3月14日,微軟在網上推出一個用以修復代號 " MS17-010 " 漏洞的更新。根據微軟說法這漏洞是透SMB Server作出攻擊的。
4月17日,一隊名為The Shadow Brokers 的駭客集團在網上公開了幾款新的攻擊程式。這集團曾經偷取NSA( 美國國家安全局) 的網路工具。今次他們從NSA偷取並公開了幾款工具,名為DANDERSPIRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE, EXPLODINGCAN, EWOKFRENZY。其中名為永恆的藍 - " EternalBlue " 這程式是透過SMB1, SMB2 漏洞作攻擊的。微軟隨即在網上發出文章,表示漏洞已經可以透過更新修復。而EternalBlue的更新代號即是 " MS17-010 "
5月13日,網上出現WannaCrypt攻擊程式並不斷以全球範圍作出攻擊。 這程式使用的就是 EternalBlue的攻擊方式,攻擊SMB。當程式取得檔案修改權後即開始搜索全電腦的檔案並加密,同時向同一網域的電腦發出攻擊,如其他電腦有開放SMB就會被攻擊。他們透過加密全系統的檔案勒索金錢,並要求受害者提供Bitcoin(由於Bitcoin難以追蹤大部份電腦黑客及一些暗網使用者都會使用作為貨幣) 。
於攻擊開始後7小時,MalwareTech的研究人員發現WannaCrypt程式中有自我停止機制,做法是程式內置有一段碼是會去網上查詢一個Domain,如果發現有的話就會停止程式的攻擊,如果沒發現就會繼續。這機制用意不名,可能是攻擊團隊的控制攻擊速度的方法,因為任由程式在網上不斷跳區跳國搜索未被攻擊的電腦有可能引起過大混亂,而使用這種方法他們有權自由控制攻擊的時間。於是他們進行測試,先把該網買下。發現全球的程式都停止了,而且他們曾經嘗試把網域撤下,並發現程式的確會繼續執行,所以目前這版本的WannaCrypt算是被阻止了
因為該網域的名稱是被Hardcode的,意思為在程式碼中直接寫成要查該網。如果程式被修改,例如改成另一個網再發佈到網上,第二波攻擊又會發生。假如程式被改成要查詢更多網站才會停止。要查出所有網就更加困難。而重點是,增加中斷機制是攻擊者的所為,他們如果要造成最大殺傷,無視世界混亂的話,從一開始就可以不寫停止的方法
5月14日,卡巴斯基研究人員發現不同改版的程式開始出現,同時發現不同改版並不是由原創作者散佈。證明開始有人抄襲並增強程式。新版本的程式已經沒有中止機制。雖然出現的各程程式有缺憾,但他們相信很快就會出現各種更強的攻擊。
創作內容
WannaCrypt -- 來源
小說 (0)