返回 登录
0

如何通过Tenable SCCV快速查找受到”永恒之蓝”感染的主机

上个周末,大家的社交媒体软件都被勒索软件”永恒之蓝”的消息所淹没。
每个人都会问一个问题”在我的网络中那些主机已经被感染?”如果你是正在使用Tenable SecurityCenter ContinuousView 客户,有三种简易快速方法检查你网络的主机安全性。

1.追踪受到感染主机 – 检查DNS请求
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (WannaCry 1.0)
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com (WannaCry 2.0)

WannaCry有固定的DNS lookup请求, PVS组件可以记录所有网内的DNS请求,你可以用如下过滤方式过滤出相应的dns请求访问

Type = dns
Syslog Text = iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea
Timeframe = Last 7 Days
图片描述

应用这个过滤器后,改变view tools为 “Source IP Summary”.如果你能看到任何主机访问这个域名,说明它们已经沦陷,应立刻将这些主机断网。
图片描述
2.追踪受到感染主机 – 查询最近的malware活动

这个勒索软件传播相当迅速是因为一旦感染,感染主机将扫描网内所有机器的445端口的开放情况,然后传播勒索软件。通过 SecurityCetner Continuous view, 我们能查询任何对445端口的扫描,简单应用下列过滤器:

Destination Port = 445
Timeframe = Last 7 Days
图片描述

然后改变view到 “Source IP Summary” ,你将发现连接目的端口445的频次.在这个例子里面,我们需要检查为什么172.16.132.183会有700 connections to port 445 in last 7 days.

如果你希望寻找相关网段的活动情况,你也可以使用 “Source Address” 或 “Source Asset” 过滤器
图片描述

3.我是安全的,更新补丁和扫描

如果你的网络环境是干净的,最好的阻止勒索软件的方法是更新windows相关补丁,关闭SMBv1服务, 确认所有终端没有ms17-010漏洞。

另外利用Tenable 自带仪表盘,可以显示被 Shadow Brokers 黑客群公布的漏洞及黑客程序影响的主机。Tenbale的客户能透过更新自动获得最新的Shadow Broker 漏洞探测仪表板。此仪表盘同时可以显示网络内相关漏洞的修复进展情况。
图片描述

如果你还不是Tenable客户,联络Tenable本地技术人员寻求帮助或注册一个为期2个月的免费tenable.io云平台测试帐号(http://www.tenable.com/products/tenable-io/evaluate),帮助检查你的网络安全状况!

评论