如何通过Tenable SCCV快速查找受到”永恒之蓝”感染的主机

上个周末,大家的社交媒体软件都被勒索软件”永恒之蓝”的消息所淹没。 
每个人都会问一个问题”在我的网络中那些主机已经被感染?”如果你是正在使用Tenable SecurityCenter ContinuousView 客户,有三种简易快速方法检查你网络的主机安全性。

1.追踪受到感染主机 – 检查DNS请求 
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (WannaCry 1.0) 
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com (WannaCry 2.0)

WannaCry有固定的DNS lookup请求, PVS组件可以记录所有网内的DNS请求,你可以用如下过滤方式过滤出相应的dns请求访问

Type = dns 
Syslog Text = iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea 
Timeframe = Last 7 Days 
图片描述

应用这个过滤器后,改变view tools为 “Source IP Summary”.如果你能看到任何主机访问这个域名,说明它们已经沦陷,应立刻将这些主机断网。 
图片描述
2.追踪受到感染主机 – 查询最近的malware活动

这个勒索软件传播相当迅速是因为一旦感染,感染主机将扫描网内所有机器的445端口的开放情况,然后传播勒索软件。通过 SecurityCetner Continuous view, 我们能查询任何对445端口的扫描,简单应用下列过滤器:

Destination Port = 445 
Timeframe = Last 7 Days 
图片描述

然后改变view到 “Source IP Summary” ,你将发现连接目的端口445的频次.在这个例子里面,我们需要检查为什么172.16.132.183会有700 connections to port 445 in last 7 days.

如果你希望寻找相关网段的活动情况,你也可以使用 “Source Address” 或 “Source Asset” 过滤器 
图片描述

3.我是安全的,更新补丁和扫描

如果你的网络环境是干净的,最好的阻止勒索软件的方法是更新windows相关补丁,关闭SMBv1服务, 确认所有终端没有ms17-010漏洞。

另外利用Tenable 自带仪表盘,可以显示被 Shadow Brokers 黑客群公布的漏洞及黑客程序影响的主机。Tenbale的客户能透过更新自动获得最新的Shadow Broker 漏洞探测仪表板。此仪表盘同时可以显示网络内相关漏洞的修复进展情况。 
图片描述

如果你还不是Tenable客户,联络Tenable本地技术人员寻求帮助或注册一个为期2个月的免费tenable.io云平台测试帐号(http://www.tenable.com/products/tenable-io/evaluate),帮助检查你的网络安全状况!

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值