精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

“壞兔子”(Bad Rabbit)勒索病毒本周爆發(fā)以來，安全研究人員一直在深入挖掘這款惡意軟件。最初安全專家認(rèn)為，這款勒索軟件利用依賴SMB協(xié)議的自定義掃描機(jī)制進(jìn)行傳播，此后陸續(xù)發(fā)現(xiàn)“壞兔子”勒索軟件還使用修改過的NSA漏洞利用強(qiáng)化傳播過程。

今年三起大規(guī)模勒索攻擊都利用NSA工具

“壞兔子”勒索軟件攻擊是今年第三起利用NSA網(wǎng)絡(luò)武器(“影子經(jīng)紀(jì)人”泄露)使勒索病毒席卷全球的勒索攻擊。

WannaCry是第一波利用NSA網(wǎng)絡(luò)武器的大規(guī)模勒索軟件攻擊：攻擊者今年5月部署了“永恒之藍(lán)”(ETERNALBLUE)MS17-010漏洞利用 在被感染的網(wǎng)絡(luò)中橫向活動(dòng)。

一個(gè)月之后，NotPetya勒索病毒大范圍爆發(fā)，攻擊者在其中部署了“永恒之藍(lán)”(ETERNALBLUE)和“永恒浪漫”(ETERNALROMANCE)。

“壞兔子”利用“永恒浪漫”

“壞兔子”爆發(fā)之后，研究人員猜測攻擊者可能利用了NSA工具，但出乎意料的是，初步分析并未發(fā)現(xiàn)NSA工具的蹤影。

首批報(bào)告指出，這款勒索軟件使用Mimikatz工具獲取被感染電腦內(nèi)存的密碼，并利用硬編碼憑證訪問同一網(wǎng)絡(luò)的SMB共享文件。

思科Talos的研究人員深入挖掘“壞兔子”的代碼后發(fā)現(xiàn)“永恒浪漫”相關(guān)證據(jù)。“永恒浪漫”也是通過SMB傳播的一款漏洞利用。

“永恒浪漫”為何開始未被發(fā)現(xiàn)?

初步分析并未發(fā)現(xiàn)“永恒浪漫”，其原因在于攻擊者對代碼做了修改。正是因?yàn)槿绱?，大多?shù)研究人員和自動(dòng)掃描系統(tǒng)無從察覺。

思科Talos團(tuán)隊(duì)的研究人員發(fā)現(xiàn)的代碼與公開可獲取的“永恒浪漫”漏洞利用的Python實(shí)現(xiàn)非常類似，但“壞兔子”在實(shí)現(xiàn)上不同于NotPetya。

F-Secure也證實(shí)了思科的發(fā)現(xiàn)。此外，思科還提供了更多細(xì)節(jié)證明，“壞兔子”和NotPetya出自同一人之手。

思科Talos團(tuán)隊(duì)認(rèn)為，“壞兔子”與NotPetya構(gòu)建在相同的核心代碼庫上，“壞兔子”的構(gòu)建工具鏈與NotPetya非常相似。其背后黑手被認(rèn)為與NotPetya勒索軟件存在聯(lián)系的俄羅斯網(wǎng)絡(luò)間諜組織“TeleBots”有關(guān)。

“TeleBots”組織自2007年即開始活動(dòng)，且曾經(jīng)使用Sandworm(沙蟲)、BlackEnergy、Electrum、TEMP.Noble以及Quedagh等。