windos xp为什么我没中永恒之蓝蓝怎么防御

来源:蜘蛛抓取(WebSpider) 时间:2017-05-18 11:04 标签: 为什么我没中永恒之蓝

为什么我没中永恒之蓝蓝漏洞刚絀来时我可以顺利搞定Windows 7,但在攻击Windows XP时我一直没有成功

为什么我没中永恒之蓝蓝漏洞刚出来时我可以顺利搞定Windows 7,但在攻击Windows XP时我一直没有荿功我尝试了各种补丁和Service Pack的组合,但利用程序要么无法成功要么会导致系统蓝屏。当时我没有深入研究因为FuzzBunch(NSA泄露工具集)还有待探索许多点。直到有一天我在互联网上找到了一个Windows XP节点,我想尝试一下FuzzBunch令人惊讶的是,在第一次尝试时漏洞利用竟然成功了。那么問题来了为什么在我的“实验”环境中,漏洞利用无法成功而实际环境中却可以?这里先揭晓答案:在单核/多核/PAE CPU上NT/HAL的实现有所区别洇此导致FuzzBunch的XP系统攻击载荷无法在单核环境中使用。 0x01 多条利用链大家需要知道一点EternalBlue(为什么我没中永恒之蓝蓝)有多个版本。网上已经有囚详细分析了Windows 7内核的利用原理我和JennaMagius以及sleepya_也研究过如何将其移植到Windows 10系统上。然而对于Windows XP而言FuzzBunch包含一个完全不同的利用链,不能使用完全相哃的基本原语(比如该系统中并不存在SMB2以及SrvNet.sys)我在DerbyCon 8.0演讲中深入讨论过这方面内容(参考演示文稿及演讲视频)。在Windows XP上KPCR(Kernel Processor Control 根源分析shellcode函数sub_547無法在单核CPU主机上正确找到hal!HalInitializeProcessor的地址,因此会强制终止整个载荷执行过程我们需要逆向分析shellcode函数,找到攻击载荷失败的确切原因这里内核shellcode中存在一个问题,没有考虑到Windows XP上所有可用的不同类型的NT内核可执行文件更具体一点,多核处理器版的NT程序(比如ntkrnlamp.exe)可以正常工作而單核版的(如ntoskrnl.exe)会出现问题。同样halmacpi.dll与halacpi.dll之间也存在类似情况。NT迷局sub_547所执行的第一个操作是获取NT程序所使用的HAL导入函数 攻击载荷首先会读取NT程序中0x1040偏移地址来查找HAL函数。在多核主机的Windows XP系统中读取这个偏移地址能达到预期效果,shellcode能正确找到hal!HalQueryRealTimeClock函数:然而在单核主机上程序中並没有HAL导入表,使用的是字符表:一开始我认为这应该是问题的根本原因但实际上这只是一个幌子,因为这里存在修正码(correction code)的问题shellcode會检查0x1040处的值是否是位于HAL范围内的一个地址。如果不满足条件则会将该值减去0xc40,然后以0x40增量值在HAL范围内开始搜索相关地址直到搜索地址再次到达0x1040为止。最终单核版载荷会找到一个HAL函数,即hal!HalCalibratePerformanceCounter:目前一切操作都没有问题可以看到Equation Group(方程式组织)在能够检测不同类型的XP NT程序。HAL可变字节表现在shellcode已经找到了HAL中的一个函数会尝试定位hal!HalInitializeProcessor。shellcode内置了一张表(位于0x5e7偏移处)表中包含1字节的长度字段,随后为预期的字節序列shellcode会递增最开始发现的HAL函数地址,将新函数的前0x20字节与表中字节进行对比我们可以在多核版的HAL中找到待定位的5字节数据:

nSA为什么我没中永恒之蓝蓝是什么怎么防范为什么我没中永恒之蓝蓝勒索病毒?

近期勒索病毒爆发,相信我们都有听说不过许多朋友对于NsA为什么我没中永恒之蓝蓝是什么还不是很清楚,而国内多所院校出现远程漏洞攻击感染勒索病毒情况磁盘文件会被病毒加密为.onion后缀,索要300个比特币才能解锁电脑文件形成大量师生资料丢失,那么这个为什么我没中永恒之蓝蓝病毒是什么为什么会出现,要怎么防范为什么我没中永恒之蓝蓝勒索病蝳带着这些故障大家一起来看看下面的文章。

5月12日起全球范围内爆发基于windows网络共享协议进行攻击传播的蠕虫恶意代码,这是否法分子通过改造之前泄露的NsA黑客武器库中“为什么我没中永恒之蓝蓝”攻击程序发起的网络攻击事件网友只要开机上网就可被攻击。五个小时內包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件对重要数据形成严重损失。

最可怕的是这是否法分子利用NsA黑客武器库泄漏的“为什么我没中永恒之蓝蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的windows机器没有需网友一点操作,只要开机上网不法分子就能在电脑和服务器中植入勒索軟件、远程控制木马、虚拟货币挖矿机等恶意程序。

为何这个病毒如此迅猛到底什么来头?那么事情就要追溯到2016年8月一个名为 “shadow Brokers(影孓经纪人)” 的黑客组织号称入侵另一个黑客组织“Equation(方程式)”,并且窃取了大量机密文件那么这个方程式又是什么来头,为何值得叧一个黑客组织大费周章去入侵呢原来方程式黑客组织具有国家背景,据称是 NsA(美国国家安全局)下属的黑客组织对于windows系统漏洞有着罙入的研究。

影子经纪人将其中部分神器级0day漏洞黑客工具公开开放下载至此互联网的噩梦才刚刚开始。同时自己还保留了部分漏洞工具以公开拍卖的形式出售, 预期的价格是100万比特币(可怕的100亿人民币)

泄露的漏洞攻击文件包含多个windows漏洞的利用工具,只要windows服务器开了135、445、3389端口中的一个那么就会“中招” 。本次病毒很大概主要利用了其中的ETERNALBLUE(为什么我没中永恒之蓝蓝)攻击工具感染病毒的电脑,磁盘文件会被病毒加密为.onion后缀只有支付高额赎金才能解密恢复文件,对个人数据形成严重损失(小编画外音:赎金高达320万人民币啊,交了钱嘟不一定给你恢复啊)

按照微软3月14日公布的漏洞详情:“当 Microsoft 服务器消息块 1.0 (sMBv1) 服务器解决某些请求时存在多个远程执行代码漏洞。成功利用這些漏洞的攻击者可以获得在目标系统上执行代码的能力为了利用此漏洞,在多数情况下未经身份验证的攻击者大概向目标 sMBv1 服务器发送经特殊设计的数据包”。同时微软已经发出补丁Ms17-010

为什么中招的大部分都是校园网网友?由于早前已经有过几波利用445端口的大范围病毒攻击大部分网络运营商都选中禁用该端口来防止病毒感染,而大学所使用的教育网不在此列而且服务器安全维护工作落后,导致此次夶量学生感染勒索病毒

2、为计算机安装最新的安全补丁,微软已发布补丁Ms17-010修复了“为什么我没中永恒之蓝蓝”攻击的系统漏洞请尽快咹装此安全补丁。微软补丁Ms17-010  Ms17-010补丁下载

3、对于windows XP、2003等微软已不再提供安全更新的机器可使用360“NsA武器库免疫工具”检查系统是不存在漏洞,并關闭受到漏洞影响的端口可以避免遭到勒索软件等病毒的侵害。360“NsA武器库免疫工具”先拔网线再开机确认360运转正常,office正常

4、尽快(紟后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘

我要回帖

更多关于 为什么我没中永恒之蓝 的文章

 

随机推荐