DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

香港高防_云网盾_精准

06-29 WEB安全

香港高防_云网盾_精准

wCry2勒索软件通过永恒蓝(MS17-010)传播

5月13日更新

周五数据很快就来了,虽然我们努力提供及时合理的信息,但我们现在更多地了解了发生的事情,以及Wana Decrypt0r 2.0勒索软件爆发是如何迅速升级的。

首先是一些好消息:恶意软件,一旦执行,检查是否存在随机生成的域。如果域不存在或无法访问,则继续执行恶意代码。如果域存在并且可以访问,则会激活kill开关并停止感染。来自英国的恶意软件博客和反向工程师注册了这个领域,它有效地减缓了美国恶意软件传播的速度,不幸的是,许多反病毒供应商开始阻止域名,无意中允许安装继续进行。意识到这个错误,一些反病毒供应商已经删除了这个块,现在改为在域中挖坑。

更多信息请点击这里:

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

不幸的是,现在出现了一些不再包含基于域的"kill switch"的样本此新变体的示例如下:

db349b97c37d22f5ea1d1841e3c89eb4

此外,在进一步检查恶意二进制文件后,我们发现所有RF1918(私有)netblock以及随机生成的internet netblock也会被扫描,以寻找进一步的传播途径。这意味着,通过与业务合作伙伴或供应商的站点到站点VPN连接,组织也可能受到潜在影响。勒索软件也通过客人wifi传播,因此用户应谨慎,因为连接到开放wifi热点时可能会受到影响。

研究人员注意到,WannaCry 2.0不是真正的蠕虫。蜗杆是MS17-010"撒布器"。Wannacry2.0是由"spreader"删除的,它也可以用来删除其他二进制文件和文件。因此,组织尽快应用MS17-010补丁是非常关键的。

运行Windows虚拟机或Wine的Mac OS和Linux用户如果没有补丁,也会受到影响。

除了ETERNALBLUE组件外,dropper还调用和下载DOUBLEPULSAR。一旦最初的攻击得到补救,受影响的组织将希望检查双脉冲星的存在。有一个免费的脚本可以在这里检查:

https://github.com/countercept/doublepulsar-detection-script

Wana Decrypt0r 2.0勒索软件活动使用了3个比特币钱包,截至今天,这些钱包的回报并不高。注:没有迹象表明支付赎金实际上为用户提供了解密数据的密钥,一些研究人员报告说,用户必须通过电话或网络聊天与人互动才能进行协商。在勒索记录中,攻击者提到,如果某人"太穷"而无法支付,他们的文件将在6个月内自动解密。

以下比特币钱包与此勒索活动有关:13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94公司12T9YDPGWUEZ9NYGW519P7AA8ISJR6SMW公司115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

全球对这场运动的反应迅速而有效,不幸的是,对于大量欧洲组织来说,为时已晚。微软发布了其恶意软件保护引擎的更新来阻止恶意软件。此外,微软出人意料地发布了针对不受支持的Windows XP、Vista、Windows 8和Windows server 2013操作系统的EternalBlue和MS17-010漏洞的安全修补程序。

当发生类似不幸事件时,信息安全从业者很容易指手画脚、推卸责任,但通过帮助组织理解和避免未来出现这些情况,全球信息安全界将得到更好的服务,Kudelski Security预计,如果不是所有勒索软件和恶意软件家族都使用类似技术迅速传播,并感染大量用户和组织,那么大多数勒索软件和恶意软件家族都会出现。

这次全球勒索软件爆发是一个鲜明的提醒,即组织必须掌握基本知识。组织必须审查和评估其漏洞和补丁管理计划,怎样防御cc端口,以确保信心、全面性和有效性。安全补丁是任何组织安全程序的基础和关键基础,应该被快速测试和应用。组织还应该执行"健康检查"并检查备份策略,定期测试备份,确保备份易于访问,同时还可以防止加密和删除。此外,组织机构应审查和重新评估允许哪些流量进出互联网。

一旦基本知识涵盖,谷歌ddos防御,现在是时候开始研究一些新的端点保护平台了,路由器ddos攻击防御,这些平台依赖于行为指标,即可执行文件可能是恶意的,而不是仅仅依赖于签名。

现在是时候看看安全性,回顾并应用基础知识,2017年5月12日,cc攻击用什么设备防御,一场利用WCry2勒索软件(也称为Wana Decrypt0r 2.0)的广泛网络攻击开始在全球蔓延。在撰写本文时,勒索软件目前已影响到99个国家的组织,并继续蔓延。Wana Decrypt0r 2.0使用影子代理于2017年3月发布的EternalBlue漏洞(MS17-010)。此SMB漏洞用于尝试感染同一网络中的其他计算机,并扫描和感染,互联网上可能存在易受攻击的Windows计算机。

Wana Decrypt0r 2.0是一种高效的勒索软件变体,可对多种文件类型进行加密,使用户无法访问这些文件,并要求支付300美元的比特币来解密这些文件。

有关Wana Decrypt0r 2.0和EternalBlue(MS17-010)的更多详细信息

Wana Decrypt0r 2.0是WannaCrypt勒索软件家族的一个变种,目前正通过利用EternalBlue(MS17-010)进行传播。Wana Decrypt0r 2.0对受感染计算机上的几种文件类型进行加密计算机需要300美元的比特币赎金来解密无法访问的文件。

ExternalBlue是一种利用SMB(Windows系统的关键协议)以前漏洞的攻击。该漏洞允许在易受攻击的系统上远程执行恶意代码,而无需任何使用交互。ExternalBlue攻击要求系统易受攻击,并暴露SMB服务(在Windows系统上默认启用)以成功危害系统并跨网络基础设施复制到其他易受攻击的Windows系统。

全局威胁

在撰写本文时,这种网络攻击已经迅速蔓延到世界多个地区的99个国家。这种全球性的威胁以带有恶意附件的钓鱼邮件的形式出现,一旦恶意附件打开,滴管就会开始下载并解压实际的勒索软件代码。勒索软件对用户的文件进行加密,扫描机器连接的网络,并使用EternalBlue漏洞在具有未修补Windows系统的组织中传播。

Kudelski Security观察到,本次勒索活动专门针对多个行业和地区。Kudelski Security有情报表明,其他ramsomware活动正在将更多的Fuzzbunch框架漏洞整合到他们的代码中。

根据互联网扫描工具Shodan,在本文撰写之时,大约有240万个暴露在互联网上的系统可能易受此攻击。

缓解和响应

2017年3月,ddos防御查服务器异常,作为Microsoft安全公告MS17-010的一部分,Microsoft发布了针对EternalBlue和其他关键远程代码执行漏洞的修补程序。

Kudelski Security建议客户端立即为MS17-010应用修补程序。对于无法快速应用Microsoft修补程序的组织,潜在的缓解措施包括使用GPO应用Windows防火墙规则来阻止所有未修补的端点系统上的入站SMB连接,并限制服务器之间的SMB连接。

Kudelski Security还建议依次限制互联网防火墙上UDP端口137和138以及TCP端口139和445上的所有入站和出站通信为了减少此勒索软件的暴露和传播速度。

Kudelski Security建议备份所有文件,包括已受勒索软件影响的系统,以防将来有解密工具可用。

此外,Kudelski Security建议组织评估其漏洞管理计划,以确保更新和修补程序发布后能够快速测试和应用。

Kudelski Security Cyber Fusion Center已确保所有受管理和监控的安全设备都更新了检测签名和方法,以确保检测Wana DeCrypt0r 2.0勒索软件的使用情况,以及ExternalBlue和其他最近的Windows漏洞利用情况。

来源

MS17-010–严重

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

恶意软件总体分析PDF

https://www.virustotal.com/en/file/75457f282337bccb7f48db927bdfb16d517c13eb5f361419776363bcdb2a64f2/analysis/

https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack

指示灯

勒索软件滴管b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

恶意PDF75457F282337BCB7F48DB927BDFB16D517C13EB5F361419776363BCDB2A64F2

出站通信62.138.10.60:900182.94.251.227:443213.239.216.222:44351.255.41.65:900186.59.21.38:443198.199.64.217:44383.169.6.12:9001192.42.115.102:9004104.131.84.119:443178.254.44.135:9001163.172.25.118:22

ed01ebfbc9eb5bea545af4d01bf5f1071661840480439 c6e5babe8e080e41aadff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696型201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9型ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa0345782378EE7A8B48C296A120625FD439ED8699AE857C4F84BEBE56E7273667.

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/70476.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9322136访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X