在WannaCry之前數周，更多黑客組織發現利用SMB漏洞

4月份的數據轉儲被認為是迄今為止影子代理發布的最具破壞性的版本，因為它公開泄露了大量Windows黑客工具，包括危險的Windows SMB漏洞攻擊。

上周WannaCry事件爆發后，安全研究人員發現了多個利用Windows SMB漏洞（CVE-2017-0143）的不同活動，稱為永恒的模糊，已經危害了全球數十萬臺計算機。

我甚至被黑客和情報界的多個消息來源證實，有許多團體和個人出于不同的動機積極利用永恒藍。

此外，Eternalblue SMB利用(MS17-010)現已被移植到Metasploit，這是一個滲透測試框架，使研究人員和黑客能夠輕松利用此漏洞。

網絡安全初創公司Secdo是一個事件響應平臺，最近在WannaCry全球勒索軟件攻擊爆發前至少三周，發現了兩個使用同一Eternalblue SMB漏洞的單獨黑客活動。

因此，如果發現更多黑客組織、國家資助的攻擊者、有經濟動機的有組織犯罪團伙和灰帽黑客利用Eternalblue攻擊大型組織和個人，這并不奇怪。

新發現的兩次黑客活動，一次追溯到俄羅斯，另一次追溯到中國，比WannaCry先進得多，因為老練的黑客正在利用Eternalblue安裝后門、僵尸網絡惡意軟件和過濾用戶憑據。

據Secdo稱，這些攻擊可能比WannaCry帶來更大的風險，因為即使公司阻止WannaCry并修補SMB Windows漏洞，“后門可能會持續存在，并且可能會使用泄露的憑據重新獲得訪問權限”到受影響的系統。

這兩個活動都使用類似的攻擊流，其中攻擊者最初通過不同的攻擊向量用惡意軟件感染目標機器，然后使用永恒藍感染同一網絡中的其他設備，最后在合法應用程序中注入一個秘密線程，然后通過部署后門或過濾登錄憑據來實現持久性。

俄羅斯戰役：證件盜竊襲擊

Secdo發現攻擊者正在向lsass注入惡意線程。使用永恒藍的exe進程。

一旦被感染，該線程開始下載多個惡意模塊，然后訪問SQLite DLL，從Mozilla的FireFox瀏覽器中檢索用戶保存的登錄憑據。

被盜的憑證隨后通過加密的Tor網絡發送到攻擊者的命令和控制服務器，以隱藏CC服務器。

一旦發送，一個勒索軟件變種CRY128，它是臭名昭著的Crypton勒索軟件家族的一員，開始在內存中運行，并對受影響系統上的所有文檔進行加密。

據Secdo稱，“至少有5家最受歡迎的下一代AV供應商和反惡意軟件供應商在端點上運行，無法檢測和阻止此攻擊。這很可能是由于攻擊的線程性質”。

這次襲擊可追溯到4月底，也就是萬納克里疫情爆發前三周。攻擊源于俄羅斯的IP地址（77.72.84.11），但這并不意味著黑客是俄羅斯人。

中國活動：安裝Rootkit和DDoS僵尸網絡

這場運動也發生在4月底。

使用Eternalblue，會在lsass內部生成惡意線程。exe進程，類似于上述憑證盜竊攻擊。

但是，最初的有效負載并沒有完全留在內存中，而是連接回端口998（117.21.191.69）上的一個中文命令和控制服務器，并下載一個已知的rootkit后門，該后門基于“Agony rootkit”使其持久化。

一旦安裝，有效負載將在受影響的機器上安裝一個配備DDoS攻擊功能的中國僵尸網絡惡意軟件。

“這些攻擊表明，盡管安裝了最新的安全補丁，許多端點仍可能受到威脅，”塞科多總結道。

“我們強烈建議使用能夠在線程級別記錄事件的解決方案，以便盡快發現、減輕和評估潛在的損害”。

這些惡意活動幾周來都沒有引起注意，因為與WannaCry不同，這些攻擊的目的是不同的，通過實現持久性和竊取憑據來重新獲得訪問權限，從而長時間保持受影響的系統。

最近的例子是阿德爾庫茲“在WannaCry勒索軟件攻擊爆發前至少兩周，一個最近發現的秘密加密貨幣挖掘惡意軟件也在使用Windows SMB漏洞。

這些攻擊只是開始，因為像WannaCry這樣的攻擊還沒有完全停止，而且考慮到NSA漏洞的廣泛影響，黑客和網絡犯罪分子好奇地等待下一個影子代理發布，該版本承諾從下個月開始泄露更多的零天和漏洞。

由于攻擊者目前正在等待新的零日攻擊，用戶幾乎無法保護自己免受即將到來的網絡攻擊。