Kali 中文网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 2265|回复: 3

Petya勒索病毒爆发:利用InsightVM和Nexpose可查找MS17-010

[复制链接]
发表于 2017-6-28 12:13:35 | 显示全部楼层 |阅读模式
Petya勒索病毒于2017627日全面爆发,一些欧洲国家以及英国的组织机构都受到影响。据说此勒索病毒可能通过带有钓鱼邮件的恶意文档初次感染,然后利用EternalBlueDoublePulsar向外扩散。一旦找到合适的位置,它将控制系统并加密文件。值得提醒的是,WannaCry病毒也曾通过ExternalBlue漏洞传播,因此我们更应该强调对MS17-010漏洞打补丁的重要性。
对于此勒索病毒的最新更新,请参阅Rapid7建议的操作。
为了帮助客户们了解潜在的风险,我们正在分享创建目标扫描、动态资产组的步骤和用于识别和修复漏洞的修补项目;由于可能用于传播蠕虫的其他CVE的更多信息可用,我们将进行更新

创建扫描模板

以下是创建InsightVM/nexpose扫描模板的分步指南,专门用于查找MS17-010

1.Administration选项卡下,转到Templates> Manage Templates
1.gif

2.复制以下模板:Full Audit enhanced logging without Web Spider.千万别忘了给副本命名并进行描述;
2.gif

3.首先取消勾选"Policies"。点击VulnerabilityChecks然后点击“By IndividualCheck

3.gif

4.添加检查“MS17-010”并点击保存:
4.png
这应该返回与MS17-010相关的192个检查。相关的CVE:
CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-0146
CVE-2017-0147
CVE-2017-0148

5.保存模板运行扫描以识别所有含有MS17-010的资产。


创建动态资产组
既然您已扫描了资产,那么您可能需要创建一个动态资产组来生成报告和标记,一旦发现新资产中存在此漏洞(或它们已被修复时),资产组将自动更新。要开始使用,请点击InsightVM控制台右上角的筛选图标,位于搜索图标下方:

5.png
现在,使用"CVE ID"过滤器以指定下列CVE编号:
6.png

该资产组可用于报告和标记,以便快速识别暴露的系统。

创建仪表盘
Rapid7将为Petya勒索病毒添加预先构建的仪表盘,就像我们对最近爆发的WannaCrySamba漏洞一样。

其次,查看新的Threat Feed仪表盘,其中包含您的资产试图,这些视图受到包含勒索病毒利用的那些目标漏洞的影响。这些视图受到主动针对性的漏洞(包括由此ransomworm利用的漏洞)的影响。

如果你想建立自己的仪表板,下面是如何构建一个自定义的仪表盘,和从Shadow Brokers泄漏出来的例子。要查找暴露的MS17-010漏洞,您可以使用此仪表盘过滤器:
asset.vulnerability.alternateIds <=>( altId = "MS17-010" )
创建SQL查询导出
@00jayInsightVM/NexposeWannaCry - 扫描和报告中使用SQL导出的详细信息发布这个有用的讨论。

创建修复项目
InsightVM中,您还可创建修复项目以便实时跟踪修复进度。为此,请转到“Projects选项卡,然后单击“Create a Project:
7.png

为新建的修复项目起一个名称,并在资产过滤器类型中键入 vulnerability.alternateIds.altId CONTAINS "MS17-010"
8.png

注意,此项目将是动态的,因此在修复和/或找到此漏洞的新实例时,它将自动更新。

现在,如果您愿意,还可以详细描述这个项目,并配置修复责任人,以及访问级别。如果您有JIRAServiceNow,您还可以配置InsightVMJIRA/ServiceNow之间的自动工单集成,以便自动将工单分配给相关人员。


使用这些步骤,您将能够快速扫描此勒索病毒利用的漏洞。


作者: Ken Mizota 译者:Katrina
kali linux中文网荣誉推出,转载请注明


+1
2268°C
3
  • feiyu365
  • 瞌睡虫best
  • boynome
过: 他们
发表于 2019-2-16 07:23:04 | 显示全部楼层
谢谢资源分享,下载下来看看
回复 支持 反对

使用道具 举报

发表于 2019-3-6 22:18:13 | 显示全部楼层
dddddddddddddddddddddddd
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

Kali linux ( 蜀ICP备10027298号-4 ) Topics |


免责声明:
Kali linux中文网所发布的一切教程文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。

GMT+8, 2019-3-20 03:02 , Processed in 0.261458 second(s), 28 queries , Gzip On.

Powered by Discuz!

© 2009-2016 KALI

快速回复 返回顶部 返回列表