylkuzz而被成为挖矿僵尸网络的PC会出现PC和服务器性能下降等等症状。许多大型企业昨天通报为WannaCry的攻击,其实来自早先的这波攻击。
但有趣的是,由于这类攻击会关闭SMB网络连线,以切断之后的恶意程序(也包括WannaCry蠕虫病毒),通过同一漏洞进行感染,因此事实上它还有助于缩小WannaCry所感染的范围。
除非乱世当道,否则人永远不想学习自卫术。
不管怎样,希望这个病毒在祸害之后,也能有一些教学意义。