预测第二波WannaCry勒索病毒攻击即将到来!
关于永恒之蓝(MS17-010)漏洞
如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。
使用方法
-h 192.168.4.4
-n 192.168.4.0/24
继续呈高危感染态势,虽然WannaCry蠕虫传播被临时“制止”了,但这只能阻止其通过网络继续感染传播,并不能防止本机中毒被加密勒索。而且,从当前情况来看,我国还在处于感染传播严重阶段,从malwaretech动态图分析,我国华东多个地区内还继续有WannaCry感染情况。
升级版的WannaCry2.0将会继续发起攻击,这还没完,攻击者可能还会发起第二波WannaCry攻击,新一波的变异WannaCry程序将不会内置“紧急开关”(kill switch)了,到时这种WannaCry升级版的传播感染态势将不可预计。尽快利用这段时间及时处理修复阻止。
作为攻击者来说,只需要使用十六进制编辑器简单更新一下程序,删除那个所谓的紧急开关或进行其它的功能更新,这就是一个升级版的WannaCry2.0,所以,下一波攻击将难以避免。在未来几周或数月内,我们将会看到不同的WannaCry变体传播。WannaCry不仅仅可以当成蠕虫病毒,它还可以被其它恶意软件利用,或搭载漏洞利用Payload发起多种形式的攻击。
漏洞名称:
Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)
包含如下CVE:
CVE-2017-0143 严重 远程命令执行
CVE-2017-0144 严重 远程命令执行
CVE-2017-0145 严重 远程命令执行
CVE-2017-0146 严重 远程命令执行
CVE-2017-0147 重要 信息泄露
CVE-2017-0148 严重 远程命令执行
漏洞描述
SMBv1 server是其中的一个服务器协议组件。
Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。
远程攻击者可借助特制的数据包利用该漏洞执行任意代码。
以下版本受到影响:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016。
