利用服务器被永恒之蓝攻击击 run之后为什么创建不了会话?

来源:蜘蛛抓取(WebSpider) 时间:2019-04-08 01:42 标签: 永恒之蓝攻击

永恒之蓝是指2017年5月13日起全球范圍内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网絡攻击事件英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件

永恒之蓝挖矿蠕虫WannaMine就是利用永恒之蓝漏洞进行传播,与WannaCry勒索病毒不同的是其不再勒索,而是长期潜伏挖矿会悄悄的耗尽计算机资源。

1. 修复漏洞杜绝再次感染

1.1 执行以下脚本禁用445及部分端口,杜绝被再次感染

1.2 安装微软针对远程代码执行漏洞的补丁

2. 永恒之蓝wannacry勒索蠕虫相关进程及文件清除

执行以下脚本进行清除:

3. 永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除

执行以下脚本进行清除:

永恒之蓝挖矿蠕虫WannaMine特征、行为分析

该文章对蠕虫原理进行了专业描述可论证上述结论的正确性:

永恒之蓝挖矿蠕虫WannaMine特征

特征1:出现以下文件及目录

特征3:打开任务管理器时CPU占用下降,关闭后cpu占用又升高升高时会有一个rundll32.exe进程启动

蠕虫行为分析及清除脚本

步骤2:查看 netsvcs 配置的自启动服务列表发现有┅个新增的wmassrv

步骤3:查看该服务信息


步骤4:到此猜测如果把该服务关了是否spoolsv.exe等进程就不会再被创建,进行尝试

发现关了该服务后手动杀掉spoolsv.exe rundll32.exe進程都不会再自动启动。至此回忆该服务为其伪装的守护服务

步骤5:编写脚本停服务、删除服务、杀进程,及相关文件(务必以管理员权限)

步骤6:重启机器检测再未发现异常症状

确认采用上述脚本可彻底清除挖矿蠕虫。

上述脚本可用于快速清除挖矿蠕虫为了安全起见,還是应该及时打系统补丁并安装杀毒软件希望本文对你有用。

永恒之蓝是指2017年5月13日起全球范圍内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网絡攻击事件英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件

永恒之蓝挖矿蠕虫WannaMine就是利用永恒之蓝漏洞进行传播,与WannaCry勒索病毒不同的是其不再勒索,而是长期潜伏挖矿会悄悄的耗尽计算机资源。

1. 修复漏洞杜绝再次感染

1.1 执行以下脚本禁用445及部分端口,杜绝被再次感染

1.2 安装微软针对远程代码执行漏洞的补丁

2. 永恒之蓝wannacry勒索蠕虫相关进程及文件清除

执行以下脚本进行清除:

3. 永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除

执行以下脚本进行清除:

永恒之蓝挖矿蠕虫WannaMine特征、行为分析

该文章对蠕虫原理进行了专业描述可论证上述结论的正确性:

永恒之蓝挖矿蠕虫WannaMine特征

特征1:出现以下文件及目录

特征3:打开任务管理器时CPU占用下降,关闭后cpu占用又升高升高时会有一个rundll32.exe进程启动

蠕虫行为分析及清除脚本

步骤2:查看 netsvcs 配置的自启动服务列表发现有┅个新增的wmassrv

步骤3:查看该服务信息


步骤4:到此猜测如果把该服务关了是否spoolsv.exe等进程就不会再被创建,进行尝试

发现关了该服务后手动杀掉spoolsv.exe rundll32.exe進程都不会再自动启动。至此回忆该服务为其伪装的守护服务

步骤5:编写脚本停服务、删除服务、杀进程,及相关文件(务必以管理员权限)

步骤6:重启机器检测再未发现异常症状

确认采用上述脚本可彻底清除挖矿蠕虫。

上述脚本可用于快速清除挖矿蠕虫为了安全起见,還是应该及时打系统补丁并安装杀毒软件希望本文对你有用。

版权声明:本文为博主原创文章遵循 版权协议,转载请附上原文出处链接和本声明
  • 查询两台虚拟机的IP地址
  • 确认win 7靶机是否开放445端口


  • 设置好靶机地址、攻击端口和本机地址
  • 枪已上膛,最后检查一下配置


  • PWN!!!返回控制通道



我要回帖

更多关于 永恒之蓝攻击 的文章

 

随机推荐