原标题:想要快点找到电脑是否有WannaCry相关漏洞,请看这里!
图片来源:趋势科技
对应日前WannaCry勒索软体的横行与威胁,已有不少资安厂商也提供建议与相关资讯供参考。而为了快速地找到公司内未修补MS17-010的电脑,我们看到有资讯人员提供,利用Nmap网路扫描与探测工具,自发性地製作一个检测範本script(smb-vuln-ms17-010.nse),以协助网管人员来检测。
这种方式对于企业网管人员而言应有一定的帮助,可以一次大量检查内部网路多台电脑的状态,而检查200台电脑大约也只要10秒钟。
步骤上也不算太複杂:一、到nmap.org?下载 nmap.exe (有windows版)并安装,二、将smb-vuln-ms17-010.nse丢到nmap\script目录下(相关smb-vuln-ms17-010.nse範本,请参考最下方内容),三、键入:nmap -p 445 --script smb-vuln-ms17-010 ip-range
此外,为简化了个人使用者的预防工作,防毒大厂趋势科技现在也免费推出了的WannaCry漏洞检查工具(Trend Micro WCRY Simple Patch Validation Tool)。点击前往官方连结
趋势表示,此工具可以帮个人使用者在windows电脑上执行以下两项工作,首先是检查电脑上是否存在MS17-010的漏洞,另外就是检查电脑上的SMB v1是否关闭,如呈现开启,亦可协助用户停用SMB v1。若是企业用户,最好先与IT管理人员确认,公司电脑是否须利用此工具关闭SMBv1(像是有可能导致公司电脑遇到无法使用列印功能的情形)。
同时他们表示,近日又侦测到另一新勒索蠕虫变种「UIWIX」,同样也是利用Server Message Block(SMB)漏洞EternalBlue(亦被称为CVE-2017-0144和MS17-10)以执行扩散行为,甚至他们认为比WannaCry更加狡猾且不留痕迹,提醒使用者不该就此鬆懈。
在执行Trend Micro WCRY Simple Patch Validation Tool后,若电脑已完成MS17-010相关更新,会出现以上讯息,让使用者快速知道这台电脑,已经完成WannaCry必装的Windows安全更新套件。
另外,该程式若发现电脑上的SMB v1呈现开启,也将会询问用户是否要停用SMB v1。
?
使用Nmap针对WannaCry检测的Scripts範本
企业网管人员可将下方纯文字内容存成smb-vuln-ms17-010.nse档,有能力的人亦可参考Github上的文件自行修正
local smb = require "smb"local vulns = require "vulns"local stdnse = require "stdnse"local string = require "string"description = -- @usage nmap -p445 --script smb-vuln-ms2017-010 target -- @usage nmap -p445 --script vuln target -- @output-- Host script results:-- | smb-vuln-ms17-010: -- | VULNERABLE:-- | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)-- | State: VULNERABLE-- | IDs: CVE:CVE-2017-0143-- | Risk factor: HIGH-- | A critical remote code execution vulnerability exists in Microsoft SMBv1-- | servers (ms17-010).-- | -- | Disclosure date: 2017-03-14-- | References:-- | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143-- | https://technet.microsoft.com/en-us/library/security/ms17-010.aspx-- |_ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/-- @xmloutput-- table key="CVE-2017-0143" -- elem key="title" Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) /elem -- elem key="state" VULNERABLE /elem -- table key="ids" -- elem CVE:CVE-2017-0143 /elem -- /table -- table key="description" -- elem A critical remote code execution vulnerability exists in Microsoft SMBv1 #xa; servers (ms17-010). #xa; /elem -- /table -- table key="dates" -- table key="disclosure" -- elem key="month" 03 /elem -- elem key="year" 2017 /elem -- elem key="day" 14 /elem -- /table -- /table -- elem key="disclosure" 2017-03-14 /elem -- table key="refs" -- elem https://technet.microsoft.com/en-us/library/security/ms17-010.aspx /elem -- elem https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 /elem -- elem https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ /elem -- /table -- /table author = "Paulino Calderon paulino()calderonpale.com "license = "Same as Nmap--See https://nmap.org/book/man-legal.html"categories = {"vuln", "safe"}hostrule = function(host) return smb.get_port(host) ~= nillocal function check_ms17010(host, port, sharename) local status, smbstate = smb.start_ex(host, true, true, sharename, nil, nil, nil) if not status then stdnse.debug1("Could not connect to '%s'", sharename) return false, string.format("Could not connect to '%s'", sharename) else local overrides = {} local smb_header, smb_params, smb_cmd stdnse.debug1("Connected to share '%s'", sharename) overrides['parameters_length'] = 0x10 --SMB_COM_TRANSACTION opcode is 0x25 smb_header = smb.smb_encode_header(smbstate, 0x25, overrides) smb_params = string.pack(" I2 I2 I2 I2 B B I2 I4 I2 I2 I2 I2 I2 B B I2 I2 I2 I2 I2 I2", 0x0, -- Total Parameter count (2 bytes) 0x0, -- Total Data count (2 bytes) 0xFFFF, -- Max Parameter count (2 bytes) 0xFFFF, -- Max Data count (2 bytes) 0x0, -- Max setup Count (1 byte) 0x0, -- Reserved (1 byte) 0x0, --Flags (2 bytes) 0x0, --Timeout (4 bytes) 0x0, --Reserved (2 bytes) 0x0, --ParameterCount (2 bytes) 0x4a00, --ParameterOffset (2 bytes) 0x0, --DataCount (2 bytes) 0x4a00, -- DataOffset (2 bytes) 0x02, -- SetupCount (1 byte) 0x0, -- Reserved (1 byte) 0x2300, -- PeekNamedPipe opcode 0x0, -- 0x0700, --BCC (Length of "\PIPE\") 0x5c50, --\P 0x4950, --IP 0x455c --E\ stdnse.debug2("SMB: Sending SMB_COM_TRANSACTION") result, err = smb.smb_send(smbstate, smb_header, smb_params, '', overrides) if(result == false) then stdnse.debug1("There was an error in the SMB_COM_TRANSACTION request") return false, err result, smb_header, _, _ = smb.smb_read(smbstate) _ , smb_cmd, err = string.unpack(" c4 B I4", smb_header) if smb_cmd == 37 then -- SMB command for Trans is 0x25 stdnse.debug1("Valid SMB_COM_TRANSACTION response received") --STATUS_INSUFF_SERVER_RESOURCES indicate that the machine is not patched if err == 0xc0000205 then stdnse.debug1("STATUS_INSUFF_SERVER_RESOURCES response received") return true else stdnse.debug1("Received invalid command id.") return false, erraction = function(host,port) local vuln_status, err local vuln = { title = "Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)", IDS = {CVE = 'CVE-2017-0143'}, risk_factor = "HIGH", description = , references = { 'https://technet.microsoft.com/en-us/library/security/ms17-010.aspx', 'https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/' dates = { disclosure = {year = '2017', month = '03', day = '14'}, local sharename = stdnse.get_script_args(SCRIPT_NAME .. ".sharename") or "IPC$" local report = vulns.Report:new(SCRIPT_NAME, host, port) vuln.state = vulns.STATE.NOT_VULN vuln_status, err = check_ms17010(host, port, sharename) if vuln_status then stdnse.debug1("This host is missing the patch for ms17-010!") vuln.state = vulns.STATE.VULN else if nmap.verbosity() =1 then return err return report:make_output(vuln)end
相关:
邮寄贵重东西,很多市民都会保价。几天前,长春市民杨先生通过百世快递寄电脑,保价4000元,货物却损坏了,快递网点只同意赔付1000元。“对方说什么保丢不保坏,那交的这保价费有什么用?”杨先生说。事由:保价寄电
最近,很多人的电脑都被一种叫做“wannacry”的病毒控制了,这种叫做“wannacry”的电脑病毒一夜之间席卷全球,对个人电脑进行“勒索”。谈到电脑病毒,就不得不提到“黑客”,那么在全球哪个国家的黑客最厉害呢?哪
示意图,与新闻事件无关。 如果你刚好是Windows XP用户,又不小心中了想哭(WannaCry)勒赎病毒,现在可能有救了。法国厂商Quarkslab周四释出针对XP版本的WannaCry解密程式Wannakey,让你不用支付300到600美元就能
图片来源: DefenseCode 来自DefenseCode的资安工程师Stankovic本周披露,结合微软Windows及Chrome的安全漏洞将允许骇客窃取Windows用户的凭证。这两个漏洞皆与Windows及Chrome浏览器处理SCF档案的方式有关。SCF为介壳
NSA被窃骇客工具不只引发WannaCry,还被用来攻击数十万电脑遥控挖矿
图片来源: Proofpoint NSA被窃骇客工具后患无穷。骇客团体影子掮客公布NSA发展的骇客工具被用作勒赎软体WannaCry发动全球攻击,不过周一安全公司Proofpoint指出,同样的工具其实早在前几周,就被用来感染更多电脑,以