WannaCry勒索软件爆发的余波中，安全研究人员发现，过去几周里还有其他大量攻击同样利用了“永恒之蓝”漏洞利用程序进行恶意软件投放。

该漏洞利用在4月份被自称“影子经纪人”的黑客团伙公开，是个针对 TCP 445 端口上服务器消息块(SMB)漏洞的利用程序，据说是从NSA御用黑客组织“方程式小组”手上偷来的。该程序所利用的漏洞其实早在3月份就放出了修复补丁。

WannaCry的快速传播将“永恒之蓝”推到了台前，但其他恶意软件家族早在WannaCry之前就已经在用它进行感染了。其中之一就是名为Adylkuzz的僵尸网络，自4月24日开始活跃。

如今，初创安全公司Cyphort称，一台蜜罐服务器上的证据表明，对SMB的攻击在5月初开始活跃，但不释放勒索软件，而是放出隐秘远程访问木马(RAT)。该恶意软件没有蠕虫功能，不会像WannaCry一样传播。

该恶意软件似乎是从中国的一个IP(182.18.23.38)分发的。如果漏洞利用成功，加密载荷会以shellcode的形式发出，其中嵌入了一个DLL，具备木马的基本功能，比如下载其他恶意软件和接收控制者的指令。

该恶意软件下载的文件当中，有一个文件的功能就是关闭445端口，防止其他恶意软件也利用该漏洞。另一个文件应该是个第二阶段的攻击载荷。该RAT会设置一系列注册表启动项，用以下载和执行其他恶意软件。

该恶意软件会尝试删除一些用户，停止/删除各种进程/文件。内存转储分析揭示，它会去连接托管在中国网站上的一个远程访问工具——ForShare 8.28。

该RAT功能全面，可以从服务器接收并执行指令，监视屏幕，捕获音频视频，监视键盘，传输数据，删除文件，终止进程，执行程序，枚举文件和进程，下载文件，以及控制机器。

因为一上来就关闭445端口，Cyphort认为，该威胁肯定知道“永恒之蓝”漏洞，并且试图让其他恶意软件无法再碰有该漏洞的机器。

Cyphort安全公司称：“我们认为，该攻击背后的组织，应该就是2月份卡巴斯基实验室发现的传播Mirai的那个。他们的攻击指标(IOC)存在共同点。”

本周一份报告中，Secdo同样宣称，发现了在WannaCry之前几周就有恶意软件利用“永恒之蓝”的证据。其中一个恶意程序，似乎还是会盗取用户凭证的勒索软件家族。

该公司研究人员称：“自4月中旬起，就有一波不留痕迹的隐秘攻击在利用NSA漏洞利用程序感染各大公司。勒索软件是其中最明显的载荷，但下面还深藏着更复杂的攻击没有被人注意到。”

作为该攻击的一部分，黑客用了基于“永恒之蓝”的一个蠕虫来感染被侵入网络中的所有主机，并在主机上部署后门或渗漏登录凭证，以期长期掌控这些主机。

其中一个攻击源于俄罗斯的IP(77.72.84.11)。利用NSA漏洞利用程序侵入后，攻击者在合法应用中创建一个线程，从SourceForge下载多个模块，包括 SQLite DLL，用来从火狐浏览器中盗取登录凭证。

被盗数据通过TOR网络渗漏出去，然后纯内存运行的CRY128勒索软件变种被启动，将系统上所有文档加密。

最近发现的通过“永恒之蓝”传播的UIWIX勒索软件，同样只在内存执行，形成无文件感染。UIWIX也包含用来盗取更多凭证的代码。

另一个攻击涉及中国黑客，会在被感染主机上投放一个后门。该攻击始于进程注入，与上面所述攻击类似，但最后终结在下载某已知rootkit后门上(基于Agony)。被下载的文件名为666.exe，已经被杀毒软件封禁了。

Secdo指出：“鉴于以上发现，我们推测，伤害范围可能之前认为的要大很多。至少有3个不同组织，自4月底开始，就在利用NSA漏洞利用程序来感染企业网络。”

今年1月，影子经纪人拍卖SMB零日漏洞利用的时候，美国计算机应急响应小组(US-CERT)就发出了一个警告。2月，Windows SMBv3 零日漏洞 (CVE-2017-0016)被评估为高严重性级别——之前只是关键级别。

相关阅读

WannaCry勒索软件黑客犯下超业余错误
企业灾情远超个人用户 “魔窟”反应出企业基础安全运营能力不足