nsa黑客永恒之蓝(nsa 永恒之蓝)

hacker3年前关于黑客接单103
本文导读目录:

NSA黑客武器库泄漏的“永恒之蓝”是什么?

“永恒之蓝”蠕虫病毒。其发送恶意代码至用户的计算机会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

什么叫电脑永恒之蓝病毒

WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自熊猫烧香以来影响力更大的病毒之一。WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。

永恒之蓝属于栈溢出漏洞么?

2017年, *** 安全界充斥着有关声名狼藉的WannaCry勒索软件攻击的新闻。这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局(NSA)漏洞后不久开始的。利用全球范围内未打补丁的系统,使用名为“ EternalBlue”的漏洞的WannaCry攻击遍及150个国家。自2016年以来,臭名昭著的Shadow Brokers黑客组织一直活跃,并负责泄漏一些NSA漏洞,零时差和黑客工具。根据Wikipedia的报道,影子经纪人组织迄今已报告了五次泄漏。第五次泄漏发生在2017年4月14日,被证明是更具破坏性的。当天,Microsoft发布了一篇博客文章,概述了可用的补丁程序,这些补丁程序已解决了Shadow Brokers泄露的漏洞。漏洞发生前一个月(2017年3月14日),Microsoft已发布安全公告MS17-010,该公告解决了一些未修补的漏洞,包括“ EternalBlue”漏洞所利用的漏洞。但是,许多用户未应用该补丁,并且在2017年5月12日遭到了历史上更大的勒索软件攻击– WannaCry攻击。WannaCry成功感染了150多个国家的23万多台计算机后,引起了全球关注。这次袭击的主要受害者是全球知名的组织,包括医院和电信,天然气,电力和其他公用事业提供商。WannaCry爆发后不久,发生了其他严重的攻击,这些攻击也被发现使用了EternalBlue以及来自同一NSA泄漏的其他漏洞利用和黑客工具。

Shadow Brokers Group

Shadow Brokers组织以NSA泄漏而闻名,其中包含漏洞利用,零时差和黑客工具。该小组的之一个已知泄漏发生在2016年8月。在最近一次泄漏之后,Shadow Brokers组改变了其业务模式并开始进行付费订阅。在该组织造成的所有公开泄漏中,第五次泄漏-包括许多 *** 攻击中使用的EternalBlue漏洞-创造了历史。

EternalBlue(永恒之蓝)据称是方程式组织在其漏洞利用框架中一个针对 *** B服务进行攻击的模块,由于其涉及漏洞的影响广泛性及利用稳定性,在被公开以后为破坏性巨大的勒索蠕虫WannaCry所用而名噪一时。

测试环境

对于EternalBlue的分析是在一个相对简单的环境中进行的,使用Win7 32位系统进行调试,当然得没有安装EternalBlue相关的补丁,srv.sys文件的版本为6.1.7601.17514,srvnet.sys的版本为 6.1.7601.17514。

漏洞分析

EternalBlue利用Windows *** B中的一个远程执行代码漏洞。它利用了三个与 *** B相关的漏洞以及一个ASLR绕过技术。它使用前两个漏洞来执行内核NonPagedPool缓冲区溢出,并使用第三个漏洞来设置内核池修饰,以协调另一个已知内核结构上的缓冲区覆盖。此溢出以及ASLR旁路有助于将Shellcode放置在预定义的可执行地址上。这使攻击者可以在易受攻击的受害者的计算机上启动远程代码执行。

EternalBlue通过在多个TCP连接上发送精心 *** 的 *** B数据包来利用受害计算机的易受攻击的 *** B。在之一个TCP连接中,它通过IPC $共享上的匿名登录打开一个空会话。如果受害者计算机的响应为STATUS_SUCCESS,则漏洞利用程序通过发送 *** B NT Trans请求(其“ TotalDataCount” DWORD字段设置为66512)来开始其操作。NTTrans对应于 *** B_COM_NT_TRANSACT事务子协议,并且是六种事务类型之一可用的子协议。

总结来说,EternalBlue达到其攻击目的事实上利用了3个独立的漏洞:之一个也就是CVE-2017-0144被用于引发越界内存写;第二个漏洞则用于绕过内存写的长度限制;第三个漏洞被用于攻击数据的内存布局。

漏洞1(CVE-2017-0144)

入口处理函数为SrvSmbOpen2,其中漏洞出现在函数SrvOs2FeaListToNt中,用IDA打开srv.sys进行分析:

如下所示为对应的漏洞函数SrvOs2FeaListToNt,当最后一个Trans2请求数据包中接收到整个结构,NtFea转换就会在srv!SrvOs2FeaListToNt函数中进行。SrvOs2FeaListToNt调用srv!SrvOs2FeaListSizeToNt来解析每个结构并计算新结构所需的总大小。它不会验证源列表的内容,但会检查每个FEA结构以确保其长度不超出最初在SizeOfListInBytes字段中定义的长度范围。

再来详细看看srv!SrvOs2FeaListSizeToNt函数,该函数会计算对应的FEA LIST的长度并随后对长度进行更新,该长度一开始为DWORD类型的,之后的长度更新代码中计算出的size拷贝回去的时候是按WORD进行的拷贝,此时只要原变量a中的初始值大于0xFFFF,即为0x10000+,该函数的计算结果就会增大。

永恒之蓝是怎么从nsa流出的呢

根据 *** 安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。在此提醒广大计算机用户:1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于windowsXP、2003等微软已不再提供安全更新的机器,可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:/nsa/nsatool.exe。2、关闭445、135、137、138、139端口,关闭 *** 共享。3、强化 *** 安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开……4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。5、建议仍在使用windowsxp,windows2003操作系统的用户尽快升级到window7/windows10,或windows2008/2012/2016操作系统。

如何看待本次NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件

备份完后脱机保存该磁盘,不法分子就能在电脑和服务器中植入勒索,可以避免遭到勒索等病毒的侵害。

1、虚拟货币挖矿机等恶意程序。

2,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件,关闭 *** 共享、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、135最近的黑客 *** 攻击攻击病毒、强化 *** 安全意识,不明文件不要、139端口。

3、2003等微软已不再提供安全更新的机器,可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,请尽快安装此安全补丁,根据 *** 安全通报,只要开机上网,并关闭受到漏洞影响的端口,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,无需用户任何操作、为计算机安装最新的安全补丁、远程控制木马。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,不明不要打开……

4、关闭445、138、U盘、137:不明链接不要点击;对于windows

XP

相关文章

河蟹怎么做好吃?大厨教你酒店最正宗的做法,

河蟹怎么做好吃?大厨教你酒店最正宗的做法,

  中秋吃螃蟹,这种蟹千万不能吃!现在知道还不晚,赶快告诉家人。螃蟹一定要吃新鲜活的,千万不要贪图便宜买死蟹,海鲜吃不新鲜的会拉肚子甚至会去医院。 9月对靠海的人们来说是开心的,因为是开海的月...

游戏化x会员体系:Duolingo如何用人性打造会员体系

游戏化x会员体系:Duolingo如何用人性打造会员体系

编辑导语:游戏化是将游戏的机制运用到非游戏勾当中,进而改变人的固有行为模式;当用在某种产物里的时候,会让用户主动参加个中,留存率和粘性变高;本文作者分享了关于多邻国的游戏化和会员体系,我们一起来看一下...

邯郸装修选什么地板好(木地板哪个品牌最好)

邯郸装修选什么地板好(木地板哪个品牌最好)

我想装修过的业主对地面木地板的选择多多少少会有些了解吧,大自然木地板大家应该都有了解过吧,也是一家知名的品牌,今天邯郸装修网就来说一下木地板哪个品牌最好,给大家介绍一些比较放心的木地板品牌。 木...

全心爱你手游第四关怎么过 全心爱你手游第四关攻略

全心爱你手游第四关怎么过 全心爱你手游第四关攻略

全心爱你手游是一款恋爱解谜游戏,游戏还蛮有意思的,游戏中有很多关卡,有的关卡比较难,新萌玩家不知道怎么过,这里说下全心爱你的第四关吧,第四关怎么过呢?很多玩家都不是很清楚,不知道怎么顺利通过第四关,所...

租用阿里云服务器一年多少钱(阿里云收费价格

租用阿里云服务器一年多少钱(阿里云收费价格

一般云服务器 ECS 经常能看到两种计费方式:包年包月、按量收费。不同云服务商对其规定标准不同,比如: 腾讯云服务器 服务器租用费用在用户的选购页面和订单页面均有展示,用户可自行选择具体服务类型并...

最好的山地车品牌(性价比最好的山地车)

最好的山地车品牌(性价比最好的山地车) 猿巨人(我国)有限责任公司于1972年在中国台湾创立,是世界著名的自行车品牌,是猿巨人机械工程有限责任公司属下的全世界领跑的单车产供销企业   猿巨人是中国...