¿Se propaga Wannacry fuera de su subred privada a subredes privadas adyacentes?

8

¿Una computadora infectada por Wannacry en una red interna con una dirección IP privada intenta propagarse a otras subredes con direcciones privadas?

No he encontrado una respuesta definitiva en línea.

Cisco dice:

  

El primer hilo comprueba la dirección IP de la máquina infectada y   intenta conectarse a TCP445 (SMB) de cada host / dirección IP en el   la misma subred y el segundo hilo generan una dirección IP aleatoria en la   Internet para realizar la misma acción.

Lo que implica que Wannacry solo se propaga dentro de una subred (direcciones públicas o privadas) y a direcciones IP públicas, por lo que las subredes privadas adyacentes son seguras.

Microsoft dice:

  

La amenaza evita infectar la dirección IPv4 si se genera aleatoriamente   el valor para el primer octeto es 127 o si el valor es igual o mayor   224, para omitir las interfaces locales de bucle invertido.

Esto implica que Wannacry solo descarta las direcciones de bucle invertido y de multidifusión / reservadas. Esto significaría que una dirección IP privada podría generarse aleatoriamente y Wannacry podría saltar a otra subred privada.

    
pregunta Stephen Craven 25.05.2017 - 13:01
fuente

2 respuestas

1

La respuesta a su pregunta es sí, puede abarcar toda la red (podría ser una red privada / pública) dependiendo de la forma en que se haya programado el gusano.

El gusano de wannacry puede simplemente identificar las rutas que están disponibles en el host infectado. Por ejemplo, "impresión de ruta" mostrará todas las rutas activas conectadas a la máquina infectada. Una vez que estas rutas están disponibles, el gusano puede propagarse o comenzar a infectar otras máquinas vulnerables en estas redes.

Una salida de muestra de 'impresión de ruta': tenga en cuenta las rutas activas:

Nota: Esto nos sucedió a nosotros y a algunas de nuestras redes de sucursales en un rango de IP privado separado se vieron afectadas.

    
respondido por el Sayan 27.06.2018 - 13:57
fuente
0

Tengo entendido que solo busca 24 horas dentro de la misma subred (s) de la máquina en la que se infectó. Si la máquina infectada (o posteriormente infectada) está conectada a múltiples redes, podría atravesar las redes de esa manera. Estoy tratando de encontrar la fuente en la que leí eso y lo agregaré a esta publicación cuando lo haga / si lo hago.

    
respondido por el ISMSDEV 25.05.2017 - 14:03
fuente

Lea otras preguntas en las etiquetas