没想到之前的一篇紧急之下写的简单文字,这么快就破了4000年的阅读。突然蹭了网红病毒的热度,有点不太习惯。
于是,想花点时间来稍微深入的写点东西。毕竟,在我看来,这次爆发仅仅是个开始。
开始之前,先做有关利益相关等简单申明:本人04年至今13届8个方向的微软MVP,但与微软并无利益相关;本人非安全专业工作岗位,主要经验在基础架构,云和虚拟化和它管理方向,后文会出现与本人供职公司产品或方案介绍,可自行取舍;文中所有引用“仅以原样”(是)提供,版权归原作者所有。本人并不保证所有观点正确,仅供参考。
,
- <李> <强>来由
我们先来看看这个病毒的血统。加密勒索软件早已有之,虽然我已经离开它管理一线,印象里勒索病毒第一次爆发是在前年还是去年的时候,在微信朋友圈看到卡巴斯基老同事转发的病毒情况。因为传播基本靠传统方式,例如邮件,链接,存储介质等等,并没有引起我太大的兴趣,只是开始用SyncToy同步备份自己的工作文件。与其说是为了防止病毒,不如说我更担心电脑SSD损坏。
紧接着,去年8月?大概是这个时间?影子经纪人声称从NSA道团队泄露获得了一批安全漏洞,这些漏洞已存在较长时间,* * *面及威力都较为惊人。
,
可参考一些链接:
影子经纪人:https://en.wikipedia.org/wiki/The_Shadow_Brokers
国家安全局方程组黑客工具泄漏:https://arstechnica.com/security/2016/08/hints-suggest-an-insider-helped-the-nsa-equation-group-hacking-tools-leak/
http://www.reuters.com/article/us-intelligence-nsa-commentary-idUSKCN10X01P拿到这些利器,怎么可能不用呢?在今年4月吧,这些武器开始放出来并待价而沽。
国家安全局恶意软件的影子经纪人黑客集团发布的
http://www.bbc.com/news/technology - 39553241
那么,除了这次广为人知的永恒之蓝,还有那些武器放出来了呢?老司机即将发的车,请坐稳扶好。
- <李> ETERNALROMANCE——远程特权升级(系统)利用Windows 2008, Windows XP TCP端口445) <李> ENTERNALCHAMPION, ETERNALSYSTEM -远程利用Windows 8, 2012李 <李> ETERNALBLUE -远程通过SMB和利用;电视台(Windows XP Windows 2012) <李> EXPLODINGCAN——远程IIS 6.0利用Windows 2003李 <李> EWORKFRENZY - Lotus Domino 6.5.4和7.0.2利用李 <李> ETERNALSYNERGY - Windows 8和Windows Server 2012李 <李> FUZZBUNCH -利用框架(类似于Metasploit)利用。
研究员凯文·博蒙特的一个单独的分析发现三个zerodays影响Windows系统。他们是Esteemaudit-2.1.0。exe,远程桌面安装植入的利用alt=" WannaCry ?这才刚开始白马王子;">
这篇文章发表于2017/04/15,这个时侯微软的相关补丁已经发布了。全文在:https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/
可以说,正是结合了这些战略级的漏洞工具,WanaCry及其变种才能够来势汹汹。
0天* * *工具之下,微软是否无动于衷?可参看:https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/
,
- <李> <强>行动
作为它行业从业人员,最直接的行动,肯定是第一时间了解原委,抓紧每一秒钟堵塞漏洞,尽量替用户挽回损失。如何快速防御,在前一篇博客中已经简单介绍,不复赘述。醒过神之后,我们也需要一点时间,来思考为什么看上去很安全的架构,在这样的* * *面前显得如此脆弱。
最大的一个原因,是对补丁工作的漠视。用户不懂,那是可以理解的,作为它从业人员,漠视补丁就有点让人不那么能接受了。实际上包括几个0天* * *工具在内的大部分* * *手段,微软都在第一时间发布了补丁,比如ms17 - 010:
<强>代号 <强>解决方案 " <>强EternalBlue <你>”解决ms17 - 010 " <>强EmeraldThread <你>”解决ms10 - 061 " <>强EternalChampion "解决 cve - 2017 - 0146 ,<你> cve - 2017 - 0147 <强>“ErraticGopher”解决之前发布的Windows Vista”<强> EsikmoRoll "解决 ms14 - 068 " <>强EternalRomance "解决 ms17 - 010 " <>强EducatedScholar "解决 ms09 - 050 " <>强EternalSynergy "解决 ms17 - 010 " <>强EclipsedWing "解决和ms08 - 067
