丰产门户网站
首页 旅游 家居 娱乐 科技 汽车 国际 游戏 动漫 历史 时事 音乐 社会 时尚 健康养生 星座运势 母婴育儿 搞笑 财经 军事 体育 宠物 综合 文化 情感 教育 美食
当前位置:首页 > 汽车 > 天天英豪登录不进去,Win10也沦陷,如何应对永恒之蓝?
天天英豪登录不进去,Win10也沦陷,如何应对永恒之蓝?

发布时间:2020-01-11 16:21:24

天天英豪登录不进去,Win10也沦陷,如何应对永恒之蓝?

天天英豪登录不进去,更多全球网络安全资讯尽在e安全官网www.easyaq.com

e安全6月9日讯 据报道,白帽子黑客已经将“永恒之蓝”利用到windows 10,这意味着,未打补丁的所有microsoft操作系统都有可能被攻击影响。

更新ms17-010补丁,很重要

risksense网络安全研究小组是首批研究“永恒之蓝”、doublepulsar后门有效载荷以及nsa fuzzbunch平台的研究团队。他们表示,不会发布windows 10“永恒之蓝”端口的源代码。

自“影子经纪人”四月泄露“方程式组织”针对windows xp和windows 7 的黑客工具以来,risksense网络安全研究小组一直在研究poc,并在wannacry勒索病毒爆发后两天(2017年5月14日)完成了基于“永恒之蓝”的metasploit 漏洞利用模块。研究人员表示,应对“永恒之蓝”的最佳防御措施依然是应用microsoft三月提供的ms17-010更新。

risksense网络安全研究小组研究过程

当地时间周二,研究人员发布报告阐述了将“永恒之蓝”引入windows 10的必要性,并检验了microsoft采用的缓解措施。

这项研究仅供安全人员理解并认识这些漏洞利用,从而开发新技术,以防止此类攻击以及未来的攻击。该研究可以帮助防御者更好地理解该漏洞利用链,以构建针对该漏洞利用的防御措施。但资深研究分析师肖恩·迪隆表示,他们省略了仅对攻击者有用的某些细节。

metasploit模块

metasploit模块与新windows端口是完全分离的。

metasploit模块是“永恒之蓝”的缩减版,减少了所涉及的网络流量,因此可以绕过自这批nsa工具泄露以来安全公司和美国政府推荐使用的许多入侵检测系统。此外,metasploit模块还删除了doublepulsar后门。doublepulsar是fuzzbunch平台中所有漏洞利用扔下的内核级漏洞利用。

迪隆指出,许多安全公司对doublepulsar倾注了过多不必要的关注。doublepulsar分散了研究人员和防御者的注意力。

研究人员证明,创建新的有效载荷就能直接加载恶意软件,无需首先安装doublepulsar后门。因此,未来防御这些工具不应只关注doublepulsa,还应关注能发现并阻止的部分。

端口

新端口针对的是基于64位系统的windows 10 version 1511(threshold 2)。

研究人员能绕过windows 10引入的缓解措施(windows xp、windows7、windows8中不存在),并挫败“永恒之蓝”的dep和aslr绕过技术。为了转移到windows 10,研究人员必须创建新的dep绕过技术。

risksense在报告中提到新攻击的细节,包括新的有效载荷替代doublepulsar。迪隆称密码不安全,任何人都可以加载二级恶意软件,wannacry就是这种情况。risksense的新有效载荷无需后门,允许执行用户模式有效载荷的异步过程调用(apc)。apc可以“借用”闲置可报警的进程线程,当其依赖offset结构函数在windows版本之间发生变化时,apc是退出推出内核模式,进入用户模式最可靠、最简单的方式之一。

nsa或早就能用“永恒之蓝”攻击windows10

影子经纪人泄露的是nsa过去使用的黑客工具,并非nsa当前的网络武器。到目前为止,nsa很有可能掌握着win 10版的“永恒之蓝”,但是直到今天,这样的选择并未向防御者提供。与此同时,“永恒之蓝”仍是公之于众的最复杂攻击之一。

有人认为,这批nsa文件被泄露前一个月,nsa已提醒microsoft “影子经纪人”即将放出的漏洞,以便为microsoft预留时间构建、测试并部署ms17-010。

永恒之蓝带来的黑客知识更新

迪隆表示,真正只有少数人能写出原始“永恒之蓝”漏洞利用,但它现在就暴露在网上,人们可以研究原始的漏洞利用及其使用的技术。这为许多业余黑客打开了“知识”大门。要使用缓冲区溢出导致程序崩溃很容易,但执行代码相对较难。因此,无论谁编写了原始的“永恒之蓝”漏洞利用,此人肯定通过大量实验发现了将崩溃转化为执行代码的最佳途径。

“永恒之蓝”为攻击者提供能力执行即时的远程未验证windows代码执行攻击,这种能力是供黑客任意支配的最佳漏洞利用类型。开发人员肯定在此漏洞利用方面取得大量新突破。

当研究人员将永恒之蓝”漏洞利用的目标添加到metasploit时,需要将大量代码添加到metasploit,使其支持针对64位系统的远程内核漏洞利用,而原始的漏洞利用还针对32位系统。迪隆认为这种“壮举”令人惊叹。

当谈论针对windows内核的堆喷射(heap spray)攻击,这种攻击可能是最深奥的攻击类型之一,而该漏洞利用针对的是windows,没有可获取的源代码。在linux上执行类似的堆喷射攻击也困难,但相对要简单得多。

企业如何应对?

尽管使用户应升级到windows 10 最新版本依然是目前抵御“永恒之蓝”的最佳方式,但迪隆强调,即使用户应升级到windows 10 最新版本,光靠打补丁仍不足以完全抵御这类威胁。

e安全建议使用smb服务的企业应开启防火墙,并为需要从外部访问内部网络网络的用户设置vpn访问。企业应详细罗列网络上的软件和设备,并提供识别并部署补丁的程序。当攻击者迅速从补丁转移到漏洞利用时,这些措施将尤为重要。



推荐阅读
© Copyright 2018-2019 thebrassta.com 丰产门户网站 Inc. All Rights Reserved.