御ms17_101的方法:
1.安裝殺毒軟件
2.關閉445端口
3.打開計算機的防火墻功能
防御方式:
一、關閉文件共享
1.1首先我們接著永恒之藍攻擊篇,測試是否能夠連接目標電腦。
可以看到我們已經成功連接。
2.1接著我們打開控制面板->網絡和 Internet->網絡和共享中心->高級共享設置。關閉網絡發現和文件共享,點擊保存修改。
2.2我們再次打開kali再次使用永恒之藍漏洞進行攻擊嘗試。
2.3當我們關閉了共享服務時,黑客就無法再次利用永恒之藍漏洞對我們的計算機進行攻擊了。
二、打開防火墻
2.1首先將網絡共享全都打開,測試kali對目標機器能不能攻擊成功。
2.1可以看到現在已經攻擊成功,現在打開cmd輸入命令firewall.cpl打開防火墻控制中心。
2.2將windows防火墻全設置為開啟狀態,點擊確定。
2.3我們再次使用kali進行攻擊測試,看看是否能夠攻擊成功。
2.4可以看到當我們防火墻為開啟狀態時同樣能夠抵御攻擊。
三、修改防火墻入站規則,安裝殺毒軟件
3.1現在我們在高級設置里面修改防火墻的入棧規則。
3.2.1選擇入棧規則->新建規則->端口->
3.2.2選擇TCP,特定本地端口445,然后下一步。
3.2.3選擇阻止連接。
3.2.4不做修改直接下一步。
3.2.5名稱和描述可以自己設置即可。
3.3規則建立完成,我們再次使用kali進行攻擊測試看看是否能攻擊成功。
3.4除了這三種方式可以抵御永恒之藍的漏洞攻擊外,我們還可以安裝殺毒軟件,可以通過殺毒軟件的安全檢測來幫助我們來抵御黑客攻擊的危害。
上一進辦公室同事就問我“你的電腦中病毒了嗎?”“什么病毒?”“你沒看新聞嗎?全世界都鬧得沸沸揚揚……blah blah blah......"他解釋了半天看我沒什么反應,忿忿地指責我:“你怎么平時都不看新聞的?!”“我不愛看新聞,我不喜歡活在你們這個丑惡的世界。”他那副恨鐵不成鋼的樣子簡直要氣暈過去。
玩笑歸玩笑,咱們說點正事:今天是周一,剛一上班你是不是很納悶,為什么電腦上不去網了呢?是不是正在忙著插拔網線呢?
據媒體報道,自5月12日起,一款名為“永恒之藍”電腦勒索病毒在全球蔓延,這是迄今為止全球最大規模的勒索病毒網絡攻擊。
我國國內多行業均已反映電腦被病毒攻擊。受感染電腦將被病毒鎖定,包括照片,文檔,音視頻在內的幾乎所有文件將被加密。必須通過一次性支付300美元(約合2070元人民幣)才能將其解鎖,否則7天后將永久無法恢復。
作為一名普通網民,我們該怎么辦才能避免被病毒侵襲呢?
截至14日10時30分,國家互聯網應急中心已監測到約242.3萬個IP地址遭受“永恒之藍”漏洞攻擊;被該勒索軟件感染的IP地址數量近3.5萬個,其中中國境內IP約1.8萬個。
有關電腦專家建議嚴格按照規范操作,可以避免電腦被病毒感染。開機前保證電腦處于斷網狀態,開機后先備份重要文檔,在其他沒有重要資料的文件的電腦下載離線補丁包至安全、無毒的U盤,然后拷貝U盤 里的“勒索病毒免疫工具”離線版到這臺電腦,進行一鍵修復漏洞;聯網即可正常使用電腦。
關于WannaCry勒索病毒出現新變種傳言,馬勁松表示,雖然目前監控到的數據并沒有完全證實WannaCry 2.0勒索病毒已經來襲,但出現新變種的可能性非常大,提醒廣大用戶,務必強化網絡安全意識,陌生鏈接不點擊,陌生文件不要下載,陌生郵件不要打開,電腦安裝并開啟殺毒軟件!
你還記得當年的熊貓燒香病毒嗎?熊貓燒香是一種經過多次變種的蠕蟲病毒變種,2006年10月16日由25歲的中國湖北武漢新洲區人李俊編寫,2007年1月初肆虐網絡,它主要通過下載的檔案傳染。
熊貓燒香是經過多次變種而來的,由于中毒電腦的可執行文件會出現“熊貓燒香”圖案,所以也被稱為 “熊貓燒香”病毒。但原病毒只會對EXE圖標進行替換,并不會對系統本身進行破壞。而大多數是中等病毒變種,用戶電腦中毒后可能會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。同時,該病毒的某些變種可以通過局域網進行傳播,進而感染局域網內所有計算機系統,最終導致企業局域網癱瘓,無法正常使用,它能感染系統中exe,com,pif,src,html,asp等文件,它還能終止大量的反病毒軟件進程并且會刪除擴展名為gho的備份文件。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。
2007年2月12日,湖北省公安廳宣布,李俊以及其同伙共8人已經落網,這是中國警方破獲的首例計算機病毒大案。2014年,張順、李俊被法院以開設賭場罪分別判處有期徒刑五年和三年,并分別處罰金20萬元和8萬元。
期,360安全大腦監測到“永恒之藍”下載器木馬的攻擊者正在調整攻擊策略,意圖替換由“驅動人生”更新通道下發的木馬攻擊模塊,改由之前植入的PowerShell后門統一管理。老的攻擊模塊將逐步被棄用,并使用PowerShell進行重寫之后以“無文件”形式實施攻擊。
2018年12月14日,攻擊團伙通過“驅動人生”更新通道下發“永恒之藍下載器木馬”,被下發的木馬包含橫向傳播模塊和加載模塊(加載挖礦功能)兩部分。這些攻擊模塊都以PE文件的形式存在,帶有數字簽名“ShenzhenSmartspace Software technology Co.,Limited”,并且都是由“驅動人生”更新通道下發或是其下發木馬的衍生物。
圖12018年12月14日“驅動人生”更新通道下發的木馬
植入計劃任務后門
伺機“獨立運營”
5天之后,攻擊者在更新橫向傳播模塊的同時,還向受害計算機中植入一個計劃任務后門。該計劃任務通過PowerShell從hxxp://r.minicen.ga/r?p下載惡意代碼執行(具體細節請移步http://www.360.cn/n/10528.html)。
雖然當時域名r.minicen.ga并未解析,但這仍然不影響這個計劃任務后門在該組織未來攻擊中所扮演的重要角色。2019年1月26日,攻擊者更改了計劃任務后門連接的url為hxxp://v.beahh.com/v,這個url被沿用至今。
之后的種種跡象表明,攻擊者在受害者機器上植入后門絕對是有意為之。2019年2月20日,該計劃任務后門經過多次測試之后開始穩定地從hxxp://v.beahh.com/v下載惡意載荷執行。而下載的惡意載荷就是攻擊者開發的新挖礦模塊,該挖礦模塊將代替舊的挖礦模塊加載器svhhost.exe。不難看出,第一個攻擊模塊——挖礦模塊已經從“驅動人生”更新通道下發的木馬框架中脫離。
圖22019年2月20日挖礦模塊從原有框架脫離
著手測試僵尸機
意圖“借殼上市”
2019年3月5日,360安全大腦監測發現,該攻擊事件的幕后控制者在進行小范圍的測試,測試中的僵尸機不超過100臺。這些機器將通過計劃任務后門從hxxp://v.beahh.com/eb下載橫向傳播模塊。該橫向傳播模塊由PowerShell編寫,且代碼經過大量混淆。雖然當時該模塊依然未編寫完成,但攻擊者的測試一直在持續中。
圖3 未編寫完成的橫向傳播模塊
僅一天之后,我們又發現了一例攻擊事件幕后控制者的測試,這次測試范圍較前一日的更小。在這次測試中,僵尸機通過計劃任務后門從hxxp://v.beahh.com/ipc下載橫向傳播模塊到本地址執行。不同于上次測試,這次橫向傳播模塊已經編寫完畢。
該橫向傳播模塊包含Invoke-WC、Invoke-SMBC和eb7三個掃描器,分別通過WMI弱口令爆破、SMB弱口令爆破和“永恒之藍”漏洞攻擊武器攻擊其他計算機。
圖4 Invoke-WC部分代碼
圖5 Invoke-SMBC代碼
圖6 eb7部分代碼
完成橫向滲透之后,木馬將在啟動目錄下寫入后門文件,后門從hxxp://v.beahh.com/ipc下載惡意載荷并執行。值得一提的是,攻擊者復用Invoke-ReflectivePEInjection項目代碼,試圖通過反射注入在PowerShell進程中完成所有工作,以實現“無文件”攻擊。
圖7 橫向傳播模塊滲透成功后植入的后門
通過分析此次更新不難發現,攻擊者試圖將所有模塊從老的木馬中脫離并獨立運營,這是一次完美的“借殼上市”。一旦攻擊者結束測試并開始大范圍實施更新,安全軟件將更難查殺有“無文件”攻擊模式加持的木馬。
圖8 下階段攻擊模塊可能將完全從老的傳播渠道中脫離
由于新的一輪攻擊尚處于測試階段,360安全大腦提醒廣大用戶做好以下幾點防御措施,以應對即將到來的攻擊:
1. 及時安裝系統和重要軟件的安全補丁。
2. 如無使用必要,請關閉135端口和445端口;
3. 使用強度較高的系統登錄口令;
4. 檢查計劃任務中是否有異常任務,檢查啟動目錄下是否有木馬文件run.bat、FlashPlayer.lnk、flashplayer.tmp、sign.txt,若有請刪除文件。
5. 下載安裝360安全衛士并保持開啟,防護個人電腦及財產安全。
IOC
hxxp://v.beahh.com/eb
hxxp://172.104.177.202/new.dat
hxxp://v.beahh.com/ipc
hxxp://27.102.107.137/new.dat
hxxp://p.beahh.com/upgrade.php