记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

永恒之蓝 WannaCrypt 病毒反杀和定位

2017-05-17 10:30

永恒之蓝 WannaCrypt 病毒反杀和定位

由 Luis 于2017-05-16 16:30:11发表

针对近期爆发的 (Ransom:Win32/WannaCrypt)勒索软件,该病毒首先攻击445端口暴漏在公网的电脑,继而作为跳板对内网机器攻击,坑队友。

其实早在3月份NSA(不知道的同学搜索棱镜门)武器库被盗,“影子经纪人”(Shadow Brokers)曝光开源NSA使用的黑客工具,已经预料到今天,微软也在3月份下发了紧急补丁MS17-010(个人认为NSA兜不住了,跟MS坦白交代了。)

NSA泄漏的武器绝不仅仅这一种武器,更多精彩相信会纷至沓来。

这个病毒通过非对称加密,加密本地文件,密钥上传黑客服务器参考locked病毒原理:

https://blog.threattrack.com/ransomware-packed-into-wsf-spam

该恶意软件通过主动方式感染目标组织,散播速度快,445端口暴漏在公网的windows机器几乎都有可能被黑,教育网、中国联通等由于大量机器公网IP上网而受灾严重,现在看来NAT复NAT也不是没有好处的。

个人电脑关闭445的进入请求,不要打开可疑邮件中的附件,不要点击可疑邮件中的链接,不要启用Office文档中的宏。

根据观察,该恶意软件的文件位于C:\WINDOWS、C:\ProgramData\ 下一个随机名称的隐藏文件夹中,生成tasksche.exe、mssecsvc.exe。

与常见勒索软件不同的是,这一变种使用Microsoft在2017年3月安全补丁MS17-010 中修复的SMB V1的漏洞,请务必检查您的环境是否已安装该补丁。

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

解决办法


及时更新微软最新补丁


其他解决办法

  • 禁用 SMBv1

请参阅 Microsoft 知识库文章 2696547

适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法

对于客户端操作系统:

  1. 打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

  2. 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

  3. 重启系统。

对于服务器操作系统:

  1. 打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。

  2. 在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

  3. 重启系统。 

  • Windows防火墙阻止135,137,139,445端口 入站请求  TCP/UDP统统阻止

 

对于已经中毒的机器PE抢救一下非系统盘有效数据,然后全盘格式化重装系统,希望你提前有数据备份,重要数据存三份

反杀


通过分析抓包看,病毒首先请求www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果解析存在则不加密文件,这是作者给自己留下了病毒开关,已经有前辈在公网注册了,第一波病毒估计会很快出变种。

我们想说的重点是如何找到中毒的pig队友,防止内部跳板攻击。

三层防火墙高级访问控制列表阻止TCP445不可取,杀敌一千自损800,因为这会切断文件夹共享传输的端口。

思路是这样的:

1)先做www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  劫持到蜜罐机器

2)搭建蜜罐机器

由于本身不是为了钓鱼,随便写个hello。

3)分析日志

蜜罐刚做好,各路英雄已经跃跃欲试,相信会有大量IP记录。

4)如果出现新的变种,抓包分析新域名继续劫持即可,需要审计设备提供突发的域名访问。

后记


病毒不可怕,程序有漏洞必然会给病毒留下可乘之机,好在微软会及时提供更新补丁,及时打补丁是个好习惯,保持聪明的大脑和好的上网习惯。

对于无知而无畏,我裸奔我骄傲,中毒赖电脑的同学,建议你们加入单独的VLAN,自己玩开心就好。

科技永不停止,跟随科技的脚步,享受科技的乐趣。

win10是个好系统,XP win7 win8 用户你们该升级了。

2003 2008 server SRE 你们是时候考虑升级2012R2 2016了。

今天永恒之蓝MS给了补丁,明天永恒之绿你准备好了吗?


知识来源: sec.xiaomi.com/article/28

阅读:145380 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“永恒之蓝 WannaCrypt 病毒反杀和定位”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词