您现在所在位置:主页 > 网络安全资讯 >

ddos高防ip_高防ip免费体验_优惠券

更新时间:2021-07-22

ddos高防ip_高防ip免费体验_优惠券

WannaCry勒索软件活动只是针对核心网络协议漏洞攻击的最新一轮恶意软件。你需要用先进的威胁检测来保护你的网络。勒索软件通过对服务器消息块(SMB)协议主机的缓冲区溢出攻击(称为"EternalBlue")传播到未修补的Windows系统(请参阅Microsoft安全公告MS17-010–Critical)。任何运行SMB版本1的未修补的Windows环境都可能容易受到此攻击。幸运的是,从我们对WannaCry漏洞的分析来看,使用logrythymnetmon使用简单的查询规则很容易检测到SMB dropper流量。请注意,这里描述的规则是基于对恶意软件的额外分析的改进。我们知道的是:WannaCry通过SMB协议进行传播,并强制仅使用版本1(SMBv1)。我们知道WannaCry/EternalBlue攻击使用的缓冲区溢出漏洞很可能超出了单个SMB命令。这意味着SMB通信将需要不止一个UDP包,腾讯云cdn能防御ddos么,并且需要SMB命令字符串中的辅助事务命令"transaction2_secondary"。有关此协议命令的详细信息,请参阅MSDN SMB_COM_TRANSACTION2和MSDN SMB_COM_TRANSACTION2_SECONDARY。从各种网络上的测试来看,SMBv1和辅助事务的组合在技术上是有效的,但似乎很少。SMBv1被认为是协议的遗留版本,尽管它仍在少数应用程序中使用。这种组合还要求SMB命令对于单个SMB消息来说太长。因为大多数SMB命令很容易放在一条消息中,免费ddos防御系统,这使得SMBv1和transaction2_辅助命令的这种组合被视为EternalBlue的一个简单的区分指示符。误报的几率取决于您对SMB的内部使用情况。如果您确实看到SMBv1使用"transaction2_secondary"命令,并且可以确认它不是恶意流量,那么筛选出内部"良好端点"应该相当容易。另外,我们知道当前的WannaCry变体在dropper中使用两个硬编码的静态IP地址。这些IP中的每一个都将在SMB命令中显示为路径。WannaCry攻击发出第一个SMB命令,路径为\192.168.56.20\IPC$。如果第一个命令成功,则发送第二个SMB命令,其中transaction2_secondary CommandString和路径为\172.16.99.5\IPC$查询规则1:SMBv1和"transaction2\u secondary"的常规检查让我们看一些示例查询,这些查询可以帮助您确定您是否遇到了WannaCry威胁。EternalBlue和WannaCry通过SMBv1利用缓冲区溢出攻击。要捕获成功的攻击,请查找SMBv1和"transaction2\u secondary"命令。综合起来,您将拥有一个不会生成假阴性的规则。如果您使用的是依赖于SMBv1的旧软件,它可能会生成误报,而SMBv1也恰好使用了需要transaction2\u secondary的大型命令。这在现代系统中应该是极为罕见的。以下是您需要做的:转到任何NetMon仪表板。(请在此处下载NetMon Freemium。)查找长SMB命令,ddos最佳防御点,在查询栏中键入以下内容:美联社应用:SMB和版本:1和通信andString:transaction2_辅助在干净的网络中,您应该看到"找不到结果"扩展时间范围,查看过去几天和几周来确认。如果您仍然看不到任何匹配的流量,您可以保存该规则,并对捕获成功的WannaCry攻击或更一般的"EternalBlue"攻击向量有高度的信心。如果您看到匹配的流量:可能是WannaCry/EternalBlue勒索软件。它可能是有效的SMB流量。要区分流量,请检查源和目标,并排除网络中的正常操作。查询规则2:特定WannaCry IP地址对于WannaCry的当前版本,您可以使用另一个查询来查看SMB流量的"Path"元数据字段。此查询是针对截至2017年5月15日的野生动物。这种恶意软件的未来变种可能使用不同的IP地址。在任何NetMon仪表板中,输入以下查询:美联社应用:SMB和版本:1和(路径:192.168.56.20或路径:172.16.99.5)实际路径元数据将是\192.168.56.20\IPC$或\172.16.99.5\IPC$。图1:路径元数据(单击图像以查看更大的内容)如果你看到任何类似于上述的交通,那么你几乎可以肯定地看到WannaCry的交通。第一个SMB会话将有192个路径。成功后,第二个SMB会话将具有172路径和transaction2\u辅助命令字符串。根据恶意软件试图传播的速度,游戏ddos防御盾,百度云cc防御,可能会发生其他SMB会话。使用NetMon检测流量的其他方法也是可能的,但它们需要使用DPA规则进行更深入的包级别分析。使用NetMon检测WannaCry漏洞你怎么能检测到恶意攻击?你需要LogRhym NetMon的力量。LogRhym NetMon为您提供网络流量的可见性,以及您的团队监控组织网络所需的安全分析。NetMon使用应用程序识别、可定制的深度数据包分析、多维网络流量和行为分析帮助您实时发现最高级的威胁。要了解有关NetMon的更多信息,请查看我们的用例,了解如何快速识别和响应漏洞(如WannaCry),并学习如何开发一个试图隐藏恶意的协议误用活动。致谢特别感谢这些LogRhym实验室的员工,感谢他们持续不断地分析和报告WannaCry和其他影响LogRhy客户的威胁:Ryan Sommers、Andrew Costis、Brian Coulson、Erika Noerenberg、Kim Raburn、Matt Willems和Nathaniel Quist。LinkedIn Twitter Facebook Reddit电子邮件

上一篇:海外高防_高防油_零误杀

下一篇:没有了