Сайт · Форум · Инструменты · Блог Форум WindowsFAQ

Назад   Форум WindowsFAQ > Тематический раздел > Безопасность

Тема закрыта
 
Действия над темой
newbie333
Пользователь
Автор темы
 
Регистрация: июл 2011
Сообщений: 666
Сила репутации: 10
Репутация: 126
Question WannaCry (ransomware) -SMB(Eternalblue) найти уязвимые хосты. 17-05-2017, 20:46 Инфо Контакт
Об угрозе Ransomware day: массовое заражение Wana Decrypt0r
Об уязвимости Microsoft Security Bulletin MS17-010 - Critical
Как защититься средствами McAfee на сайте Protecting against Ransom-WannaCry (May 2017)

Но, у меня вопрос, как найти хосты подверженные угрозе. Но не сканом 445 порта, это грубо и не интересно.
newbie333 is offline

Исправлено newbie333 17-05-2017 в 21:14.
Реклама
Зарегистрируйтесь, чтобы скрыть этот блок
Dmitry_S
Пользователь
 
Регистрация: дек 2004
Город: Питер
Сообщений: 7 855
Сила репутации: 28
Репутация: 600
17-05-2017, 21:47 Инфо Контакт
это не то?
Dmitry_S is offline
Light-XP
Пользователь
 
Регистрация: сен 2009
Сообщений: 4 593
Сила репутации: 21
Репутация: 708
17-05-2017, 22:52 Инфо Контакт
newbie333, по сути да - нужно проверить наличие патчей на хостах (любым способом)
Light-XP is offline
newbie333
Пользователь
Автор темы
 
Регистрация: июл 2011
Сообщений: 666
Сила репутации: 10
Репутация: 126
18-05-2017, 11:10 Инфо Контакт
Цитата (автор Light-XP):
по сути да - нужно проверить наличие патчей на хостах (любым способом)
нет, это медленно.
Нужен сканер уязвимости, который будет только искать хосты с SMBv1.0, в котором не закрыта уязвимость

Dmitry_S
Спасибо. Смотрю.
newbie333 is offline

Исправлено newbie333 18-05-2017 в 11:17.
sweet
ipmanyak
 
Регистрация: ноя 2000
Сообщений: 5 527
Сила репутации: 33
Репутация: 976
18-05-2017, 11:21 Инфо Контакт
newbie333 Я юзаю эту утилиту - http://rgho.st/8T2QKwpty
Скомпилена и чуток поправлена. Сырцы на питоне. Взята отсюда https://github.com/jflyup/goMS17-010
Утилита работает быстро, но запускать надо несколько раз и лучше без указания таймаутов, ибо не всё сразу показывает почему-то и не по порядку IP адресов.
sweet is offline

Исправлено sweet 18-05-2017 в 11:26.
Light-XP
Пользователь
 
Регистрация: сен 2009
Сообщений: 4 593
Сила репутации: 21
Репутация: 708
18-05-2017, 11:27 Инфо Контакт
newbie333, воспользуйтесь вирусом, куда пролезет - значит там уязвимость.

P.S.
Разумеется установив антивирусы на хостах - они не дадут зашифровать данные.
Light-XP is offline
sweet
ipmanyak
 
Регистрация: ноя 2000
Сообщений: 5 527
Сила репутации: 33
Репутация: 976
18-05-2017, 12:01 Инфо Контакт
Три раза ловили шифровальщиков и три раза каспер ничего не поймал, ни на почтовом шлюзе, ни на самой машине. Буквально вчера опять пропустил шифровальщика, но вроде не Wannacry. Удивляет поведение юзера, не экономист и не бухгалтер, адрес отправителя левый: Техносервис <info@eduexos.com> и тем менее этот чудак на букву М, открывает письмо с темой "сверка взаиморасчетов", к которой он не имеет никакого отношения и никогда не имел по роду своей должности, а затем открывает и вложенный архив и сам скрипт wsf.
sweet is offline

Исправлено sweet 18-05-2017 в 12:07.
newbie333
Пользователь
Автор темы
 
Регистрация: июл 2011
Сообщений: 666
Сила репутации: 10
Репутация: 126
18-05-2017, 13:23 Инфо Контакт
Light-XP
Цитата (автор Light-XP):
воспользуйтесь вирусом
а тип этой угрозы не вирус. Это (WannaCry (ransomware) ) - троян с функционалом сетевого червя и ransomware .
Но, сэмплы у меня есть ...
sweet
У некоторых антивирусных решений в том числе у McAfee, есть эвристики и расширенная эвристика, и еще Защита Доступа (Access Protection)
Вот правило Access Protection (McAfee VSE 8.8) для WannaCry

1. Запретить для всех процессов создание ключа реестра: HKLM /Software/WanaCrypt0r
2. Запретить для всех процессов создание файлов с расширением *.wnry

Это "тупой", но эффективный метод.


sweet Спасибо.
newbie333 is offline
Light-XP
Пользователь
 
Регистрация: сен 2009
Сообщений: 4 593
Сила репутации: 21
Репутация: 708
18-05-2017, 13:38 Инфо Контакт
Дык речь про конкретную версию зловреда. Естественно новые версии антивирус не увидит, в них будут другие расширения файлов, другие ключи реестра...
Цитата (автор sweet):
Буквально вчера опять пропустил шифровальщика
А чего не настроишь каспера/ad чтобы пакость не запускалась всякая?
newbie333, похоже что утилита sweet лучшее решение исходной задачи - определение уязвимых хостов...
Light-XP is offline
newbie333
Пользователь
Автор темы
 
Регистрация: июл 2011
Сообщений: 666
Сила репутации: 10
Репутация: 126
18-05-2017, 13:52 Инфо Контакт
Цитата (автор sweet):
и тем менее этот чудак на букву М, открывает письмо с темой "сверка взаиморасчетов", к которой он не имеет никакого отношения и никогда не имел по роду своей должности
Это называется - пользуем метод Социальной инженерии. Не -мы, а хакеры.

Цитата (автор sweet):
а затем открывает и вложенный архив и сам скрипт wsf.
С помощью того же Access Protection вообще закрыл возможность запуска файлов с расширением *.wsf
Организация - не маленькая и ни одного срабатывания. Т.е. для легитимных целей - не используются. Конечно, до включения блокировки - правило поработало в режиме только Лог.
newbie333 is offline

Исправлено newbie333 18-05-2017 в 13:55.
newbie333
Пользователь
Автор темы
 
Регистрация: июл 2011
Сообщений: 666
Сила репутации: 10
Репутация: 126
19-05-2017, 20:04 Инфо Контакт
Этот метод поможет от WannaCry?

Чтобы включить или отключить протокол SMB версии 1 на SMB-сервере, настройте следующий раздел реестра:
Подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Запись реестра: SMB1
REG_DWORD: 0 = отключено

И перезапуск службы Сервер
newbie333 is offline
SavageNoName
Администратор форума
 
Регистрация: июн 2001
Сообщений: 16 322
Сила репутации: 47
Репутация: 1218
19-05-2017, 20:10 Инфо Контакт
https://support.microsoft.com/en-us/...ws-server-2012
SavageNoName is offline
newbie333
Пользователь
Автор темы
 
Регистрация: июл 2011
Сообщений: 666
Сила репутации: 10
Репутация: 126
20-05-2017, 11:25 Инфо Контакт
SavageNoName ))
Прежде чем написать предыдущий пост, я как раз прочитал эту статью.
Но, в статье "Note You must restart the computer after you make these changes."

Я пишу в своем посте:
Цитата (автор newbie333):
И перезапуск службы Сервер
Т.е. достаточно ли перезапустить Службу Сервер без перезапуска ОС.
Почему возник вопрос, потому что надо как то защищать постоянно работающие критические сервера без перезагрузки.
Firewall - не всегда выход, на 445 порту не только файловая шара.

Мой вариант ответа на вопрос "Достаточно ли перезапустить службу Сервер для отключения функционала SMBv1.0"

- Да - достаточно.

Но главный вопрос, достаточно ли для защиты от WannaCry (ransomware) (точнее от EternalBlue и впоследствии от DoublePulsar)?

Цитата (автор Dmitry_S):
это не то?
нет, мне нужен сканер уязвимости, который проверяет наличие уязвимости, а не установленных патчей.
Если я отключаю какой то функционал, например "Служба доступа к файлам и принтерам сетей MS" то хочу сразу видеть результат.
И работа с пулами адресов (диапазонами).
И желательно - проверенный, чтобы не оказался Трояном. ))

Типа такого:
MS17-010 SMB RCE Detection
Uses information disclosure to determine if MS17-010 has been patched or not. Specifically, it connects to the IPC$ tree and attempts a transaction on FID 0. If the status returned is "STATUS_INSUFF_SERVER_RESOURCES", the machine does not have the MS17-010 patch. If the machine is missing the MS17-010 patch, the module will check for an existing DoublePulsar (ring 0 shellcode/malware) infection. This module does not require valid SMB credentials in default server configurations. It can log on as the user "\" and connect to IPC$.

или
"This module is a port of the Equation Group ETERNALBLUE exploit, part of the FuzzBunch toolkit released by Shadow Brokers. There is a buffer overflow memmove operation in Srv!SrvOs2FeaToNt. The size is calculated in Srv!SrvOs2FeaListSizeToNt, with mathematical error where a DWORD is subtracted into a WORD. The kernel pool is groomed so that overflow is well laid-out to overwrite an SMBv1 buffer. Actual RIP hijack is later completed in srvnet!SrvNetWskReceiveComplete. This exploit, like the original may not trigger 100% of the time, and should be run continuously until triggered. It seems like the pool will get hot streaks and need a cool down period before the shells rain in again"
Уменьшенная копия присоединённого изображения
Щелкните для просмотра полной версии. Имя Служба доступа к файлам и принтерам сетей MS.jpg Просмотров: 210 Размер: 106.9 Кб  
newbie333 is offline

Исправлено newbie333 20-05-2017 в 13:45.
Light-XP
Пользователь
 
Регистрация: сен 2009
Сообщений: 4 593
Сила репутации: 21
Репутация: 708
20-05-2017, 18:22 Инфо Контакт
Цитата (автор newbie333):
Чтобы включить или отключить протокол SMB версии 1 на SMB-сервере, настройте следующий раздел реестра: Подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Запись реестра: SMB1 REG_DWORD: 0 = отключено
Интересный вопрос, я вот с другой стороны интересовался. Если данный вирус(ну ладно, зловред) использует уязвимость smb1, то как он поражает вин10/2012r2? В этих системах SMBv1 выключен по-умолчанию. Даже не просто выключен, а вырублен нафиг. И чтобы его запустить нужно ковырять реестр (или поставить компонент на сервере)
Если не поражает - мс должны были сразу же сделать грудь колесом, мол новая ос не подвержена проблеме, а они молчали...
Light-XP is offline
DenTNT
Windows 10 admin
 
Регистрация: ноя 2002
Город: Moscow
Сообщений: 5 134
Сила репутации: 26
Репутация: 451
20-05-2017, 19:27 Инфо Контакт
Цитата (автор Light-XP):
мол новая ос не подвержена проблеме, а они молчали...
Ну не совсем
DenTNT is offline
Тема закрыта


Назад   Форум WindowsFAQ > Тематический раздел > Безопасность
Сохранить ссылку на эту тему у себя в
Действия над темой

 
Быстрый переход

Похожие темы
Тема Автор темы Форум Ответов Последнее сообщение
Шаблоны безопасности SIDERMAN Операционные системы Microsoft Windows 10 05-06-2004 12:21


Время 16:49. Временной пояс GMT +3.