大家好,我很乐意和大家探讨eternal blue的相关问题。这个问题集合涵盖了eternal blue的各个方面,我会尽力回答您的疑问,并为您带来一些有价值的信息。
1.win10中了勒索病毒怎么办
2.勒索病毒是怎么中的
3.怎么预防电脑病毒比特币
4.什么是勒索病毒
5.为什么说做好数据备份是IT时代永恒的生存智慧?
win10中了勒索病毒怎么办
勒索病毒WannaCry主要是利用利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播,微软早前发布了MS17-010漏洞补丁进行修复,不过很多用户并没有及时更新补丁,以至于大量电脑被勒索病毒攻击,受波及最小的是Windows10系统,因为Windows10 1703最新版早就集成了漏洞补丁,对勒索病毒完全免疫,但是不是说win10百分百不被勒索攻击,win10版本非常多,旧版本依然会被病毒感染。微软强调,Windows 10用户不是此次恶意软件攻击的目标,不过根据微软安全公告,只有最新的Windows 10 1703 Creators Update创意者更新才完全不存在此次攻击利用的漏洞,此前的Windows 10 RTM原始版、1511十一月更新版、1607周年更新版依然需要打补丁,如果没有更新补丁的win10依然会被勒索病毒攻击,所以大家一定要注意及时更新漏洞补丁,win10点击开始--设置--更新和安全--Windows更新,执行系统更新。
勒索病毒是怎么中的
在内网渗透时,通常挂上代理后。在内网首先会打啵ms17-010。在实战中,使用msf的ms17-010模块,数次没有反弹成功。基于此,到底如何成功利用ms17-010在msf成功接收session之后,添加路由
然后使用ms17-010相关的模块进行探测是否存在该漏洞。
尝试利用
LHOST配置为公网IP
可以看到success。漏洞是可以利用的,但始终没有session。不知道什么原因。
参考资料:
笔者在本地搭建环境,也是同样的结果。尝试更改payload为
bind_tcp攻击者去连接,容易被防火墙和杀毒发现
可以成功生成session,但并不稳定,且在run的过程中非常容易导致本来的session died
在实际使用msf的ms17_010_eternalblue模块时,笔者观察到有几个弊端。
1.session 很容易died
2.ms17_010_eternalblue模块利用起来非常耗时
3.无法利用成功
有大佬推荐使用原始的fb.py。但配置起来感觉麻烦一些。
所以。笔者从i春秋上找到一个轻便的方程式漏洞利用工具。
参考资料:
工具使用起来很简单。只需要msfvenom生成一个x64或x86的dll文件,替换该工具下的x64.dll或x86.dll 。再依次点击Eternalblue、Doublepulsar 的Attack即可。在Attack的时候,调用x64.dll动态链接库,反弹到公网IP。原理和fb.py一样。
笔者通过ew代理进内网后,在跳板机上上传了方程式漏洞利用工具、网安永恒之蓝检测工具。两者结合,威力巨大。成功利用ms17-010
对于windows server 2008 ,msfvenom生成x64.dll文件
msf配置
将该x64.dll替换到方程式利用工具下面。
只需要更换目标的IP,就可以获取session。
对于windows server 2003 ,msfvenom生成x86.dll文件
msf配置
进一步利用的一些命令
实际测试发现这种session非常稳定。不会轻易go die
实际测试server 2003的ms17-010时,有时候多次执行后msf就接收不到session,而且ms17-010利用时,脆弱的server 2003非常容易蓝屏。
所以笔者选择一种稳定可靠一些的办法。
先通过ms17_010_commend模块执行系统命令添加用户至管理员。再指定SMBPass和SMBUser来建立windows可访问命名管道[accessible named pipe]
参考资料 Metasploit 「永恒之蓝」两种模块的利弊
system的权限可以直接激活guest用户添加管理员组。
注意:使用ms17_010_psexec需要指定管理员的用户名、密码,否则没有session
同样的操作,载入mimikatz,读取管理员密码。
怎么预防电脑病毒比特币
很多勒索病毒都是通过邮件来的,陌生人发的邮件安全性没有保障,邮件来源也无法证实,打开具有一定的风险性。有些邮件传输病毒是通过里面的附件、,这种情况打开邮件没事,下载附件运行就会中毒。
还有些邮件不是通过附件传播的病毒,邮件内容就有钓鱼网站的链接或者,点击进入就是个非法网站。html的邮件能够嵌入很多类型的脚本病毒代码,只要浏览就会中毒。
上网浏览网页,下载软件文件,接受别人发来的东西,连接U盘手机,放光盘,漏洞没有修复,也会导致病毒入侵。
什么是勒索病毒
5月12日,中国高等教育学会教育信息化分会网络信息安全工作组(安全工作组)接到多所高校报告,反映大量学校电脑感染勒索病毒,重要文件被加密,类似下图所示。经过初步调查,此类勒索病毒传播扩散利用了基于445端口的SMB漏洞,部分学校感染台数较多,大量重要信息被加密,只有支付高额的比特币赎金才能解密恢复文件,损失严重。此次远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的EquationGroup(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,实现远程命令执行。微软在今年3月份发布的MS17-010补丁,修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。
根据360公司的统计,目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击,并且攻击规模还在迅速扩大。
被电脑勒索病毒攻击的典型:
此次利用的SMB漏洞影响以下未自动更新的操作系统:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
个人预防措施:
1.未升级操作系统的处理方式(不推荐,仅能临时缓解):
启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
2.升级操作系统的处理方式(推荐):
建议广大师生使用自动更新升级到Windows的最新版本。
学校缓解措施:
1.在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;
2.在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
建议加固措施:
1.及时升级操作系统到最新版本;
2.勤做重要文件非本地备份;
3.停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。
为什么说做好数据备份是IT时代永恒的生存智慧?
2017年5月,全球多个国家爆发一个名为WannaCry的电脑病毒,一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(美国国安局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。
因为受到攻击的电脑中的文档会被加密,提示用户需要缴纳高额的赎金才能解锁,因此名为勒索病毒。
WannaCry(想哭,又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。
2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Window操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
这么厉害的“武器”,是源于美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器泄露出来。虽然从法律上讲,如果NSA没有尽到安全保管的责任,是对此事件有一定的责任。但是,首先,安全保管的义务,并不意味着一定不会发生盗窃、泄露事故;其次,要证明NSA,这样一个高度敏感的国家安全机关未尽到义务的调查与取证,在国际社会某种程度上是丛林社会的今天,实际上是不可能操作的。
个人用户在这些危险面前,除了做好防护,似乎很难有其他办法。对于具体的勒索病毒,相关防范方法已经很多了,但更长远地看,备份数据,是IT时代的生存智慧。
我们时常在家里发现那些几十年前的老照片,即便发黄模糊了,但总还夹在相册中,时不时被翻起。但是,我们现在的相片虽然是数字化的,永不会发黄,但在40年、50年的时间中,却很难保证能躲过各种数据丢失与损坏,一旦丢失,就永远找不回来。
你的数据比你的电脑值钱。这一点大家都知道,但是,却很少有人真正按这句话去对待自己的数据。大多数人,会小心翼翼地爱护他们新买的电脑,但却舍不得花钱花精力去把数据保存好。直到数据丢失,那些珍贵的照片、资料再也找不回来时才意识到,数据比电脑更值钱,更值得守护。
那么该如何保存你的数据?如果自己备份数据,什么方式好呢?首先,刻录光盘是靠不住的。U盘与固态硬盘也是靠不住的。在现阶段,唯一靠得住的是机械硬盘。但是,把数据从C盘复制一份,拷贝到D盘,这不是在备份,就如同把100万现金从冰箱搬到床下面,不是在隐匿现金一样。此次黑客勒索事件中,有些人在C盘上的数据沦陷了,慌忙中去看D盘E盘上的,才发现同样被加密了。即便不是同样被病毒加密或破坏,放在同一个硬盘,也很容易因为硬盘损坏而同时丢失。所以,备份一定要用另一个硬盘保存。
从这一次事件来看,仅仅用另一个硬盘保存也是不安全的,这个硬盘还得离线,或者断电。仅在需要恢复或者拷进文件的时候才连接上电脑。如果考虑到同时连接电脑的哪一段时间内出现故障,造成同时损坏的风险,最好有第一备份盘和第二备份盘。现在硬盘价格很便宜,这么做的费用其实不大,一千元完全够了。
用硬盘备份数据,还要值得注意的是,如果你的数据有保密价值,那么,要么放保险柜,要么进行磁盘加密,而后者比前者其实更安全。Windows本身就自带了BitLocker驱动器加密功能,通过加密整个驱动器来保护数据,其目标是让Windows用户摆脱因电脑硬件丢失、被盗而导致由数据失窃或泄露构成的威胁。由于使用了AES?128位或256位的加密算法进行加密,通常情况下,只要用户的密码有足够强度,这种加密就很难被破解。
好了,今天关于“eternal blue”的话题就到这里了。希望大家通过我的介绍对“eternal blue”有更全面、深入的认识,并且能够在今后的学习中更好地运用所学知识。
