TCP 445番ポートへの日別接続数
出典: http://internet.watch.impress.co.jp/docs/news/1060364.html
【概要】
- SMB v1の脆弱性を悪用するエクスプロイト「EternalBlue」を使ってバックドア「DoublePulsar」をインストールし、システムへ感染
- EternalBlueは、ハッカー集団の「Shadow Brokers」が米国国家安全保障局(NSA)より窃取し、4月に流出させたもの
- メールを介した攻撃は確認していない
- 一部では、セキュリティが侵害されたウェブサイトが使われたことを示唆する手がかりを得ている
- EternalBlueによる攻撃では、SMB v1に加え、SMB v2への通信も利用される
- 最初の亜種は、キルスイッチの接続先ドメインが変更
- その後にはキルスイッチを削除した亜種も登場
- ごく初期の亜種と見られる検体と、サイバー攻撃集団「Lazarus」による2015年2月の検体に類似点
【ニュース】
◆ランサムウェア「WannaCry」の現状をKasperskyが解説 (Internet Watch, 2017/05/18 16:23)
http://internet.watch.impress.co.jp/docs/news/1060364.html
【関連情報】
◆WannaCry (まとめ) (TT Malware Log, 2017/05/12)
⇒ http://malware-log.hatenablog.com/entry/WannaCry