来自 应用 2021-07-17 22:05 的文章

ddos清洗_防御服务器主机_免费试用

ddos清洗_防御服务器主机_免费试用

勒索软件自2005年以来就成了一个问题,在支付赎金之前拒绝用户访问他们的系统和文件。加密勒索软件加密受害者系统上的文件是最新的类型。2017年5月12日开始出现了一种新的变体,称为WannaCry。它基于微软服务器消息块1.0(SMBv1)中的漏洞,该漏洞于2017年3月修补,如公告MS17-010所述。有六个CVE构成了此漏洞,CVE-2017-0143到CVE-2017-0148。CloudPassage Halo SVA模块从3月份开始就针对未修补系统发出此漏洞警报。如果您自3月中旬以来通过修补系统修复了SVA警报,则可以保护您免受此漏洞的攻击。当正确使用Microsoft的服务器消息传递块(SMB)时,它允许文件共享或访问网络资源,如打印机或串行端口。SMB中的漏洞允许恶意用户手工查询或请求允许远程代码执行的字符串,这使得攻击者能够远程访问系统并在那里执行代码,通常是作为特权用户。WannaCry勒索软件中使用的Windows漏洞是2017年4月14日Shadowbrokers转储数据的一部分,但微软已经在3月对其进行了修补,但并未大张旗鼓地进行修补。许多关键基础设施尚未修补,因此基于该漏洞的勒索软件正在影响世界各地的大量系统。易受攻击的系统是指未安装公告MS17-010中的Microsoft KB文件4013389,ddos防御测试,并且启用了SMBv1,并且没有防火墙阻止来自受感染系统的SMBv1查询。云通道的建议修补所有受影响的系统。不允许未知系统通过SMB连接到服务器。CloudPassage客户可以通过以下步骤使用Halo来保护自己:使用CloudPassage Halo的SVA模块查找易受攻击的服务器并对其进行修补。使用CloudPassage Halo的CSM模块来查找妥协或SMBv1协议存在的证据并进行补救。使用CloudPassage Halo的防火墙模块制定规则,只允许允许客户端连接到SMB端口:udp137和138,TCP端口137、139和445。利用光环防火墙您可以构建一个Windows防火墙策略来解决这个问题,方法是添加一个新服务(在我的示例中,第一个新服务称为"SMBoverUDP"),并为协议选择UDP,端口选择137138。然后添加两个规则,一个用于接受来自内部网络的流量(无论您如何定义内部网络),并丢弃所有其他流量。对TCP端口137、139和145执行相同的操作,如下所示。您的客户成功代表或销售工程师提供了一个示例防火墙策略,该策略将阻止来自本地主机以外的任何东西对SMB端口(TCP和UDP)的请求。在将其部署到通常接受这些请求的Active Directory服务器上之前,需要对其进行编辑以添加适当的内部网络定义。CSM公司可以编写Windows CSM策略来检测是否启用了易受攻击的SMB版本(SMBv1)。它也可以检测到已显示为万纳克里勒索软件感染指标的文件。如果要将存根Windows CSM策略导入帐户进行测试,ddos防御智智能卓越,则可以从客户成功代表或销售工程师那里获得存根。该策略包含两种类型的检查:第一种检查确保SMBv1未启用,家用宽带怎么防御ddos攻击,而第二种检查是否存在已显示为泄露指示器(IOC)的文件。下面是一个示例,通过检查HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项来检查是否在注册表中启用了SMBv1设置:下面是一个检查文件C:\Windows是否存在的示例检查\mssecsvc.exe,由勒索软件添加:SVA公司CloudPassation Halo的软件漏洞评估(SVA)模块自2017年3月由微软发布以来就已经意识到了这一漏洞。如有可能,应将Halo Agent更新到3.9.7或更新版本,以提高检测精度。对其服务器运行SVA扫描的客户应在其报告中注意到此漏洞,并可以使用筛选器和搜索功能查看哪些服务器需要修补。通过转到Halo中的Servers选项卡来访问Filter工具,开始输入过滤器的名称,然后创建一个可用过滤器的列表。然后,阿里云ecs有ddos防御吗,您可以完成键入名称,或者从可用过滤器列表中进行选择。有两种方法可以搜索此漏洞:在SVA扫描中查找CVE是否存在,以及在服务器被修补时查找是否缺少KB文件。CVE公司您可以使用Halo中Servers选项卡上的"CVE Present"筛选器搜索下面列出的与MS17-010关联的CVE(Windows SMB Server的安全更新:2017年3月14日)。这些漏洞使Windows计算机容易受到WannaCry勒索软件的攻击。Windows SMB远程代码执行漏洞–CVE-2017-0143(严重)Windows SMB远程代码执行漏洞–CVE-2017-0144(严重)Windows SMB远程代码执行漏洞–CVE-2017-0145(严重)Windows SMB远程代码执行漏洞–CVE-2017-0146(严重)Windows SMB信息泄漏漏洞–CVE-2017-0147(重要)Windows SMB远程代码执行漏洞–CVE-2017-0148(严重)要在具有最新SVA扫描的服务器上检测CVE,阿里云ddos防御价格,应首先转到servers选项卡(红色箭头),并使用筛选器CVE Present和数据CVE-2017-0143(红色椭圆形)。在这种情况下,由于此帐户没有未修补的服务器,因此检测到的服务器数为0,并且在下面的列表中没有。要检测是否缺少KB文件,您需要搜索操作系统类型的Windows(下面示例中为矩形),然后查找知识库ID"未安装"筛选器,将知识库文章从Microsoft:KB4013389(下面示例中的红色椭圆)放入。您将看到此帐户有36台服务器没有安装KB。有关使用过滤器搜索易受攻击系统的更多信息,请参阅Halo文档中的附录F。外部链接https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-broadcast-attacks-all-over-the-world/https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1、-smbv2、-and-smbv3-in-windows-vista、-windows-server-2008、-windows-7、-windows-server-2008-r2、-windows-8、-windows-server-2012https://www.wired.com/2017/05/ransomware-meltdown-experts-warned/https://arstencia.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/https://en.wikipedia.org/wiki/Server_消息块