来自 网络 2021-06-11 03:06 的文章

网站防御_防ddos攻击软件_怎么防

网站防御_防ddos攻击软件_怎么防

这是新的一年,我们仍然发现Windows系统在我们执行攻击面验证(即渗透测试)的每个客户端网络中都缺少MS17-010补丁。不幸的是,恶意软件作者已经能够利用WannaCry和NotPetya等高知名度蠕虫攻击这些系统。许多安全团队和渗透测试公司都束手无策,ddos防御主机,不愿意在客户端网络上使用潜在的不安全版本。由于没有对组织造成潜在损害的实质性证据,许多管理和IT团队危险地忽视了为这些漏洞应用补丁程序。这篇文章将讨论RiskSense去年对MS17-010的研究,本周我们在Metasploit中添加了一个新的攻击模块(包括我们这样做的理由),以及可以在应用MS17-010补丁之外实现的其他缓解和系统强化。MS17-010背景信息MS17-010是微软2017年3月发布的安全公告,描述了几乎每个版本的Windows上都存在的几个远程代码执行漏洞。一个月后,也就是2017年4月,一个名为影子经纪人的未知实体发布了一个漏洞的宝藏,据称是从美国国家安全局(NSA)的精英黑客部门Equation Group(定制访问操作办公室)被盗。你可能听说过一些这样的攻击,比如去年五月臭名昭著的WannaCry勒索软件活动中使用的EternalBlue。在野外已经发现了许多利用这些漏洞的恶意软件蠕虫,它们仍然非常活跃,比如Adylkuzz、EternalRocks、NotPetya、Bad Rabbit和WannaMine。在WannaCry之前的几周,RiskSense警告说,这些攻击成为武器只是时间问题,ThreatPost和Bloomberg等主要新闻机构都报道了这一点。不幸的是,许多组织仍然没有意识到。MS17-010缺少修补程序扫描仪在MS17-010修补程序发布后不久(在漏洞被转储且漏洞的严重性完全已知之前),RiskSense发布了一个Metasploit模块,供系统管理员审核缺少该修补程序的系统。该模块可在位于辅助/scanner/smb/smb_ms17_010的Metasploit中找到。扫描程序代码后来也被移植到nmap。MS17-010辅助扫描仪可快速检测网络上哪些主机易受攻击MS17-010 DoublePulsar后门影子代理转储中所有永恒的漏洞都安装了一个名为DoublePulsar的多架构Windows内核后门。一周后,扎克·哈丁、迪伦·戴维斯和我对DoublePulsar进行了全面的逆向工程,详细介绍了最初的SMB后门的操作,以便防病毒公司和IDS规则的作者可以创建检测和缓解措施。DoublePulsar植入在SMB Transaction2调度表中钩住一个函数不幸的是,在几周后第一轮蠕虫攻击之前,大多数杀毒软件供应商都没有为DoublePulsar编写检测或预防例程。MS17-010 EternalBlue漏洞利用EternalBlue可能是最强大的攻击,阿里云服务器ddos防御策略,因为它只需要匿名访问共享,例如常用的IPC$。其他攻击需要共享以及命名管道。RiskSense分析师立即开始对EternalBlue进行逆向工程,因为我们认为这是最有效的利用。在WannaCry发布两天后,一个Metasploit模块将漏洞缩减到了最基本的部分。它避开了IDS的签名,因此可以建立更好的签名。Metasploit模块位于exploit/windows/smb/ms17_010_eternalblue。面向Windows 7 x64计算机的EternalBlue Metasploit模块来自shadowbrokers转储的最初的EternalBlue模块只针对旧的Windows系统(如windowsxp和windows7)而设计。Dylan Davis和我写了一份永恒的白皮书,证明了将漏洞攻击移植到Windows10是可能的。这是后来被销毁的实验室代码,从未发布过,尽管许多反病毒公司确实询问过概念证明。MS17-010 Metasploit PSExec端口的ZZZ_漏洞利用为了帮助白帽和渗透测试人员向客户演示与MS17-010相关的风险,RiskSense最近在Metasploit中添加了一个漏洞利用模块,云服务器防御ddos,该模块可以针对从Server 2000到Server 2016的所有Windows版本,ddos攻击的防御手段,以及介于两者之间的所有家庭/工作站版本的Windows。在最初的转储几个月后,来自泰国的一位名叫Worawit Wang的研究人员发布了zzz_漏洞攻击,该漏洞使用了与EternalRomance、EternalSynergy和EternalChampion漏洞攻击相同的漏洞。然而,他的最终有效载荷略有不同。尽管最初的漏洞利用会导致匿名SMB登录通过复杂的缓冲区覆盖机制开始执行任意代码,Worawit使用覆盖来代替SMB会话成为管理员会话。RiskSense实际上是将这一众所周知的漏洞以几乎1:1的比例移植到Metasploit上,Rapid7 Metasploit的维护人员针对每一个主要的Windows版本进行了测试。Metasploit模块可以在exploit/windows/smb/ms17_010_psexec和辅助/admin/smb/ms17_010_命令中找到。针对Windows 2000 SP0计算机的MS17-010 PSExec Metasploit模块MS17-010 PSExec Metasploit模块针对服务器2016 Windows 10 14393计算机当最初的攻击目标是Windows XP SP0和SP1时,发现了崩溃,因为Windows XP SP2中的Windows令牌结构发生了更改,这也是测试原始利用漏洞的依据。RiskSense修复了Metasploit模块的令牌偏移,并将修复推送到Worawit Wang的存储库。此外,RiskSense稍微减少了网络流量,并在漏洞中插入了随机性,这可以帮助IDS编写器编写更严格的规则。一旦攻击者在SMB上建立了管理员会话,他们就可以通过SMB传输绑定DCERPC并通过服务管理器执行命令,防御cc攻击,这是一种名为PSExec的技术,最初由Mark Russinovich为SysInternals套件开发。MS17-010其他缓解措施当然,对MS17-010最合适的修复是对Windows应用必要的更新。在WannaCry之后,微软将修补程序后移植到Windows XP;然而,Windows 2000将永远处于易受攻击的状态。此外,还建议完全禁用SMBv1(一种旧协议)。大多数企业网络将继续使用SMBv2和SMBv3继续运行。未加入域的家庭用户和计算机应启用Windows防火墙完全阻止SMB端口。最后,系统管理员应检查以下组策略的设置,以限制匿名登录的权限:网络访问:限制对命名管道和共享的匿名访问网络访问:可以匿名访问的共享网络访问:可以匿名访问的命名管道网络访问:允许Everyone权限应用于匿名用户