坏兔子勒索软件被证实使用SMB永恒浪漫漏洞进行传播

安全软件开发商卡巴斯基日前发布提醒称个人和企业需警惕正在欧洲传播的坏兔子(Bad Rabbit)勒索软件

目前坏兔子勒索软件已经感染东欧的多个国家和地区, 其中俄罗斯在这轮勒索软件攻击中被感染的设备最多。

值得注意的是该勒索软件此前被认为使用永恒之蓝漏洞传播,即Windows SMB 服务器旧版存在的安全漏洞。

但研究人员最新的分析证实实际上该勒索软件使用的是Windows SMB的永恒浪漫(Eternalromance)漏洞。

该系列漏洞全部是知名黑客组织影子经济人( Shadow Brokers )从美国国家安全局的漏洞武器库中窃取的。

坏兔子勒索软件被证实使用SMB永恒浪漫漏洞进行传播

Eternalromance 漏洞介绍:

Eternalromance漏洞在国内被称作是永恒浪漫,该漏洞同属于 Windows SMB v1 版服务器组件中安全漏洞。

工具及漏洞说明:该漏洞针对 Windows SMBv1 的远程代码执行漏洞攻击,可攻击开放445端口的大量设备。

与该漏洞的相关细节信息等可参考微软公司发布的安全公告MS17-010号:  Microsoft Security MS17-010

可能受影响的软件版本: Windows XP~Windows 7、Windows Server 2003~Windows Server 2008 R2。

该安全漏洞安全更新补丁下载地址:http://www.catalog.update.microsoft.com/search.aspx?q=4012598

传播范围有限但同样具备杀伤力:

坏兔子蠕虫虽然在传播范围上不及 5 月份爆发的 WannaCry,但在病毒内部却有着比前者更精密的运行逻辑。

该蠕虫不仅只会利用永恒浪漫这个旧版服务器漏洞, 在运行中亦会探索是否可以利用其他漏洞甚至内核问题。

病毒制造者在对漏洞的利用和修改上使用了绝佳的逃避技巧, 以便可以顺利躲开安全软件的主动探测和防御

这点和早些时候爆发的主要破坏不为赎金的NotPetya勒索病毒相同,可能表明背后制作者对病毒非常有信心。

病毒继续传播但漏洞依然未修复:

自影子经纪人发布这系列的漏洞后已经超过大半年的时间, 而微软公司也早就发布安全补丁就行了漏洞修复。

但是实际情况是今年利用永恒系列漏洞的勒索软件已经出现过五次, 且每次都在全球范围引起了不小的轰动。

然鹅让人无奈的是依然还有大量设备未对漏洞进行修复,这也是自 WannaCry 以来能够多次爆发蠕虫的原因。

显然未来很长时间里都会有蠕虫病毒继续利用这个漏洞传播, 如果你不想被感染被勒索还是趁早进行修复吧。

相关内容:国家互联网应急中心关于影子经纪人系列漏洞预警通报、永恒系列漏洞的各版操作系统补丁下载。

本文来源 蓝点网 编译,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 编译 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

发表评论