勒索病毒的制作门槛是比较低的,网上有很多病毒开源代码,病毒使用的加密算法也有很多公共库,不法分子只要稍微改造就可以使用。
此次WannaCrypt勒索病毒之所以造成巨大影响,最重要的并不是病毒本身,而是它使用了NSA(美国国家安全局)“永恒之蓝”进行远程攻击。通俗的说,NSA的“永恒之蓝”网络武器是枪,勒索病毒是子弹。如果没有“永恒之蓝”的发射,勒索病毒也不会有超强的传播能力。
NSA“永恒之蓝”能够远程攻击Windows系统,以系统最高权限执行任意代码,整个攻击过程不需要用户任何操作(常见的软件漏洞需要用户浏览网页或者打开文档等操作才会中招),电脑只要联网就可能被攻击。
永恒之蓝攻击的445文件共享端口在企业内网一般是开放的,否则无法使用打印机等办公应用,因此特别适合互联网、局域网的蠕虫式自动传播——只要一台机器感染,它就会成为攻击源自动扫描攻击其他有漏洞的机器。
这类无需用户交互就能远程攻击的系统级漏洞非常稀缺和罕见,上一次出现大规模利用还是在2008年,conficker蠕虫利用MS08-067漏洞在全球范围内进行传播。能够挖掘出一个这种级别的神洞是非常难的。
永恒之蓝的攻击代码水平极高,漏洞利用成熟、稳定。如果“永恒之蓝”武器发射的不是勒索病毒,而是其他更隐蔽的病毒,一般人根本无法察觉电脑已经被“永恒之蓝”攻击入侵过。
简单总结永恒之蓝的技术难点:漏洞挖掘难度极高、漏洞利用水平极高、漏洞武器化水平极高,只有高水平团队投入大量资源才有可能实现。可以说,NSA的网络武器泄漏公开在此次病毒爆发事件中起到了关键作用。
关于外媒流传的病毒出处的说法,以同源代码关联分析的方式并无法准确地追溯源头,只能猜测这是一种可能性,但无法确认病毒作者的真实身份。
,
