求具體解釋永恆之藍傳播過程？

01-26

小白一枚假如文件共享只開了只讀許可權而不能寫入修改病毒也能傳播嗎？

謝邀。

也確實應該為這個特殊的事情我們的處理做一個總結。

本文為蘭州大學華為創新俱樂部本科生部（蘭州大學開源社區）安全與運維方向總結文章。

請各位大神批評指正。

首先說狀況：

WannaCry 的感染者包括 Windows XP, Windows 7 以及微量的 Windows 10.

感染集中爆發於 5 月 12 日，推測是攻擊者手工控制的爆發日期。

是的，我們確實收到的 Windows 10 的報告，這也是我們就傳播方式爭論不休的原因之一。

根據以往的經驗，此類病毒（如 Locky 等）一般通過郵件傳播，將遠程代碼執行漏洞（RCE）用於傳播勒索病毒是沒有見過的，MS17-010 是更沒有想到的，主要有以下幾個原因：

RCE 漏洞是一把利器，用來幹什麼不行，何必用來勒索。
在現在的 PC 設備通常處於家用路由器的內網之中，攻擊者的掃描工具無法掃描。
在默認的 Windows 7 防火牆設置中，445 埠的入站是禁止的。

因此，在最初的討論中，我們甚至都不願意討論這是一個 MS17-010 漏洞產生的問題，因為這個東西出來的時間足夠長，而且用來做這個足夠浪費。

在排除有嚴重 0Day 漏洞的情況下（如果真的是 0Day 那沒有人會用來勒索），排查近期微軟系漏洞，我們認為存在攻擊者可能通過以下方式傳播：

通過惡意程序捆綁等方法傳播
常見的惡意郵件傳播
CVE-2017-0199
Office 宏
MS17-010
CVE-2017-0290

但是隨著新增案例的增多，我們發現了其顯著特點（教育網內、Win7 or XP，近期無郵件下載記錄、WPS 用戶同樣中招等），如此顯著的特點讓我們懷疑自己對於 Windows 默認配置的理解存在問題，促使我們不得不重新評估我們的分析。

我們重新配置了一個 Windows 7，試圖完全使用默認配置來分析這個路徑。

我們重新檢查了 Windows 7 默認的防火牆策略，確定了 445 埠默認策略是禁止入站的。

百思不得其解，正在試圖否定 MS17-010 的分析的時候，發現了下圖：

沒錯，Windows 7 特色的網路位置選擇，經過我們的確認，

雖然默認禁止，但是在家庭/工作網路上，445 埠是開放的……

也就是說，如果是一台未安裝 010 補丁的 Windows 7 機器，

在使用公網 IP 的時候，沒有選擇『公用網路』，

那麼就是可以被掃描利用的狀態。

一旦出現了這個『0 號感染機』，它回到宿舍等的內網環境下，

周圍的機器一旦選擇了『家庭或工作網路』，就會被蠕蟲感染。

而一般人在宿舍等地方，都會設置成『家庭或工作網路』 = =

與 Windows 7 不同，Windows 10 就是公用網路的配置，445 關閉。

這樣也就解釋了 Windows 7 數量眾多而沒有 Windows 10 報告的情況。

但是劇情還沒有完，

在第二天，也就是五月十三日，我們收到了校內第一個 Windows 10 感染者報告。

我們榆中的同學在天山堂主教學樓提取到了第一個感染我校的樣本文件。

也在幾位大佬的幫助下得到了一些可用於 Linux/MacOS 的樣本。

經過樣本分析和綜合匯總其他情況，

我們發現攻擊者其實是使用混合手段來獲取『0 號感染機』的，

至此，我們完成了對 WannaCry 的傳播分析：

攻擊者通過掃描、郵件、捆綁預埋、OFFICE 宏、CVE-2017-0199 等多種方式傳播蠕蟲，

一旦成功種植第一個機器，也就是『0 號感染機』，

蠕蟲會通過中招機器掃描當前內網內所有機器的 445 埠試圖遠程執行惡意代碼。

此過程循環進行。

TimeLine:

四月十五日，

獲得方程式工具包，開始對我校公網 IP 進行了應急掃描，並向學校有關組織發出了通報。

但出於錯誤的認識（認為 Windows 7 默認關閉 445）和資源限制，

只掃描了伺服器段的 IP。

五月十日，

在外接到團委電話，表示一台重要電腦中招，初步判定為郵件或惡意腳本傳播，未重視。

五月十二日，

接到大量勒索病毒集中發作報告，入侵路徑爭論中，

通過多個校內媒體向同學推送臨時補丁一籮筐解決方案、發布部分 CVE 自測 PoC，

建議 XP 用戶立即斷網升級，

建議同學們不要使用 Office 宏並檢查文件後綴名，

對於已中招機器斷開網路，完整安裝原版 Windows 10，

同時提醒同學們注意郵件安全性。

五月十三日，

發現第一個 Windows 10 感染者，感染路徑逐漸明晰，

獲得全平台樣本，並對樣本進行分析和測試。

通過校內媒體推送最終完整解決方案。

請放心，Linux / MacOS 樣本不具備傳染性，應為不同作者作品。

五月十四日，

學校網路中心開始封鎖外部入站請求，並在主交換封鎖 445 埠。

五月十五日，

我們開始將 MS17-010 的 PoC 用於掃描教學區域 IP 地址，

檢出率為令人震驚的 23%，

我們開始向這些幸運但仍不修復漏洞的同學發出彈窗提示。。。

問題

當時筆者在外地離線、社區成員少且位置分散，

第一手樣本獲取與評估緩慢，嚴重地降低了安全響應水平。

在這個過程中，我們也暴露了自己對於 Windows 系操作系統的默認配置並不十分熟悉等問題。

相對於學生組織提供的安全響應水平，教育網一貫的響應能力低下的問題更為嚴重= =

致謝

感謝在本事件的處理中做出突出貢獻的社區 2015 級 @gsfish 同學。

感謝我扯了好久犢子的幾位安全工程師老哥們。

感謝我的花廠軟挑土豆大佬和彎彎大佬以及主辦方原諒我的比賽時離線。

PS：

在很久之前我們的討論中，曾經也想過將 RCE、蠕蟲與勒索相結合，但沒有想到這麼快就成真了。

真的不感覺神洞用來勒索很浪費么親！

個人認為是描述的特別清楚了。

http://mp.weixin.qq.com/s/Waw8_0nWq6dVjhp-pbWl0Q

這是SMB服務本身的所謂緩衝區溢出漏洞，跟有沒有寫許可權沒有關係。只要提供SMB服務，就會被攻擊。

所謂緩衝區溢出，對於沒有編碼知識的人還真挺難解釋清楚。可以簡單的理解為黑客利用軟體本身的漏洞，打亂了程序本來的執行順序，執行了由黑客提供的代碼，這些代碼就是蠕蟲病毒。

一句話答案，通過泄密的微軟系統後門傳播。

泄密者將後門公之於眾，隨後一小撮國際網賺分子使用泄密者的理論與工具驗證並實踐了後門的存在及應用。

微軟趕緊以毒攻毒，利用後門通過遠程控制將所有微軟系統強制升級為Windows10 ，一舉兩得！

首先關於後門還是漏洞。

水桶有個洞我們說它漏水了，叫它漏洞。水桶整個底沒了，水從上面進去下面嘩啦啦出來，這也還是漏洞？無窮大的漏洞？∞&<漏洞

第一，影響面廣，幾乎所有微軟的操作系統出廠默認帶著。

第二，後果嚴重，不需要特定條件才能觸發，只要是微軟家的系統，默認情況，七成以上可被遠程控制。注意是被遠程控制，什麼偷看攝像頭，加密硬碟，竊取文件，甚至好心的幫你升級到Windows10 都沒問題(真的可以！)

第三，時間久遠，如果未來Windows 操作系統市場佔有率持續下降，那我們完全可以概括的說微軟是家遠程控制系統生產商。應該是很客觀的！

現在有請Windows XP上台領取終身遠程控制獎。買全系列Windows 操作系統送秘密遠程監控。媽媽再也不用擔心寶寶用電腦偷偷看片了。

什麼？Windows10 是乾淨的？真?微粉！我們也不用糾結漏洞還是後門了，下回再出事前直接用遠程控制把所有操作系統強制升級成Windows10就好了(據說微軟還真干過) ，為啥？因為Windows10 自帶無法關閉的遠程控制，我們稱它"大前門"。

其實微軟公司本身也沒特別壞，但不是每個人心裡粉微軟，嘴上為微軟造勢微軟的智慧就成了粉的智慧了。根本不會。微軟的智慧還是微軟的，粉還是粉。談論操作系統市場佔有率之前一定要加個人桌面操作系統，把手機和伺服器市場排除在外。

微軟這次虧大了！操作系統佔有持續下降轉型做雲服務，結果被發現是家遠控系統生產商，現在微軟有什麼理由讓人信任他家的雲是乾淨的？低廉的價格？傻瓜式操作？還是全憑信仰？考驗鐵粉充值的時候到了。咱支付寶見！失去的信任要再回來，那就不是一朝一夕的事情了。

至於微軟該怎麼做嘛，簡單，開源啊，反正都移動時代了，NSA下次再想要後門也不要去為難微軟了，自己動手豐衣足食，去Git提交就行了！Happy Ending!!

同求，找了一圈沒找到傳播的具體原理解釋，比如，是怎麼確定目標ip的？內網是直接掃描所有內網ip么？公網ip是隨機掃的，還是從某種途徑獲取地址列表？沒有寫許可權也能感染么？

這個裡面說的比較清楚了：域名立大功，曾短暫終止了勒索病毒(WannaCry)傳播 - 寄愛思黑客