Wannacry 是否会在其私有子网之外传播到相邻的私有子网?

信息安全 想哭
2021-08-23 01:36:11

内部网络上受 Wannacry 感染且具有私有 IP 地址的计算机是否会尝试传播到其他私有寻址的子网?

我在网上没有找到明确的答案。

思科说:

第一个线程检查受感染机器的 IP 地址并尝试连接到同一子网中每个主机/IP 地址的 TCP445 (SMB),第二个线程在 Internet 上生成随机 IP 地址以执行相同的操作。

这意味着 Wannacry 仅在子网(公共或私有地址)内传播并传播到公共 IP 地址,因此相邻的私有子网是安全的。

微软说:

如果第一个八位字节的随机生成值为 127 或该值等于或大于 224,则威胁避免感染 IPv4 地址,以跳过本地环回接口。

这意味着 Wannacry 仅丢弃环回和多播/保留地址。这意味着可以随机生成一个私有 IP 地址,并且 Wannacry 可以跳到另一个私有子网。

2个回答

对您的问题的回答是肯定的,它可以跨越网络(可能是专用网络/公共网络),具体取决于代码对蠕虫的编程方式。

wannacry 蠕虫可以简单地识别受感染主机上可用的路由。例如“路由打印”将显示连接到受感染机器的所有活动路由。一旦这条路线可用,蠕虫就可以传播或开始感染这些网络上的其他易受攻击的机器。

“路线打印”的示例输出 - 请注意活动路线:

在此处输入图像描述

注意:这发生在我们身上,我们在单独的私有 IP 范围内的分支网络很少受到影响。

我的理解是它只在它感染的机器的同一子网中搜索 24 小时。如果被感染(或随后被感染)的机器连接到多个网络,那么它可能会以这种方式横穿网络。我正在尝试找到我在其中阅读的来源,并在/如果我这样做时将其添加到这篇文章中。

其它你可能感兴趣的问题
上一篇带有信息泄漏的 ASLR 旁路 下一篇备份比特币硬件钱包的安全方法