永恒之蓝
什么是永恒之蓝?它是一种利用windows系统的SMB协议漏洞来获取系统的最高权限,从而达到控制被入侵的计算机。永恒之蓝是在windows的SMB v1请求时发生的漏洞,攻击者可以在目标机上执行任意代码、植入病毒、远程控制木马等。
什么是勒索病毒?首先我们要知道什么是勒索病毒?勒索病毒是一种新型的电 脑病毒,主要以邮件、木马程序、网页挂马的形式进行传播。如果被感染将会给用户带来不可估量的损失,其特征就是各种加密算法对文件进行加密,传播速度快,范围广,危害大,可以修改桌面,在桌面等明显的位置生成提示文件,指导受害者缴纳赎金,通俗就是一手交钱一手交货,且一般的杀毒软件具有免疫性。格式一般是exe、js、wsf、vbe等为主。
攻击者通过永恒之蓝漏洞进入目标主机后,执行勒索病毒。中毒后需要工程师做应急响应,所谓应急响应就是客户系统遭受病毒传播、网络攻击、黑客攻击等危害,导致客户数据丢失,数据篡改,直接或者间接受到巨大负面影响时,需要专业的人士提供入侵分析,损失评估,恢复业务,溯源等安全服务,避免带来更大的损失。受害者在中勒索病毒之后,一般是无法解密,必须要能拿到解密的私钥才可以破解,对于安全产品来说也是一种极大的挑战。
**解决办法
**
假如中了勒索病毒怎么办。第一步需要做的是对设备进行断网,防止继续传播,保存网络连接,方便后面对其溯源。第二步是查看被感染的主机范围,备份病毒相关日志和文件,确认完成之后,将感染主机进行隔离。第三步要做就是以最短的时间使其恢复正常。第四步根据勒索病毒的类型,到相关网站查找样本和勒索相关信息,确认后了解病毒是否可解密及解病毒工具等相关信息,给出相关防御措施。然后就是对本次事件进行溯源。
首先对此次事件进行定性:
1、 钓鱼邮件;
2、 利用cve漏洞传播;
3、 3389端口爆破
4、 SMB
5、 ……
一、 判断自己中了哪一类勒索病毒
发现文件名后缀被修改,文件被加密,不能正常使用。
发现存在明显的中毒要求付费窗口
二、 判断自己中了哪一种勒索病毒,以及传播途径
保存勒索病毒样本,通过各大厂商的勒索病毒搜索引擎进行查找,进一步分析病毒样本,查找是否存在解密工具。
了解到该病毒蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后用来攻击受害者并加密文件。此病毒制造者利用的是美国国家安全局(NSA)泄露的Windows SMB远程漏洞“永恒之蓝”进行传播。
a.判断是否在内网段
b.通过随机数拼接IP进行攻击
c.拼接之后,利用永恒之蓝(ms17-010)进行传播
如何处置中了勒索病毒的主机
1)在终端输入netstat–ano命令查看是否存在外联行为,以便后续溯源
2)禁用网络,防止病毒继续传播
3)分析主机日志,查看是否存在异常行为
病毒防御措施
1、及时打补丁,关注最新漏洞
2、关闭445端口
3、开启防火墙,过滤危险端口
4、培养安全意思,文明上网,不点不明连接,安装杀毒软件。
**如何简单排查是否存在隐藏病毒或后门
**
1)Windows后门排查
cmd命令行命令如下:
a) net user 查看是否存在隐藏账户
b)netstat –ano 查看是否开启了危险端口或存在外联行为
c)wmic startup get command,caption 查看启动程序的信息
d)wmic process list brief 查看进程信息
e)schtasks /query /fo LIST /v 查看计划任务
f)net localgroup administrators 查看管理员组成员
g)netsh firewall show config 查看防火墙配置
h)systeminfo 查看补丁信息
i)tasklist 查看当前所有进程
**2)Linux后门排查
**
a)cat /etc/passwd 检查异常账号
b)last 列出用户登陆信息
lastb 列出用户登陆失败的信息
lastlog 列出用户最近一次登录信息
c)ps -ef | more 查看进程项
d)crontab –l 列出计划任务列表
crontab –e 编辑计划任务
ls –la /var/spool/cron 查看计划任务文件
e)/var/log 查看文件目录下的日志文件
f)find / -perm -4000 2>/dev/null
find / -perm -u=s -type f2>/dev/null
find / -perm -4000 -o-perm -2000 2>dev/null|xargs ls–lh
setuid后门排查,根据文件权限查找文件
勒索病毒搜索引擎
【360】官网:http://lesuobingdu.360.cn
【腾讯】官网:https://guanjia.qq.com/pr/ls
【启明】官网:https://lesuo.venuseye.com.cn
【奇安信】官网:https://lesuobingdu.qianxin.com
【深信服】官网:https://edr.sangfor.com.cn/#/information/ransom_search
勒索病毒解密工具:
【瑞星】官网:http://it.rising.com.cn/fanglesuo/index.html
【nomoreransom】官网:https://www.nomoreransom.org/zh/index.html
【MalwareHunterTeam】官网:
https://id-ransomware.malwarehunterteam.com
【卡巴斯基】官网:https://noransom.kaspersky.com
【Avast】官网:
https://www.avast.com/zh-cn/ransomware-decryption-tools
【Emsisoft】官网:
https://www.emsisoft.com/ransomware-decryption-tools/free-download
【GitHub 项目】官网:
https://github.com/jiansiting/Decryption-Tools
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套200G学习资源包免费分享!
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享