取消
显示结果 
搜索替代 
您的意思是: 
cancel
3270
查看次数
0
有帮助
6
评论
one-time
Level 13
Level 13
社区为您汇总了《每月热点威胁》系列分享,点击查看思科《每月热点威胁》持续更新中……


就像每年春天“流感”又会来一样,如果你长期关注威胁形势,就会发现,他们也是呈周期性出现的。
各种威胁类型和攻击方法此消彼长,反复出现。一种攻击途径遭到冷落,另一种攻击途径就随之流行起来。
蠕虫的回归

能够帮助用户实现通过网络共享文件和文件夹的网络共享技术,一直是计算机蠕虫最常攻击的目标,但是近年来,攻击者逐渐弃用了这种攻击途径,转而热衷于利用邮件和受感染网站发起攻击。
然而,正当我们以为远离了这种威胁的时候,有人突然在自己的计算机上看到以下内容:
114521cmvvrjjpjurupvuu.jpg
利用 EternalBlue 漏洞,WannaCry 如野火般蔓延开来,感染了很多易受攻击的计算机,对世界各地的政府和各行各业造成了严重问题,导致大型医疗、汽车、电信和运输组织机构陷入瘫痪。
威胁突破口:SMB

你可能会认为,在瞬息万变的威胁形势中,WannaCry 已成为古老的历史。但是,随着 WannaCry 在整个威胁形势中开辟了一条破坏之路,攻击者又重新开始关注网络共享,这次,攻击的突破口是一种常用的重要协议:服务器消息块 (SMB)。
114554tfk7fwl4on554mhl.jpg
如果说 WannaCry 是左刺拳,那随之一个月后爆发的 Nyetya 蠕虫就是右勾拳。 Nyetya 最初采用供应链攻击形式,利用 EternalBlue 进行传播。而且,Nyetya 还利用了另一个与 SMB 相关的漏洞,称为 EternalRomance,旧 Windows 版本更容易受到感染。
这两个示例,说明了使用易受攻击的网络协议的危险性,以及给系统安装补丁的重要性。
然而,即使没有易于利用的漏洞,SMB 对攻击者也同样具有吸引力。
比如,SamSam、Bad Rabbit和Olympic Destroyer 等威胁利用不同的工具来侵入网络,但进入网络后,它们都会利用 SMB 来遍历网络。
在有些案例中,攻击者还会通过针对 SMB 共享发起暴力攻击,来实现数据泄露,他们利用工具不断尝试输入共享密码,以期正确猜测出密码。
如何预防

防范与 SMB 相关的攻击?方法很简单:停止使用 SMB。目前几乎没有什么理由要继续使用它。事实上,自 2018 年 4 月起,Windows 中已不再预安装该协议。
另外,不要通过 SMB 连接计算机来共享文件,而是改用专用的文件服务器或基于云的产品。将网络打印机配置为使用其他协议。如果在您的环境中无法关闭 SMB,请至少确保禁用 SMB1。阻止网络边界的 TCP 端口 445 和 139,以确保 SMB 通信仅限于内部网络。除此之外,所有终端都应无法通过 SMB 相互通信。
如何处理

为了防患于未然,预防 SMB 攻击,我们可以采用以下思科安全产品或功能进行应对:
● Stealthwatch,可以检测与 SMB 共享的连接,对此活动进行关联分析,从而向管理员发出警报。
● AMP 的持续监控和获得专利的追溯安全功能,可以有效保护您免受 WannaCry 和Nyetya 等攻击。
● 网络安全设备(例如 NGFW、NGIPS 和 Meraki MX),可以检测与 SMB 攻击相关的恶意活动。

● Threat Grid,可以帮助识别恶意文件行为,并自动通知所有思科安全产品。

每月热点威胁系列
如今,我们面临着巨大的安全威胁挑战,业内领先的威胁研究和情报团队思科Talos会收集分析大量有关威胁态势的数据,我们每个月都会依据思科Talos的最新发现,持续发布不同类别热点威胁的信息,帮助您了解最新的威胁信息和最佳防御实践方法。

文章来源:思科联天下

延展阅读:
思科《每月热点威胁》第二弹:潜形匿迹的无文件恶意软件!
思科《每月热点威胁》第三弹:谋财又害命的数字勒索诈骗!
思科《每月热点威胁》第四弹:社交媒体和黑市
思科《每月热点威胁》第五弹:受到攻击的DNS
思科《每月热点威胁》第六弹:探究加密流量背后的重重威胁
思科《每月热点威胁》第七弹:恶意广告的乱象与防御
评论
moxiuli
Level 9
Level 9
了解并重视防护
avic
Level 9
Level 9
持续更新:)
牛W牛
Level 1
Level 1
謝謝分享知識,學習了:lol
likuo
Spotlight
Spotlight
蠕虫病毒不可怕。
yangyabin
Spotlight
Spotlight
好好学习天天向上
LxL9905
Level 1
Level 1
为了防患于未然,预防 SMB 攻击,我们可以采用以下思科安全产品或功能进行应对:
● Stealthwatch,可以检测与 SMB 共享的连接,对此活动进行关联分析,从而向管理员发出警报。
● AMP 的持续监控和获得专利的追溯安全功能,可以有效保护您免受 WannaCry 和Nyetya 等攻击。
● 网络安全设备(例如 NGFW、NGIPS 和 Meraki MX),可以检测与 SMB 攻击相关的恶意活动。
● Threat Grid,可以帮助识别恶意文件行为,并自动通知所有思科安全产品。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接