会员服务

永恒之蓝 WannaCrypt 病毒反杀和定位

2017 年 5 月 16 日 小米安全中心 Luis

针对近期爆发的 (Ransom:Win32/WannaCrypt)勒索软件,该病毒首先攻击445端口暴漏在公网的电脑,继而作为跳板对内网机器攻击,坑队友。

其实早在3月份NSA(不知道的同学搜索棱镜门)武器库被盗,“影子经纪人”(Shadow Brokers)曝光开源NSA使用的黑客工具,已经预料到今天,微软也在3月份下发了紧急补丁MS17-010(个人认为NSA兜不住了,跟MS坦白交代了。)

NSA泄漏的武器绝不仅仅这一种武器,更多精彩相信会纷至沓来。

这个病毒通过非对称加密,加密本地文件,密钥上传黑客服务器参考locked病毒原理:

https://blog.threattrack.com/ransomware-packed-into-wsf-spam

该恶意软件通过主动方式感染目标组织,散播速度快,445端口暴漏在公网的windows机器几乎都有可能被黑,教育网、中国联通等由于大量机器公网IP上网而受灾严重,现在看来NAT复NAT也不是没有好处的。

个人电脑关闭445的进入请求,不要打开可疑邮件中的附件,不要点击可疑邮件中的链接,不要启用Office文档中的宏。

根据观察,该恶意软件的文件位于C:\WINDOWS、C:\ProgramData\ 下一个随机名称的隐藏文件夹中,生成tasksche.exe、mssecsvc.exe。

与常见勒索软件不同的是,这一变种使用Microsoft在2017年3月安全补丁MS17-010 中修复的SMB V1的漏洞,请务必检查您的环境是否已安装该补丁。

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

解决办法◆

• 及时更新微软最新补丁

• 禁用 SMBv1

请参阅 Microsoft 知识库文章 2696547

适用于运行

 Windows 8.1 

 Windows Server 2012 R2 

及更高版本的客户的替代方法


对于客户端操作系统:

1.打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

2.在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

3.重启系统。

对于服务器操作系统:

1.打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。

2.在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

3.重启系统。 

•  Windows防火墙

阻止135,137,139,445端口

入站请求 TCP/UDP 统统阻止


对于已经中毒的机器PE抢救一下非系统盘有效数据,然后全盘格式化重装系统,希望你提前有数据备份。

重要数据存三份!


◆反杀◆

通过分析抓包看,病毒首先请求

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果解析存在则不加密文件  这是作者给自己留下了病毒开关,已经有前辈在公网注册了,第一波病毒估计会很快出变种。 

我们想说的重点是如何找到中毒的pig队友,防止内部跳板攻击。

三层防火墙高级访问控制列表阻止TCP445不可取,杀敌一千自损800,因为这会切断文件夹共享传输的端口。

思路是这样的:

1.先做

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

劫持到蜜罐机器 

2.搭建蜜罐机器

由于本身不是为了钓鱼,随便写个hello。 

3.分析日志

蜜罐刚做好,各路英雄已经跃跃欲试,相信会有大量IP记录。

4.如果出现新的变种

抓包分析新域名继续劫持即可

需要审计设备提供突发的域名访问

◆后记

病毒不可怕,程序有漏洞必然会给病毒留下可乘之机,好在微软会及时提供更新补丁,及时打补丁是个好习惯,保持聪明的大脑和好的上网习惯。

对于无知而无畏,我裸奔我骄傲,中毒赖电脑的同学,建议你们加入单独的VLAN,自己玩开心就好。

科技永不停止,跟随科技的脚步,享受科技的乐趣。

win10是个好系统,XP win7 win8 用户你们该升级了。

2003 2008 server SRE 你们是时候考虑升级2012R2 2016了。

今天永恒之蓝MS给了补丁

明天永恒之绿你准备好了吗?

↓↓↓

点击"阅读原文"

查看更多技术分享

登录查看更多
0

相关内容

多媒体系统(MS)期刊详细介绍了多媒体计算,通信,存储和应用的各个方面的创新研究思想,新兴技术,最新方法和工具。它包含理论,实验和调查文章。多媒体系统的覆盖范围包括:在计算机系统中集成数字视频和音频功能;多媒体信息编码和数据交换格式;数字多媒体的操作系统机制;数字视频和音频网络与通信;存储模型和结构;用于支持多媒体应用程序的方法、范式、工具和软件体系结构;多媒体应用程序和应用程序接口,以及多媒体终端系统架构。 官网地址:http://dblp.uni-trier.de/db/journals/mms/
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
118+阅读 · 2020年5月10日
【伯克利】黑盒机器翻译系统的模仿攻击与防御,Imitation Attacks and Defenses for Black-box Machine Translation Systems
【伯克利】黑盒机器翻译系统的模仿攻击与防御,Imitation Attacks and Defenses for Black-box Machine Translation Systems
专知会员服务
7+阅读 · 2020年5月4日
【实用书】流数据处理,Streaming Data,219页pdf
【实用书】流数据处理,Streaming Data,219页pdf
专知会员服务
77+阅读 · 2020年4月24日
深度神经网络实时物联网图像处理,241页pdf
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
77+阅读 · 2020年3月15日
Gartner:2020年十大战略性技术趋势, 47页pdf
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
78+阅读 · 2020年3月10日
【综述】联邦学习的威胁,Threats to Federated Learning: A Survey
【综述】联邦学习的威胁,Threats to Federated Learning: A Survey
专知会员服务
80+阅读 · 2020年3月4日
【北京智源大会2019】AV+AI -挑战和机遇(AV+AI - Challenges and Opportunities),伯克利DeepDrive副主任詹景尧
【北京智源大会2019】AV+AI -挑战和机遇(AV+AI - Challenges and Opportunities),伯克利DeepDrive副主任詹景尧
专知会员服务
14+阅读 · 2019年11月22日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
IBM《人工智能白皮书》(2019版),12页PDF,IBM编
IBM《人工智能白皮书》(2019版),12页PDF,IBM编
专知会员服务
21+阅读 · 2019年11月8日
【O'Reilly AI Conference 2019】部署大规模分布式数据(How to deploy large-scale distributed data analytics and machine learning on containers (sponsored by HPE)),HPE BlueData,Thomas Phelan
【O'Reilly AI Conference 2019】部署大规模分布式数据(How to deploy large-scale distributed data analytics and machine learning on containers (sponsored by HPE)),HPE BlueData,Thomas Phelan
专知会员服务
19+阅读 · 2019年11月5日
更新 Chrome 之后,教你屏蔽烦人的第三方扩展警告
更新 Chrome 之后,教你屏蔽烦人的第三方扩展警告
少数派
4+阅读 · 2020年2月18日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
渗透某德棋牌游戏
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
ISeeYou一款强大的社工工具
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
7 款实用到哭的App,只说一遍
7 款实用到哭的App,只说一遍
高效率工具搜罗
84+阅读 · 2019年4月30日
已删除
已删除
架构文摘
3+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
24+阅读 · 2019年3月8日
如何用GitLab本地私有化部署代码库?
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
从Facebook、百度“隐私门”看企业对用户隐私保护的责任何在
从Facebook、百度“隐私门”看企业对用户隐私保护的责任何在
FreeBuf
7+阅读 · 2018年3月30日
Blockchain for Future Smart Grid: A Comprehensive Survey
Blockchain for Future Smart Grid: A Comprehensive Survey
Arxiv
21+阅读 · 2019年11月8日
What's in a Name? Reducing Bias in Bios without Access to Protected Attributes
Arxiv
3+阅读 · 2019年4月10日
DeepFakes: a New Threat to Face Recognition? Assessment and Detection
Arxiv
6+阅读 · 2018年12月20日
A Survey of Domain Adaptation for Neural Machine Translation
Arxiv
17+阅读 · 2018年6月1日
Ripple Network: Propagating User Preferences on the Knowledge Graph for Recommender Systems
Arxiv
14+阅读 · 2018年5月19日
Structuring Wikipedia Articles with Section Recommendations
Arxiv
5+阅读 · 2018年4月17日
Predicting Cyber Events by Leveraging Hacker Sentiment
Arxiv
3+阅读 · 2018年4月14日
Complex Network Classification with Convolutional Neural Network
Arxiv
6+阅读 · 2018年4月8日
Learning Dynamic Memory Networks for Object Tracking
Arxiv
8+阅读 · 2018年3月20日
Exploiting the potential of unlabeled endoscopic video data with self-supervised learning
Arxiv
4+阅读 · 2018年1月31日
VIP会员
相关主题
MS
Microsoft Windows
Win32
微软
PAM
黑客 (Hacker)
相关VIP内容
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
118+阅读 · 2020年5月10日
【伯克利】黑盒机器翻译系统的模仿攻击与防御,Imitation Attacks and Defenses for Black-box Machine Translation Systems
【伯克利】黑盒机器翻译系统的模仿攻击与防御,Imitation Attacks and Defenses for Black-box Machine Translation Systems
专知会员服务
7+阅读 · 2020年5月4日
【实用书】流数据处理,Streaming Data,219页pdf
【实用书】流数据处理,Streaming Data,219页pdf
专知会员服务
77+阅读 · 2020年4月24日
深度神经网络实时物联网图像处理,241页pdf
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
77+阅读 · 2020年3月15日
Gartner:2020年十大战略性技术趋势, 47页pdf
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
78+阅读 · 2020年3月10日
【综述】联邦学习的威胁,Threats to Federated Learning: A Survey
【综述】联邦学习的威胁,Threats to Federated Learning: A Survey
专知会员服务
80+阅读 · 2020年3月4日
【北京智源大会2019】AV+AI -挑战和机遇(AV+AI - Challenges and Opportunities),伯克利DeepDrive副主任詹景尧
【北京智源大会2019】AV+AI -挑战和机遇(AV+AI - Challenges and Opportunities),伯克利DeepDrive副主任詹景尧
专知会员服务
14+阅读 · 2019年11月22日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
IBM《人工智能白皮书》(2019版),12页PDF,IBM编
IBM《人工智能白皮书》(2019版),12页PDF,IBM编
专知会员服务
21+阅读 · 2019年11月8日
【O'Reilly AI Conference 2019】部署大规模分布式数据(How to deploy large-scale distributed data analytics and machine learning on containers (sponsored by HPE)),HPE BlueData,Thomas Phelan
【O'Reilly AI Conference 2019】部署大规模分布式数据(How to deploy large-scale distributed data analytics and machine learning on containers (sponsored by HPE)),HPE BlueData,Thomas Phelan
专知会员服务
19+阅读 · 2019年11月5日
热门VIP内容
相关资讯
更新 Chrome 之后,教你屏蔽烦人的第三方扩展警告
更新 Chrome 之后,教你屏蔽烦人的第三方扩展警告
少数派
4+阅读 · 2020年2月18日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
渗透某德棋牌游戏
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
ISeeYou一款强大的社工工具
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
7 款实用到哭的App,只说一遍
7 款实用到哭的App,只说一遍
高效率工具搜罗
84+阅读 · 2019年4月30日
已删除
已删除
架构文摘
3+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
24+阅读 · 2019年3月8日
如何用GitLab本地私有化部署代码库?
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
从Facebook、百度“隐私门”看企业对用户隐私保护的责任何在
从Facebook、百度“隐私门”看企业对用户隐私保护的责任何在
FreeBuf
7+阅读 · 2018年3月30日
相关论文
Blockchain for Future Smart Grid: A Comprehensive Survey
Blockchain for Future Smart Grid: A Comprehensive Survey
Arxiv
21+阅读 · 2019年11月8日
What's in a Name? Reducing Bias in Bios without Access to Protected Attributes
Arxiv
3+阅读 · 2019年4月10日
DeepFakes: a New Threat to Face Recognition? Assessment and Detection
Arxiv
6+阅读 · 2018年12月20日
A Survey of Domain Adaptation for Neural Machine Translation
Arxiv
17+阅读 · 2018年6月1日
Ripple Network: Propagating User Preferences on the Knowledge Graph for Recommender Systems
Arxiv
14+阅读 · 2018年5月19日
Structuring Wikipedia Articles with Section Recommendations
Arxiv
5+阅读 · 2018年4月17日
Predicting Cyber Events by Leveraging Hacker Sentiment
Arxiv
3+阅读 · 2018年4月14日
Complex Network Classification with Convolutional Neural Network
Arxiv
6+阅读 · 2018年4月8日
Learning Dynamic Memory Networks for Object Tracking
Arxiv
8+阅读 · 2018年3月20日
Exploiting the potential of unlabeled endoscopic video data with self-supervised learning
Arxiv
4+阅读 · 2018年1月31日
大家都在搜
  1. 洛克菲勒
  2. palantir
  3. 大规模语言模型
  4. 生成式人工智能
  5. 斯坦福博士论文
  6. 自主可控
  7. 互联网发展
  8. 国家地理图册
  9. 核能
  10. 转化率预估(pCVR)系列
    11.
Top
微信扫码咨询专知VIP会员
Top