5月12日晚20點，全世界都被“永恒之藍”勒索病毒刷屏了，目前這種電腦勒索病毒正在全球蔓延，此次勒索病毒“WannaCry”事件與以往相比最大的區別在于，勒索病毒結合了蠕蟲的方式進行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。

　　距離勒索病毒爆發已經過去了兩周時間，然而永恒之藍勒索蠕蟲并沒有就此停下腳步，此次基于MS17-010多個漏洞也極有可能會一直存活下去，持續制造麻煩。以下為360威脅情報中心提供的關于“永恒之藍”勒索蠕蟲及值得警惕的趨勢。

　　360威脅情報中心從截至到5月26日的數據中監測到，5月23日以來，對445端口發起掃描的獨立IP數在大量增加，又開始呈現上升趨勢，26日創下歷史新高，甚至高出5月12日永恒之藍爆發時11%左右。

　　這個現象令人不安，暗示著基于NSA工具的SMB服務漏洞正在被積極地蠕蟲式利用傳播。

　　在永恒之藍勒索蠕蟲肆虐期間就出現了很多個去除Kill Switch修改版本，之后還發現了捆綁NSA幾乎所有可用SMB漏洞攻擊工具進行傳播的EternalRocks（永恒之石）家族，這些派生和其他家族理論上具備更強的傳播力，甚至會逐漸取代永恒之藍蠕蟲的主流地位。

　　如果利用SMB漏洞進行傳播的蠕蟲只是秘密地潛伏控制，不做更多引起用戶注意的事情，則可能持續保持活動狀態，2008年爆發的Conficker蠕蟲到現在都還處于活躍狀態。

　　此次基于MS17-010多個漏洞的蠕蟲（不一定是“永恒之藍”）也極有可能會一直存活下去，持續地制造麻煩。

　　目前掃描源IP數量的持續增長暗示還有很多系統沒有打上補丁，蠕蟲還能進入大量系統掃描攻擊傳播。

　　永恒之藍勒索蠕蟲的現狀

　　距離永恒之藍勒索蠕蟲（WannaCry）的爆發已經差不多兩周時間了，360威脅情報中心一直在做持續地跟蹤。

　　基于360網絡研究院的數據，顯示“永恒之藍”勒索蠕蟲的感染量在初期的暴增以后在近期保持平穩，偶有不大的起伏。

　　下圖為WannaCry蠕蟲家族Kill Switch域名的訪問量曲線：

　　在5月12日蠕蟲爆發以后，蠕蟲的感染量在最初的幾小時內沖高到頂點，在北京時間5月12日23點左右Kill Switch域名被注冊啟用以后受到極大地抑制，在后續的幾天內安全廠商與用戶的協同處理后，整體感染情況基本得到控制。

　　下圖為感染蠕蟲的獨立IP數曲線：

　　可以看到蠕蟲的感染量基本保持穩定，但近幾天有少量的增長。

　　值得警惕的趨勢

　　以上的分析顯示“永恒之藍”勒索蠕蟲家族已經得到的很大程度地控制，但是360威脅情報中心在分析全網掃描活動的數據后發現了一個令人不安的趨勢：對445端口發起掃描的獨立IP數在大量增加。

　　下圖是蠕蟲爆發前的5月2日對445端口進行掃描的獨立IP數：

　　在5月12日前，445端口的掃描源IP數基本保持穩定，這個數據可以理解為一個背景參考量。

　　下圖顯示5月12日蠕蟲爆發時掃描源IP數，上升11%左右：

　　基本可以認為超出的IP數絕大部分來自于感染了蠕蟲的機器。在接下來的幾天全球采取應對蠕蟲的措施以后，掃描IP數有所下降，蠕蟲的傳播受到控制。

　　但是，5月23日以來，掃描源IP數又開始呈現上升的趨勢，到26日創下歷史新高（今天27日的數據還不完整），如下圖：

　　在永恒之藍勒索蠕蟲肆虐期間就出現了很多個去除Kill Switch修改版本，之后還發現了捆綁NSA幾乎所有可用SMB漏洞攻擊工具進行傳播的EternalRocks（永恒之石）家族，這些派生和其他家族理論上具備更強的傳播力，甚至會逐漸取代“永恒之藍”蠕蟲的主流地位。

　　“永恒之藍”蠕蟲的加密勒索行為會促使中招用戶盡快處置，重裝系統安裝補丁，減少后續的感染源。

　　但是，如果其他利用SMB漏洞進行傳播的蠕蟲只是秘密地潛伏控制，不做更多引起用戶注意的事情，則可能持續地保持活動狀態，2008年爆發的Conficker蠕蟲到現在都還處于活躍狀態，此次基于MS17-010多個漏洞的蠕蟲（不一定是“永恒之藍”）也極有可能會一直存活下去，持續地給我們制造麻煩。

　　處理建議

　　無論是什么蠕蟲，封堵其進入渠道永遠是最有效最根本的解決方案，所以打補丁無論怎么強調都不過分。

　　對網絡始終保持監控也是體系化防御的重要部分，做網絡安全不能有銀彈思維，攻擊者通過利用漏洞取得突破而不被檢測到是完全可能的，但后續掃描探測的行為則可能有可檢測的跡象。

　　具體到利用NSA工具SMB漏洞的蠕蟲，如果通過某些漏網未打補丁的系統進入內網，安全系統能夠及時發現其自動化的掃描行為加以處置也不算太晚。

　　可以預見，利用MS17-010漏洞的蠕蟲的掃描活動在互聯網上會作為背景攻擊長期存在，我們需要時刻保持警惕，加固門窗隨時恭候來砸門的僵尸。