Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

作者piligo (霹靂狗)

看板AntiVirus

標題Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

時間Sat May 13 07:36:37 2017

針對網路途徑中獎疑問(不含內戰) 請問這次中獎的大家都有裝分享器嗎有的話我是想了解攻擊者如何繞過分享器難道跟這篇有關？【情報】華碩 40 餘種路由器產品被發現五個嚴重漏洞 https://forum.gamer.com.tw/C.php?bsn=60030&snA=461733 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.170.239 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494632200.A.CAF.html

推 abram: 我也有一樣的疑問躲在路由器後面不是應該安全了嗎 05/13 07:42

→ abram: 有人是連路由器還被勒索病毒攻擊成功的嗎謝謝！ 05/13 07:42

→ piligo: 像之前疾風病毒有分享器的都逃過一劫 05/13 07:44

→ piligo: 10年前分享器沒普及可以理解，現今應該就家家都有裝了吧 05/13 07:46

推 Seattle995: 4月中買的 AC68U 安裝時自動更新 7378 還好～ 05/13 07:49

→ HELLDIVER: 原來我沒中槍是因為分享器的關係嗎? 05/13 07:51

→ banmi: 裝華碩本身的韌體還是蕃茄比較會中?? 05/13 07:55

→ proletariat: 吃番茄的會有事嗎? 05/13 08:06

推 nk950357: 依照這個病毒來說這個病毒不是動分享器設定嗎 05/13 08:07

推 mapxu664: 如果先拔網路線改用分享器連網，不知道會不會中 05/13 08:12

推 x20165: dlink也有出包建議大家的ap 去升級最新以保安全 05/13 09:20

推 abram: 還好上個月才把華碩路由器換成了Netgear 看來還是不要買牌 05/13 10:36

→ abram: 子大普及的產品比較好 05/13 10:37

→ hotdog5566: netgear 漏洞也是很多... 05/13 11:08

推 F16V: 有人buffalo的中嗎 05/13 11:13

→ beartsubaki: 主動式就看人品畢竟會被發現漏洞大多就是有人中了.. 05/13 11:14

推 Cactusman: 這次的跟分享器無關，親戚家也是分享器一台Win10沒事另 05/13 11:15

→ Cactusman: 一台Win7中獎 05/13 11:15

→ zball: 看分享器設定吧 port forwarding有設好只開必要的port 和不 05/13 11:40

→ zball: 亂開DMZ功能的應該都會沒事因為這個漏到似乎是主動try SMB 05/13 11:44

→ zball: v1 port445看有無回應來做接下來的攻擊上述動作有做好的分 05/13 11:45

→ zball: 享器會把try port動作擋在外面不過還是把漏洞早點補上才好 05/13 11:46

推 chris38c28: 漏洞你也得看是甚麼漏洞吧有些要進管理介面才有用的 05/13 12:31

→ piligo: 看完推文還是看不出攻擊模式 05/13 12:58

→ zball: imasa大的文章很清楚啦看起來就是用SMBv1 裡面memmove的程 05/13 13:09

→ zball: 是漏洞來把惡意程式置入執行 SMBv1 protocol用的是port 445 05/13 13:10

→ zball: 理論上看是把這個port關閉掉或是router沒有設定將這個port 05/13 13:12

→ zball: 從外部forward到內網主機的話這次勒索病毒應該是不受影響 05/13 13:13

→ piligo: 問錯方向，攻擊模式很清楚，只是我想了解有分享器的環境下 05/13 13:51

→ piligo: 是如何中標的有特別設定port轉發或dmz除外 05/13 13:51

→ zball: 中的八九成都是DMZ直接開的吧很多人使用只在乎方不方便不 05/13 13:58

→ zball: 在乎安全的 router firewall不會設定的我看幾乎都是DMZ開了 05/13 14:00

→ zball: 但也不排除uesr根本不知道啥是DMZ 只知道開了網路很多功能 05/13 14:01

→ zball: 才能正常所以就Enable了囧 05/13 14:02

推 abram: 請問一下那下次會不會有人try port 23 禁行加密? 05/13 14:24

→ abram: 進行加密那不就所有的ports都得要封光光? 05/13 14:25

→ piligo: 了解 port只是一個洞，洞後面還要有服務，服務還要有破洞 05/13 14:29

→ piligo: ，才會被攻擊 05/13 14:29

推 abram: 謝謝所以其他port後面對應的服務沒有漏洞就不會被攻擊了 05/13 14:30

推 braves520: 請問一下，如果公司路由器有設白名單，會中勒索嗎 05/13 17:36

→ zball: 如果白名單是指鎖特定MAC才能連上的應該是跟這個問題沒關係 05/13 22:08

→ zball: 主要還是看外網掃port445時路由器有沒有設定把這個行為傳 05/13 22:09

→ zball: 給內網主機如果port forward有設到445 或DMZ全脫光就會中 05/13 22:10

→ sa12e3: https://www.youtube.com/watch?v=uVLDIynuaL4 05/14 19:47

推 xjacky8000: 重要資料千萬不要存在開機碟中。 05/14 22:57

推 xjacky8000: 重要資料還是不要存在開機碟中比較好。 05/14 23:04