國安局洩露的windows駭客攻擊造成的損失不僅僅是惡意攻擊

當ShadowBrokers第一次釋出了EternalBlue（一種針對Windows檔案共享協議的NSA漏洞）的程式碼時，研究人員知道這是一個壞bug。但大多數人都不知道這種脆弱性會造成多大的損害。...

當ShadowBrokers第一次釋出了EternalBlue（一種針對Windows檔案共享協議的NSA漏洞）的程式碼時，研究人員知道這是一個壞bug。但大多數人都不知道這種脆弱性會造成多大的損害。

其中大部分損失直到最近幾天才顯現出來，一個名為“WannaCry”的勒索軟體程式鎖定了從英國國家衛生局到俄羅斯內政部的電腦。一些由EternalBlue造成的損害更難被髮現，這是由更為謹慎的惡意軟體造成的，這些惡意軟體旨在感染計算機並將其貨幣化而不留痕跡。隨著研究人員尋找有關萬納克裡起源的線索，更多的這些專案被曝光，併為我們提供了更多關於永恆藍造成的巨大損害的資訊。

其中一個名為Adylkuzz的程式利用了這個漏洞來挖掘一種名為Monero的隱祕加密貨幣。根據Proofpoint本週釋出的研究，Adylkuzz在4月24日到5月2日之間的某個時候變得活躍起來，這段時間是WannaCry突然出現的前幾周。研究人員估計，這一漏洞已波及數十萬臺裝置，並透過WannaCry利用的同樣的Windows漏洞傳播開來。

Adylkuzz沒有引起同樣的轟動，因為它沒有關閉電腦或傳送贖金通知-所有程式所做的只是在後臺執行Monero的採礦作業。雖然這對你的電腦絕對不好，但它還不足以引發災難性的警報，讓程式保持不被髮現，直到萬納克裡慘敗引起更多的關註。事實上，由於Adylkuzz一旦感染了一臺機器就關閉了永恆藍漏洞，研究人員懷疑這個程式實際上限制了更具破壞性的勒索軟體的傳播。

儘管低調，阿德爾庫茲幾乎和萬納克裡一樣有利可圖。Proofpoint確認至少有4.3萬美元是該計劃的一部分，其他錢包很可能會進一步提高這一數字。到目前為止，大約8萬美元已經支付給了已知的萬納克裡錢包，考慮到襲擊造成的混亂，這個數字低得出奇。至少在野外還發現了另外一個以永恆藍為動力的加密貨幣礦工，可能還有其他人尚未被髮現。

WannaCry的變體也出現了爆炸式增長，可能是模仿者的作品。研究人員上週末找到了一個阻止最初攻擊的kill-switch域，但在此後的幾天裡，出現了一些替代版本的勒索軟體，它們要麼指向新的域，要麼根本沒有kill-switch協議。但研究人員對這些變體的起源存在分歧，一些人指出程式碼**問題是第三方參與工作的證據。

今天早些時候，TrendMicro的研究人員宣佈發現了一種叫做UIWIX的全新變體。像WannaCry一樣，它是一個建立在永恆藍上的勒索軟體程式——但是UIWIX能夠在不將檔案寫入永久儲存的情況下感染機器，這使得透過傳統的取證更難發現。它還增加了新的方法，以擺脫研究人員在虛擬環境中觀察它，導致TrendMicro懷疑一個單獨的小組是新的攻擊負責。

新的和舊的變種結合在一起，使得很難確定是誰對最初的WannaCry感染負責，因為越來越有可能是多個因素在起作用。在賽門鐵克（Symantec）和卡巴斯基（Kaspersky）宣佈證據表明最初的攻擊與先前研究過的朝鮮網路犯罪集團有關之後，這個問題變得尤為緊迫。

好訊息是：修補單個漏洞可以抵禦所有不同的變種，尤其是現在微軟已經釋出了緊急XP補丁。因此，一些研究人員將萬納克裡的突然成名視為對付鮮為人知的蟲子的有力武器。”我認為WannaCry導致了一些網路罪犯加速了他們的時間線，”Trend Micro cloud研究副總裁MarkNinnukhoven說萬納克裡把火柴燒成了永恆藍。對於**者來說，這是一件非常好的事情，因為WannaCry確實造成了一些現實世界中的損害，並使世界各地的組織感到沮喪，它不像我們以前看到的其他惡意軟體和勒索軟體那麼惡意。”