来自 应用 2021-07-13 08:24 的文章

服务器防御_腾讯云ddos攻击防御_免费测试

服务器防御_腾讯云ddos攻击防御_免费测试

我们知道什么值得注意的是,首次万纳克里感染是在2月10日报告的,然后又是在25日。我们称之为"版本1"。这并没有造成广泛的影响。2017年5月12日星期五下午,我们称之为"第2版"的WannaCry开始感染世界各地的系统。万念俱灰迅速蔓延,影响到英国国民保健系统(NHS)等组织。赎金要求示例如下:单击图像展开图1:WannaCry勒索软件需求示例据报道,截至周五下午4点左右,共有约36000起检测,正在全球范围内蔓延。在社交媒体上曾有人猜测PDF是感染的原因,但这被发现是良性的。目前,有猜测说,最初的攻击载体是通过网络钓鱼电子邮件。虽然这是一个可能的原因,但这还没有得到证实,可能需要一段时间才能发现感染的根源。在世界各地众多的恶意软件分析师开始剖析WannaCry之后,DDOS防御技术发展现状,很快就发现WannaCry利用了漏洞"etrenalblue"和"DoublePulsar",即后门/植入物。这一发现的相关性是关键,因为早在4月14日,ddos防御如何过滤假ip,一个名为"影子经纪人"的黑客组织泄露了一系列他们声称是从国家安全局窃取的文件。EternalBlue本质上是在WannaCry中发现的利用名为服务器消息块(SMB)的核心Windows网络协议的攻击。由于SMB与众多Windows版本交织在一起,此漏洞攻击可能会影响Windows XP直至Windows Server 2016。作为参考,该漏洞在常见漏洞和暴露(CVE)ids CVE-2017-143至148中进行了处理。事实上,微软在3月14日发布了一个针对这个漏洞的补丁(在安全公告MS17-010中);然而,没有应用这个补丁的公司从那以后就一直很脆弱。尽管WindowsXP已经过时,微软还是在周五晚上发布了一个紧急补丁来解决这个漏洞。这是一种善意的行为,目的是帮助仍在运行Windows XP的客户避免WannaCry的蔓延。到周五晚上,国家犯罪局、国际刑警组织和世界各地的许多其他组织都发表了声明,通知并警告了他们相应国家的企业大规模的袭击。以下是星期六(5月13日)至星期日(5月14日)之间发生的感染地图。到那时,基于web的ddos攻击与防御,74个国家的大约6万台电脑被感染。许多行业的公司都受到了影响,包括:全球航运、汽车制造商、医疗保健和教育机构。图2:5月14日星期日WannaCry感染地图(via@malrhunterteam)到了周六下午,爱德华·斯诺登对正在上演的戏剧发表了评论。斯诺登就美国国家安全局参与攻击一事发表了明确声明:"尽管有警告,@NSAGov构建了危险的攻击工具,可能针对西方软件。今天我们看到了成本。"据欧洲刑警组织报道,截至周日晚间,英国广播公司(BBC)报道,目前有超过20万台电脑感染了150多个国家。微软后来将WannaCry归咎于"NSA漏洞囤积计划"截至周一上午,区块链报告了以下统计数据,显示了恶意文件中提供的三个比特币地址中每一个的交易数量以及由此产生的比特币余额。这意味着攻击者将获得大约51290美元的收入。图3。比特币支付WannaCry赎金(viahttps://blockchain.info)高级技术概述当恶意文件运行时,会发生许多事情。首先,打电话给主人。如果连接成功,程序将退出。(更多信息请参阅下面的"Kill Switch"部分。)创建一个名为"Windows安全中心服务"的Windows服务,然后删除卷影副本(它是Windows内置的快照/备份技术)。恶意文件然后提取大量其他文件,其中包括包含28种不同语言的赎金单的多语言文件、设置为受感染系统的背景/墙纸的背景显示图像(如下所示),以及在加密、通信和解密阶段发挥作用的数个其他文件。图4。用于受感染系统的背景图像值得注意的是,有三个独特的比特币地址,用于收取赎金。首先使用Tor建立通信,关闭ddos防御,这是一个已知的程序,有助于实现在线匿名。然后修改文件,并授予所有用户完全访问权限,然后加密。每个文件名都附加了扩展名WNCRY。例如,如果您将Word文档另存为"财务.docx,"然后将重命名并加密为"财务.docx.wncry."由于WannaCry使用微软增强的RSA和AES加密技术,这本质上意味着只有在支付赎金(300美元到600美元之间)之后,文件才会再次被解密和读取。尽管正在回收文件,但此时系统的完整性将受到严重影响用户或公司仍将从备份中恢复,直到解密工具发布为止。切断开关一位在Twitter上被称为"MalwareTech"的研究人员发现,WannaCry试图首先连接的域名是未注册的。经过进一步研究,他决定注册这个域名。这产生了快速反应的影响,因为这样做基本上阻止了WannaCry运行任何后续步骤。杀戮开关的唯一警告是,通过代理服务器连接到Internet的受感染系统实际上仍然很脆弱。防范欺诈的建议由于这一攻击的广泛影响和规模,建议任何运行Windows XP到Server 2012的人,应用星期五发布的MS17-010紧急补丁。详情可以在这里找到。对于仍在使用SMB网络协议的Windows环境,强烈建议您考虑是否可以尽早禁用SMB版本1。应小心,因为环境中可能存在依赖于SMBv1的遗留应用程序。进一步的说明可以在这里找到。此外,建议通过SMB外部访问的任何主机阻止端口139和445的入站流量,即使在主机防火墙级别也是如此。应进行内部网络安全监控,基于web的ddos攻击与防御,以监控与TOR节点的外部通信。还有一些执行的进程和命令,如下所示,它们应该被视为WannaCry的指示器:**属性+h。icacls公司。/授予所有人:F/T/C/Q号命令行.exe/c vssadmin delete shadows/all/quiet&wmic shadowcopy delete&bcdedit/set{default}bootstatuspolicy ignoreallfailures&bcdedit/set{default}恢复启用否&wbadmin delete catalog–quiet**记录了各种文件散列,可用于输入端点监视软件。SHA256散列如下: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之前A93EE7EA13238BD038BCBEC635F39619DB566145498FE6E0EA60E6E76D6114BD3B43B234012 B8233B3DF6ADB7C0A3B2B13CC2354DD6DE27E092873BF58AF2693Ceb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd424d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5bfb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf9674186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982149601E15002F7886AB73033EB8577F11BD489A4CEA87B10C52A70FDF78D9FF190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd593bbcc8f34047da9960b8456094c0eaf69caaf16f1626b813484207df8bd8af5AD4EFD90DCDE01D26CC6F32F7CE3CE0B4D4951D4B94A19AA097341AF2ACAEC7C465EA7BCCF4F94147地址808F24629644BE11C0BA4823F16E8C19E0090F0FF9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db93356409FB39F162C1E1EB55FBF38E670D5E329D84542D3DFC3411A99F5D07C4B50977B47E281BFBEEB0758F8C625床5C5A0D27EE8E0065 EEADD76B0010D226206F0B66DB13D17AE8BCA586180E3DCD1E2E0A084B6BC987AC829BBFF18C3BE7F8B4d8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f7127f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d8511D0F63C06263F50B972287B4BBD1ABE0089BC993F73D75768BB41E3D6F6D4916493ECC44BC57446ACBE96BD8AF001F73114070D694DB76EA7B5A0DE7AD0AB6bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7b3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7E14F1A655D54254D06D51CD23A2FA57B6FFDF371CF6B828EE483BB1D6D21079e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a960e5ece918132a2b1a190906e74becb8e4ced36eec9f9d1c70f5da72ac4c6b92a9B3262B9FAECB28DA4637444F54C068D884C3E8CF676815E8AE5A72AF48ED4D5E0E8694DDC0548D8E6B87C83D50F4AB85C1降级106D6A6A794C3E746F4FA1465987e3c28369e337f00e59105dea06a3d34a94c2a290caed887e2fed785ac402751FA49E0CB68FE052CB3DB87B05E71C1D950984D339940CF6B2940F2A7Ce18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b97EBCE49B14C46BEBC9EC2448D00E1397123B256E2BE9EBA540688E7BC0AE64a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b792ca2d5型