此文為科普性質(zhì)患久,其中對一些漏洞和機制的描述并不十分準(zhǔn)確浑槽,歡迎留言討論墙杯。
五月初全球爆發(fā)的勒索軟件事件實在讓人記憶猶新,很多莫名其妙的詞匯突然出現(xiàn)在大眾眼中高镐,令人目不暇接畸冲。那么,這到底是怎么回事呢算行?希望下面這幾個小問答能幫到你州邢。
1. 什么是永恒之藍褪子?
這是一個黑客攻擊工具包里面的一個模塊,英文是Eternalblue呀枢,這個工具包在2017年4月中被影子經(jīng)紀人(Shadow Brokers)公布裙秋。永恒之藍利用了Windows系統(tǒng)中(除Win10外)的SMB漏洞對系統(tǒng)進行內(nèi)存溢出(越權(quán)改寫),一旦中招进宝,你的電腦就會變成黑客的“肉雞”党晋,任人魚肉活尊。
2. 這個工具包具體是個什么東東?
這個黑客工具包非常強大深胳,下載解壓后大概有幾百兆舞终,一共有23個工具敛劝,有12個是針對Windows系統(tǒng)的纷宇。影子經(jīng)紀人從方程式組織(Equation Group)中竊取到這個文件像捶,它被認為是美國NSA黑客團隊使用的工具,而且壓縮包里的log文件顯示NSA曾入侵中東SWIFT銀行系統(tǒng)释簿。
3. 那么445端口跟上面這些東西有什么關(guān)系庶溶?
445端口是在局域網(wǎng)中共享文件夾偏螺、共享打印機的服務(wù)端口。這里需要結(jié)合SMB漏洞舉一個或許不太恰當(dāng)?shù)谋扔鳎喝绻f你的電腦是一座小房子隘擎,445端口相當(dāng)于一個煙囪,SMB相當(dāng)于壁爐采幌,本來嘛休傍,你只會從壁爐外面丟可靠的柴火進去,可是這次黑客就從煙囪那丟了些催淚彈人柿,燃燒彈這些東西進去凫岖,那可不就糟了嗎哥放!
4. WannaCry又是什么甥雕?
還是繼續(xù)用上面的房子比喻社露,這就是黑客從你煙囪那丟下來的殺傷性武器峭弟。把你系統(tǒng)里面的東西加密孟害,然后用密碼索要贖金挨务。這東西全稱是WannaCrypt0r 2.0谎柄,再多的信息也沒找到了朝巫,加密勒索軟件的機理大家都知道拙吉,不細說啦筷黔。
5. 能不能介紹一下SMB漏洞?
這個漏洞1997年就被發(fā)現(xiàn)了仗颈,這么多年來一脈相承佛舱,基本也沒對它做過很大的修整。這個漏洞剛被發(fā)現(xiàn)的時候挨决,并沒有引起很大的重視请祖,因為SMB其實是用于文件傳輸?shù)囊粋€模塊脖祈,一般來說肆捕,用戶沒有文件傳輸需求(換句話說福压,就是用戶沒有主動去下載文件)的時候,這個漏洞很難被利用胆筒。但是技術(shù)發(fā)展啊,發(fā)展得飛快啊彤蔽,當(dāng)SMB被用于更多的場景的時候镊辕,問題就來了蚁袭。比如說征懈,你的excel文檔里面有幾個網(wǎng)址鏈接,本來它是文本形式的揩悄,可是office會幫你渲染成一個超鏈卖哎,這時候SMB就啟動了删性;或者說镇匀,你開了微信和QQ跟人聊天照藻,別人給你發(fā)了一張圖袜啃,聊天軟件就會幫你導(dǎo)入啊汗侵,這時候SMB又啟動了,這些場景里用戶都沒有主動去干什么呀群发,只是在進行別的活動的過程中被動啟用了SMB晰韵,就中招了。這次的永恒之藍熟妓,連用戶進行什么“別的活動”都不需要雪猪,只要你開著Windows(Win10以下),只要你的電腦是聯(lián)網(wǎng)的起愈,只要你的445端口開著只恨,你就中招,可不可怕瞳购?
6. 微軟提供的修復(fù)補丁效果如何玻褪?真的修復(fù)了漏洞嗎刻肄?
唉,實話說休涤,并沒有哎。我在第一點的時候?qū)懙秸f這本質(zhì)是個內(nèi)存溢出笛辟,現(xiàn)在的補丁就是在溢出之前加了一個過濾條件功氨,并沒有在實際上制止溢出。Win10倒是實現(xiàn)了手幢,那部分系統(tǒng)內(nèi)存不能被溢出改寫捷凄,所以說Win10系統(tǒng)開了445端口也不怕(暫時)。
7. 用戶能做什么围来?
為保安全跺涤,關(guān)閉445端口踱阿!關(guān)閉445端口!關(guān)閉445端口钦铁!還是上面的例子软舌,你把煙囪封起來了,敵人就不能從煙囪里丟炸彈了牛曹》鸬悖可是……除了煙囪,還有窗啊黎比,門啊這些可以被丟炸彈的地方啊超营,所以還是要勤補丁,平時多了解一下怎么保護自己的電腦阅虫。
8.最后制止了病毒擴散的Kill-switch是什么演闭?
現(xiàn)在黑客植入病毒,其實都是通過控制用戶電腦后讓電腦自己去下載的颓帝,有人在反編譯這次的病毒的時候發(fā)現(xiàn)了一串網(wǎng)址(就是病毒源啦)米碰,發(fā)現(xiàn)其中有一個域名是空域名,并沒有被注冊购城。于是他就趕緊去注冊了這個域名吕座,這樣有什么用處呢?
實際上瘪板,在病毒軟件里插一個無效域名的檢查是用來防止安全專家對病毒進行編譯分析的吴趴,因為專家在取得病毒樣本后,會把它放在sandbox環(huán)境里運行侮攀,這個環(huán)境會給病毒模擬一個對病毒來說“什么都可以”的狀態(tài)锣枝。所以在這樣的環(huán)境中病毒請求一個不存在的網(wǎng)址的話,sandbox照樣會給出回應(yīng)兰英。這樣的不存在的網(wǎng)址檢測其實就是為了讓病毒確認是不是處在安全環(huán)境中撇叁。這次這個空域名被注冊了,實際上就是欺騙了病毒箭昵,讓它把真的現(xiàn)實環(huán)境當(dāng)成了sandbox環(huán)境税朴,為了避免被分析,它的所有功能就停止了家制。
