WannaCry怎么还能每小时成功发起3500次攻击呢

安全公司Armis周三发布的研究报告显示,2017年最具破坏性的网络攻击——“想要”——实际上仍在继续,全球每小时至少成功攻击3500次。该研究估计,全球仍有14.5万台设备被感染,并指出“一个受感染的WannaCry设备就可以被黑客用来入侵你的整个网络。”

WannaCry依然存在的主要原因是大量的应用补丁的Windows版本在医疗、制造业、零售产业通常找到一个“大量难以修补的年长的或非托管设备由于操作复杂,”本·斯Armis研究副总裁,在一篇博客文章中写道。研究发现,这些行业中活跃的Windows 7(以及更老的)安装数量超过了60%,相比之下,科技公司的安装数量不到30%。

参见:开启网络安全职业生涯:内部人士指南(免费PDF)(TechRepublic)

这在很大程度上是一个供应商的问题,因为这些行业依赖于第三方硬件和较差的生存期支持,根据Seri:

在操作上,我们有理由继续使用旧的、不受支持的Windows设备。生产设备依赖于HMI(人机界面)设备来控制工厂的生产线。HMI设备运行在定制的硬件上,或者使用过时的软件,这些软件还没有被最新的Windows采用。在医疗机构中,许多医疗设备本身都是基于过时的Windows版本,如果不进行彻底的重构就无法更新。而在零售环境中,销售点设备是基于定制硬件的薄弱环节,如果有更新,更新就会晚。

这是一个特别紧迫的问题,因为对Windows 7的支持将在2020年1月结束。这将进一步复杂化许多企业的安全态势,特别是在其他“可虫化”的漏洞被发现,如BlueKeep,这促使微软提供补丁为Windows XP和服务器2003由于潜在的风险,该漏洞所构成的风险。

“想哭”是一个奇特的故事。这次袭击可能造成的破坏比它本来可能造成的要大得多,尽管对受影响的组织来说,损失相当严重——英国国家医疗服务系统报告损失9200万英镑(1.16亿美元)。

当WannaCry病毒于2017年5月12日爆发时,安全研究员Marcus Hutchins,也被称为MalwareTech,在程序中发现了一个未被作者注册的kill switch域名。当WannaCry执行时,如果域解析,则程序退出。虽然这为防御争取了额外的时间,但WannaCry被报道为“停止”,这可能降低了人们对攻击的担忧。几天后,发现了一种缺少切断开关的变种。

GCHQ网络安全部门的一份分析报告指出,《想哭》的作者是朝鲜国家支持的威胁演员拉撒路集团(Lazarus Group),他也是2014年索尼影业(Sony Pictures)遭到黑客攻击的罪魁祸首。据ZDNet报道,美国、澳大利亚、新西兰、加拿大和日本批评朝鲜参与了此次攻击。

也就是说,“想哭”是建立在“永恒之蓝”和“双脉冲星”上的,这是一个名为“影子经纪人”的组织在2017年4月14日发布的。这些漏洞最初是由美国国家安全局(NSA)的“量身定制访问行动”办公室(pce)和美国中央情报局(CIA)信息行动中心(Information Operations Center)开发的。武器化——而不是负责任的披露——这些潜在的利用创造了一个机会来发动“想要货币主义”的攻击。

WannaCry攻击后,微软总裁兼首席法律顾问布拉德·史密斯谴责”政府储备的弱点,”他指出,“我们已经看到漏洞中情局存储出现在维基解密,而现在这个漏洞窃取国家安全局已经影响到世界各地的客户。政府手中的漏洞已经多次泄露到公共领域,造成了广泛的破坏。”“我们需要政府考虑到,囤积这些漏洞和使用这些漏洞对平民造成的损害。”

根据Armis的说法,解决WannaCry潜在风险的第一步自然是给你的设备打补丁。然而,修补设备需要IT专业人员知道设备的存在,这是一个高阶问题。“没有对设备和网络的适当控制和监控,组织必然会失去对两者的跟踪,”Seri在帖子中指出,“你必须对所有设备保持一个持续的资产清单,并监控你的网络中未知的、可疑的或错位的连接到它的设备。”

要了解更多,请查看“韩国政府计划在Windows 7支持结束时迁移Linux”和“71%的医疗设备仍然运行在TechRepublic的Windows 7、Windows 2008和Windows mobile上”,以及ZDNet上的“为什么WannaCry勒索软件仍然对你的PC构成威胁”。

通过及时了解最新的网络安全新闻、解决方案和最佳实践,加强组织的IT安全防御。星期二和星期四送货

栏目推荐