关于江雪:
江雪分析(JXCIIT)成立于2015年,是一支非盈利性质的计算机端口安全研究团队兼网络安全团队。目前主要涉及在web安全、端口安全等领域。
名称由来:千山鸟飞绝,万径人踪灭。孤舟蓑笠翁。独钓寒江雪。——《江雪(唐 柳宗元)》
FLINCG:风岭长歌,水深而浅层,望而之参宿,置棋外也。
江雪理念:上善若水,水利万物而不争,处众人之所恶,故几于道。居,善地;心,善渊;与,善仁;言,善信;政,善治;事,善能;动,善时。夫唯不争,故无尤。————老子《道德经》
江雪分析:从勒索病毒里面感受到的一些想法
为什么要重视端口?
2017年,勒索病毒疯狂传播。据“火绒威胁情报系统”监测和和评估,从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击, 攻击次数高达1700万余次,且整体呈上升趋势。
截止发稿前,Nemty病毒发生变异,该病毒通过邮件的形式来传播,只要你点击按钮,则会自动下载到本地 来运行。
而勒索家族里的其他成员则通过“端口”来传播,就是只要你下载了,如果是通过邮件或其他方式下载 运行本地的,则都将你一为中心向内网传播,造成更大的损害及数据丢失。图如下:
.png)
如果你是公司的内部网,那你就牛皮了,我敬你是条汉子!图如下:
.png)
以下的是常见的病毒传播手法,本次仅讨论端口+邮件的哈
.png)
首先,故事的主人公是小陈,小陈在某一天呢,在公司内网一台计算机当中,打开了一则名为“xxx的邮件” 小陈非常好奇,于是单击了这一个按钮,经过了一系列的操作,终于弹出了一个消息框“Your data has been e ncrypted, please pay 100 bitcoins to our bitcoin address within 7 days, or your data file will be deleted forever.”
此时小陈沉思了许久,最终喊出了一句话:”WDNMMPD“
过程
.png)
思考
在实际上,不仅仅只有病毒会使用端口进行内网传播,就比如前前前天的那个CVE_2019_0708和很多前者一样,都是需要端口的,如果把端口关了,则不会发生类似事件,就不会让攻击者或不法分子得逞。
题外话
目前,我们团队有一个关于端口防护程序的想法,就是如果有程序使用端口时,防护程序识别出此程序使用的端口,如果端口较高,可自动ban掉这个程序(当然可自己选择),如果想不对该程序进行拦截,可自行设置白名单和黑名单。
这个想法呢,可能我们会很长时间来实现,如果你对这个想法感兴趣,欢迎在联系我们那里扫描我的二维码私聊我鸭~
0daybank
文章评论