誰(shuí)殺死了Wannacry勒索病毒?原來(lái)“同門師兄”才是天敵

責(zé)任編輯:editor006

作者:王萌

2017-05-22 21:28:02

摘自:IT經(jīng)理網(wǎng)

Wannacry勒索病毒“雷聲大雨點(diǎn)小”,半途而廢的真正原因,也許出乎所有人的意料。安全專家的多次測(cè)試表明,Adylkuzz的傳染性更強(qiáng),多臺(tái)存在“永恒之藍(lán)”漏洞的計(jì)算機(jī)聯(lián)網(wǎng)后第一時(shí)間(不到20分鐘)被感染的不是wannacry,而是Adylkuzz。

Adylkuzz-wannacry勒索病毒礦機(jī)木馬

距離Wannacry(想哭)勒索病毒的爆發(fā)已經(jīng)過(guò)去一周,一切都?xì)w復(fù)平靜,似乎幾位扮演救世主的安全專家不經(jīng)意關(guān)閉了病毒作者暗藏的幾個(gè)“開(kāi)關(guān)域名”后,這場(chǎng)本可導(dǎo)致世界陷入混亂的計(jì)算機(jī)病毒災(zāi)難變成了一場(chǎng)“雷聲大雨點(diǎn)小”的全球性網(wǎng)絡(luò)安全意識(shí)宣傳周活動(dòng)。

頗具諷刺意味的是,這場(chǎng)“疫情”的真兇是微軟,而救星卻是一個(gè)更加貪婪的礦機(jī)木馬。

Wannacry攻擊收益不到10萬(wàn)美元,“同門師兄”被忽視

除了全球網(wǎng)絡(luò)安全公司的股票暴漲外(當(dāng)然也有安全公司被打臉,例如SOPHOS),Wannacry勒索病毒作者的收益其實(shí)非常有限,截止上周五,即使已經(jīng)過(guò)了“撕票”期限,依然只有極少數(shù)的受害者支付贖金,累計(jì)不到9.4萬(wàn)美元。

本可以大殺四方的Wannacry勒索病毒為何如此虎頭蛇尾,甚至紐約時(shí)報(bào)等媒體開(kāi)始質(zhì)疑這不過(guò)是黑客搞的一次“安全恐嚇”,而不是正規(guī)的網(wǎng)絡(luò)欺詐犯罪。

Wannacry勒索病毒“雷聲大雨點(diǎn)小”,半途而廢的真正原因,也許出乎所有人的意料。

根據(jù)Proofpoint的報(bào)道,在Wannacry勒索病毒爆發(fā)一周后,安全專家們發(fā)現(xiàn)了另外一個(gè)同樣利用NSA武器庫(kù)漏洞EternalBlue和DoubleStar的蠕蟲(chóng)病毒——ADYLKUZZ,但與Wannacry不同的是,ADYLKUZZ不是勒索軟件,而是密碼貨幣礦機(jī)木馬。這意味著ADYLKUZZ比Wannacry要“溫和”得多,它不會(huì)加密任何“宿主”計(jì)算機(jī)上的文件,只是會(huì)偷偷“借用”計(jì)算力來(lái)挖掘一種類似比特幣的密碼貨幣——Moneros。與比特幣相比,Moneros的匿名性更強(qiáng),因?yàn)楸籄lphaBay等地下網(wǎng)絡(luò)黑市接受作為結(jié)算貨幣而名聲大噪。

殺死Wannacry病毒的居然是“同根生”的礦機(jī)木馬

安全專家對(duì)Adylkuzz的研究發(fā)現(xiàn)一個(gè)驚人的秘密,成功遏制Wannacry勒索病毒傳播的不是安全公司的馬后炮,也不是企業(yè)IT安全經(jīng)理們的連夜奮戰(zhàn),而是Adylkuzz礦機(jī)木馬的功勞!

原來(lái)Adylkuzz礦機(jī)木馬利用的是與Wannacry勒索病毒同樣的計(jì)算機(jī)漏洞(微軟MS17-010),掃描著同樣的端口—TCP 445,但是Adylkuzz為了讓宿主計(jì)算機(jī)“專心致志、安安穩(wěn)穩(wěn)”地挖礦,會(huì)在宿主機(jī)器中植入Double Pulsar后門下載挖礦程序,一旦挖礦程序啟動(dòng),Adylkuzz會(huì)首先關(guān)閉宿主計(jì)算機(jī)的SMB通訊,以此來(lái)阻斷其他病毒的入侵,然后才開(kāi)始接受挖礦指令,長(zhǎng)期工作。(下圖)

adylkuzz-wannacry03

很顯然,Adylkuzz的目的是經(jīng)營(yíng)一個(gè)由大量受感染計(jì)算機(jī)組成的僵尸挖礦網(wǎng)絡(luò),通過(guò)持續(xù)挖掘密碼貨幣獲利,屬于“訂閱模式”,而不是Wannacry這樣導(dǎo)致宿主計(jì)算機(jī)癱瘓開(kāi)展的一次性勒索模式。兩者的“商業(yè)模式”存在根本性的分歧,從技術(shù)上來(lái)看,Adylkuzz與Wannacry也是“一山不容二虎”的排斥關(guān)系,更準(zhǔn)確地說(shuō),Adylkuzz就是Wannacry的天敵。

安全專家的多次測(cè)試表明,Adylkuzz的傳染性更強(qiáng),多臺(tái)存在“永恒之藍(lán)”漏洞的計(jì)算機(jī)聯(lián)網(wǎng)后第一時(shí)間(不到20分鐘)被感染的不是wannacry,而是Adylkuzz。

此外,Adylkuzz不但傳染性更強(qiáng),而且啟動(dòng)時(shí)間更早,從4月24日就開(kāi)始傳播,目前安全專家發(fā)現(xiàn)有超過(guò)20個(gè)Adylkuzz攻擊主機(jī)依然在掃描傳播木馬,活躍的命令控制服務(wù)器也多達(dá)十幾臺(tái),真實(shí)的規(guī)模可能更大。那么問(wèn)題來(lái)了,那些最初存在永恒之藍(lán)漏洞卻又躲過(guò)wannacry攻擊的電腦,有多少已經(jīng)感染Adylkuzz變成僵尸礦機(jī)了呢?此外,對(duì)于Adylkuzz這樣不導(dǎo)致數(shù)據(jù)丟失,僅僅“費(fèi)電”的礦機(jī)僵尸木馬,企業(yè)也萬(wàn)萬(wàn)不可掉以輕心,因?yàn)槟切┍葁annacry更兇險(xiǎn)、比Adylkuzz規(guī)模更大的“永恒之藍(lán)”病毒,很快將發(fā)起下一波攻擊,唯一的應(yīng)對(duì)之策就是盡快更新補(bǔ)丁。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)