又一波大規模勒索攻擊已經上路 這次被利用的是系統更新

WannaCry的風波差不多已告一段落，然而就在人們以為已經可以回歸風平浪靜的正常生活時，一波新的勒索攻擊今早又突然在烏克蘭爆發，並開始波及全球範圍內的Windows系統，這次沒有什麼EternalBlue，沒有什麼SMB，一個Petya勒索軟體的變種通過偽裝成系統更新，攻破了眾多商業或非商業組織機構的大門。

Petya原本和WannaCry一樣，使用EternalBlue漏洞傳播，在微軟通過大規模的應急更新封堵過之後，這個途徑已經失去了效力。然而Petya將計就計，通過偽造數字簽名，把包含勒索病毒的軟體包偽裝成系統更新讓它繞過組織的防火牆進入內網，一旦載荷被釋放，它會立即藉助微軟系統內置的WMI或是PsExec等網路工具把自身推送給內網中的其他電腦。

這種做法是恐怖且高效的——WMI（Windows Management Instrumentation）在系統中有一個一直在後台保持運行的服務，讓它具有7×24的時刻傳播條件（只要系統開機）；而WMI通過安裝在其上的各種擴展，可以讀取和更改本地硬碟或遠程計算機的幾乎任意內容。這個工具一向是網路管理員工具箱里的必備物，然而到了不法分子的手裡，它就成了推送和安裝偽裝更新的完美途徑。

根據安全組織的觀測，這個Petya變種只要滲入了組織的內網，就可以在10分鐘內搞癱5000台電腦，重啟它們然後顯示勒索信息。對個人用戶來說只要不安裝來歷不明的更新和軟體，只從微軟獲取安全更新，通常都不會有事，但對於一個龐大的組織機構而言，變數實在太多了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！