Wannacry si è diffuso al di fuori della sottorete privata alle subnet private adiacenti?

8

Un computer infetto da Wannacry su una rete interna con un indirizzo IP privato tenta di diffondersi su altre sottoreti indirizzate privatamente?

Non ho trovato una risposta definitiva online.

Cisco dice:

The first thread checks the IP address of the infected machine and attempts to connect to TCP445 (SMB) of each host/IP address in the same subnet and second thread generates random IP address on the Internet to perform the same action.

Il che implica che Wannacry si diffonde solo all'interno di una sottorete (indirizzi pubblici o privati) e di indirizzi IP pubblici, quindi le subnet private adiacenti sono sicure.

Microsoft dice:

The threat avoids infecting the IPv4 address if the randomly generated value for first octet is 127 or if the value is equal to or greater than 224, in order to skip local loopback interfaces.

Questo implica che Wannacry scarta solo gli indirizzi loopback e multicast / riservati. Ciò significherebbe che un indirizzo IP privato potrebbe essere generato casualmente e Wannacry potrebbe passare a un'altra sottorete privata.

    
posta Stephen Craven 25.05.2017 - 13:01
fonte

2 risposte

1

La risposta alla tua domanda è sì, può attraversare la rete (potrebbe essere una rete privata / una rete pubblica) dipende dal modo in cui è stato programmato il worm.

Il worm wannacry può semplicemente identificare i percorsi disponibili sull'host infetto. Ad esempio 'route print' mostrerà tutte le rotte attive connesse alla macchina infetta. Una volta disponibili queste rotte, il worm può diffondersi o iniziare a infettare altre macchine vulnerabili su queste reti.

Un esempio di output di 'route print' - si prega di notare i percorsi attivi:

Nota: questo è successo a noi e alcune delle nostre reti di filiali su un intervallo IP privato separato sono state interessate.

    
risposta data 27.06.2018 - 13:57
fonte
0

La mia comprensione è che ricerca solo per 24 ore all'interno della stessa sottorete della macchina in cui è stato infettato. Se la macchina infetta (o successivamente infetta) è collegata a più reti, allora potrebbe attraversare le reti in questo modo. Sto cercando di trovare la fonte in cui l'ho letto e lo aggiungerò a questo post quando / se lo faccio.

    
risposta data 25.05.2017 - 14:03
fonte

Leggi altre domande sui tag