Wannacry是否在其私有子网之外扩展到相邻的私有子网？

Question

Wannacry受感染的计算机是否在内部网络上使用私有IP地址试图传播到其他私有地址子网？

我还没有在网上找到明确的答案。

西斯科说：

第一个线程检查受感染机器的IP地址，并试图连接到同一子网中每个主机/ IP地址的TCP445 (SMB)；第二个线程在因特网上生成随机IP地址以执行相同的操作。

这意味着Wannacry只在子网(公共或私有地址)和公共IP地址中传播，因此相邻的私有子网是安全的。

微软说：

如果第一个八进制随机生成的值为127，或者值等于或大于224，则该威胁可避免感染IPv4地址，以跳过本地回送接口。

这意味着Wannacry只丢弃回送和多播/保留地址。这意味着可以随机生成私有IP地址，Wannacry可以跳到另一个私有子网。

Answer 1

对您的问题的回答是肯定的，它可以跨越整个网络(可以是专用网络/公共网络)，这取决于代码已经被编程的方式。

wannacry蠕虫可以简单地识别受感染主机上可用的路由。例如，“路由打印”将显示连接到受感染计算机的所有活动路由。一旦这些路径可用，蠕虫就可以在这些网络上传播或开始感染其他易受攻击的计算机。

“路由打印”的示例输出--请注意活动路由：

注:这种情况发生在我们身上，我们在单独的私有IP范围内的分支网络很少受到影响。

Answer 2

我的理解是，它只在被感染的机器的同一子网(S)中搜索24小时。如果被感染(或随后被感染)的机器被连接到多个网络，那么它就可以以这种方式横向连接网络。我正在寻找我读到的资料来源，如果我读到了，我会把它添加到这个帖子中。