关于永恒之蓝漏洞的补丁跟踪及实施记录

前言:利用MS17-010 漏洞进行攻击的蠕虫病毒已经成了自上周末到现在的主要任务,当组织里面有大量的机器时,要在短时间内完成大量业务系统的防护和更新需要耗费大量的人力和资源。当然如果手段和方式得力,事情相对会顺利的多。

目标:

1. 获得所有机器关于MS17-010 的补丁更新情况,MS17-10 针对window 7\windows 2008 r2及以上版本的补丁其实在3月份已经下发了,而对于失去支持的winxp,windows server 2003 等机器的特别补丁(KB4012598)下发时间在5月13号。如果你有审批策略(比如只审批安全更新,这些个针对winxp,2003 之类的补丁似乎不会自动审批,你需要在WSUS中手动导入,并审批安装。

2. 为了尽快更新补丁,你需要修改组策略让客户端更快频率的检测补丁,也或者你有NAP,可以在用户接入生产网络前检查MS17-010的策略是否更新,没有更新的话,进入隔离网络更新补丁。

3. 为了让偷懒的用户,比如懒得点击安装补丁的用户尽快安装补丁,你还得修改补丁的安装策略为计划安装,在中午或者其他非影响的时间段安装,并提示用户尽快重启。

4. 为了跟踪补丁的下发情况,WSUS虽然提供了内置本地报表,但是每个补丁(就像KB4021598一样,分别对应多个操作系统都对应一个报告),那么要用wsus的内置报表快速跟踪,这还不够快捷方便,或者你可以用powershell 来使用wsus的API来生成报告,但对于企业这种多人协作的环境,前面的解决方法往往需要特殊的权限。因此我们可以使用WSUS的视图来创建一个reporting service.

* 把MS17-010 涉及到的KB编号设成默认参数,这样可以一个报表跟踪多个补丁的情况。

报表RDL大致内容如:

5. 针对已经感染的机器,最好是断网,能重装尽量重装,或者杀毒后更新补丁再接入。

6.网络如果能监控流量,监控异常的ARP扫描,445 端口访问数靠前的连接的计算机。

时间: 2024-11-08 07:40:40

关于永恒之蓝漏洞的补丁跟踪及实施记录的相关文章

永恒之蓝漏洞利用复现

一.环境搭建: IP地址 系统信息 备注 角色 192.168.0.244 win7旗舰版(未安装MS17-010补丁版本) 需开启445端口及SMB协议 靶机 192.168.0.105 win7旗舰版 需安装python2.6.6&pywin32 攻击机 192.168.0.245 kali linux 2.0 生成reverse shell的dll文件 辅助机 二.攻击流程: 攻击流程图解: 1.在kali linux中利用metasploit生成用于建立反向链接的dll文件 msfven

一个利用“永恒之蓝”漏洞传播的挖矿程序分析

背景介绍 近日,渔村安全团队追踪到一个利用永恒之蓝漏洞传播的挖矿程序,其具备高度的模块化和较强的传播能力,在短短数日就感染了数万台用户电脑.针对该突发情况,渔村安全团队迅速组织应急工作,最终使得目前的感染情况受到控制,下文为样本分析. 感染量 从微软发布ms17-010(永恒之蓝漏洞) 的修复补丁到现在已经过去四个月了,相继爆发的利用该漏洞传播的WannaCry,Petya 勒索病毒更是给 我们 上了一课.但目前来看,还是有不少用户没有及时更新补丁或者做相应的缓解措施,同时 Shadow Bro

EternalBlue永恒之蓝漏洞复现

EternalBlue漏洞复现 1.    实训目的 永恒之蓝(EternalBlue)是由美国国家安全局开发的漏洞利用程序,对应微软漏洞编号ms17-010.该漏洞利用工具由一个名为”影子经济人”(Shadow Brokers)的神秘黑客组织于2017年4月14日公开的利用工具之一,该漏洞利用工具针对TCP 445端口(Server Message Block/SMB)的文件分享协议进行攻击,攻击成功后将被用来传播病毒木马.由于利用永恒之蓝漏洞利用工具进行传播病毒木马事件多,影响特大,因此很多

“永恒之蓝”第二弹-Security Update补丁全家桶地址汇总(一)

MS17-010即Windows SMB 服务器安全更新,是微软于2017年3月14日推出的安全更新,此安全更新修复了 Microsoft Windows 中的漏洞. 如果攻击者向 Microsoft 服务器消息块 1.0 (SMBv1) 服务器发送经特殊设计的消息,则其中最严重的漏洞可能允许远程代码执行.有关该漏洞的更多信息,请参阅微软官链:https://technet.microsoft.com/zh-cn/library/security/MS17-010 下列文章包含此安全更新针对具体

永恒之蓝 MS17-010漏洞复现

漏洞原理 简介 永恒之蓝漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码.注:SMB服务的作用:该服务在Windows与UNIX系列OS之间搭起一座桥梁,让两者的资源可互通有无,SMB服务详解:点击查看 漏洞原理代码详解 下面两篇文章从实际代码详细分析了漏洞原理,想要从代码详细理解该漏洞的同学可以点击查看 http://blogs.360.cn/post/nsa-eternalblue-smb.html#toc-772https:/

ms17_010(永恒之蓝)漏洞复现详细教程

如题,这是个漏洞复现的详细教程,本教程针对的系统是Windows7操作系统,其他系统请自行测试. 备注:教程会很详细,讲解会很明白,一文可以解决你的常见困难. 测试环境 kalilinux 192.168.1.109 (主机) windows7 192.168.1.104 (虚拟机) 开始 首先使用 nmap 命令扫描局域网内的所有主机(因为ms17_010漏洞的最基本要求是需要开启445端口),这里使用nmap的最基本的扫描,直接命令后跟ip,nmap 192.168.1.1/24(扫描整个局

永恒之蓝病毒事件所引发的运维安全行业新思考

一.NSA "永恒之蓝" 勒索蠕虫全球爆发 2017年5月12日爆发的 WannaCry勒索病毒肆虐了全球网络系统,引起各国企业和机构极大恐慌.而这次受害最严重的是Windows系统,自然也被锁定为怀疑对象,有人认为正是因为该系统对于漏洞的麻木和疏漏才导致了此次勒索病毒的蔓延.作为受害者的微软却将矛头指向美国国安局(NSA)和永恒之蓝.不法分子利用永恒之蓝漏洞攻击Windows系统,造成系统锁定,从而进行勒索,否则将删除所有信息 就WannaCry勒索病毒呈现的特征而言,面对新时期网络

ms17-010永恒之蓝病毒复现

1       永恒之蓝漏洞复现(ms17-010) 1.1     漏洞描述: Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件.远程控制木马.虚拟货币挖矿机等恶意程序. 1.2     漏洞影响: 目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000.Windows XP

关于NSA的EternalBlue(永恒之蓝) ms17-010漏洞利用

好久没有用这个日志了,最近WannaCry横行,媒体铺天盖地的报道,我这后知后觉的才想起来研究下WannaCry利用的这个原产于美帝的国家安全局发现的漏洞,发现漏洞不说,可以,自己偷偷的用,也可以,可是,你不能泄露出来啊,我们要感谢伟大的组织Shadow Brokers(影子经纪人)多酷炫的名字,有木有很文艺的感觉,感谢他让我们小屁民也用用NSA的工具,O(∩_∩)O哈哈哈~,2016 年 8 月Shadow Brokers入侵了方程式组织(Equation Group是NSA下属的黑客组织)窃