勒索病毒到底用什么端口

haierccc · 发表于 2017-5-16 17:05

本帖最后由 haierccc 于 2017-5-16 17:37 编辑

关于勒索病毒，还是有些不明白的地方
1、该病毒到底能否依附于某个可执行文件？抑或仅仅以数据流的形式在网上传播
2、到底攻击的什么端口，从早期的防毒指南看，仅仅是封锁一个端口：TCP 445，但后来封锁的端口越来越多。
从Window防火墙看，关于共享文件的端口如下：

2个TCP，2个UDP，现在网上的封锁脚本可不止这些。
现在很多人都在忙着封锁端口，包括pc和路由器上的，我人为在NAT之后的设备，对于这类攻击端口的病毒是天然免疫的，但某设备厂商的售后和我争论了很久，说可以攻击到NAT之后，我仍然不赞同这种观点。

xudaiqing · 发表于 2017-5-16 18:09

1.依附于可执行文件，但是漏洞允许病毒被远程执行。
2.被攻击的是smbv1协议，使用的是445端口。
3.nat不能防御任何攻击，防火墙可以，正常的家用路由器都自带防火墙。

qhdxy · 发表于 2017-5-16 18:12

打补丁的事情，为什么要去封端口？

haierccc · 发表于 2017-5-16 19:08

xudaiqing 发表于 2017-5-16 18:09
1.依附于可执行文件，但是漏洞允许病毒被远程执行。
2.被攻击的是smbv1协议，使用的是445端口。
3.nat不能 ...

NAT应该能抵御这种攻击传输层的攻击

overthink · 发表于 2017-5-16 19:37

445端口使用路由器上网就没问题。

haierccc · 发表于 2017-5-16 20:09

overthink 发表于 2017-5-16 19:37
445端口使用路由器上网就没问题。

是的，我看到新闻里说，中标的是向因特网公开TCP 445端口的机器
心想这些人是怎么想的，默认情况下，防火墙是禁止非本网段访问共享资源的
他们一是要公网IP上网，二是设立共享文件夹，三是要修改防火墙规则允许任何IP访问。

XXHJACK · 发表于 2017-5-16 21:52

haierccc 发表于 2017-5-16 20:09
是的，我看到新闻里说，中标的是向因特网公开TCP 445端口的机器
心想这些人是怎么想的，默认情况下，防火 ...

1.中标的基本都是教育网，公安，石油等有专门线路连接互联网的事业单位和政府部门。
2.防火墙的设置是允许通过和允许进入，有些维护人员为了方便all-all了。
3.用普通路由器做企业用路由器的是活该中。
4.关于端口，假设某台电脑因为u盘等原因感染，又没有对局域网内的电脑做升级补丁等就会在内网内蔓延。
5.说白了就是信息安全意识不够造成的。

Pale_Cheung · 发表于 2017-5-16 22:26

业务精，知识熟练就不会有你这个问题了。
要利用EternalBlue 用tcp445 端口就可以

samba 用 tcp 139 445 udp 137 138

网上那些脚本，都是以讹传讹吧。

牙医小天 · 发表于 2017-5-17 01:22

如果局域网中有攻击，那么局域网中电脑就会中毒。
但是这次有个特点，中毒的电脑不会主动发起攻击，所以就算局域网中有中毒的电脑，同一局域网中其他电脑也不会被它攻击，试想如果作者多加一个功能，中毒者可能会呈指数增长。
一般家庭都接入了宽带，运营商基本是封锁了445端口的，所以也不怕，采用家庭宽带上网的基本都会用路由器了，都是NAT这样就隔绝了本机445暴露给公网。相反教育网是大局域网，不用路由器的很容易被攻击。

Pale_Cheung · 发表于 2017-5-17 17:08

还有我说一句话,

假定安全最弱的 windows 7

msdn 版本 ,什么补丁都不打,装完系统第一次设个第一个用户名,然后进桌面后什么都不干.
直接插网线,其他什么动作都不做,不会中招.

为什么呢? 大家动动脑子吧.
考验你们对 windows desktop 的业务水平了.

---

mustardgs · 发表于 2017-5-17 20:34

Pale_Cheung 发表于 2017-5-17 17:08
还有我说一句话,

假定安全最弱的 windows 7

这个我知道
网卡没驱动

XXHJACK · 发表于 2017-5-17 21:10

mustardgs 发表于 2017-5-17 20:34
这个我知道
网卡没驱动

如果网卡是可以被直接驱动的呢？

XXHJACK · 发表于 2017-5-17 21:17

Pale_Cheung 发表于 2017-5-17 17:08
还有我说一句话,

假定安全最弱的 windows 7

你这个要和外部环境联系起来才行，如果是处在有nat模式下的内网环境只要内网没有机器感染你的电脑是不会中的，如果没有那么相当于暴露在蠕虫施虐的环境里，肯定会中的。因为我中过一次1433端口的sql漏洞病毒，我只是把我的主机放到dmz口而已，什么都没做因为有事出去没打补丁，出去3小时回来就中了。

aixiangsui · 发表于 2017-5-18 04:58

不依附。445。。

Pale_Cheung · 发表于 2017-5-19 13:19

mustardgs 发表于 2017-5-17 20:34
这个我知道
网卡没驱动

显然不是这个原因

从 windows的角度想

Pale_Cheung · 发表于 2017-5-19 13:21

XXHJACK 发表于 2017-5-17 21:17
你这个要和外部环境联系起来才行，如果是处在有nat模式下的内网环境只要内网没有机器感染你的电脑是不会 ...

不对，我这个是假定，你接入的局域网内有恶意主机的。

答案是，你系统装好，任何网络都是未知的。

插上网线，他是安 “公共网络”处理的，这时候 samba相关端口是不通的，其实只有 dhcp 相关的端口会通，而且有 source 端口要求的。

大号跳蚤 · 发表于 2017-5-19 16:50

怎么和我得到的结果不一样？
这是一种蠕虫，他会自己寻找下一个攻击目标，局域网有电脑被感染，蠕虫会主动感染有仍有漏洞的电脑。
网上所列的端口主要是 Shadow Broker 放出的已知工具所利用的端口，所以block列表会多一些

我自己135、137、138、139、445都防火墙上做了入站禁止访问了

haierccc · 发表于 2017-5-21 14:39

本帖最后由 haierccc 于 2017-5-21 14:43 编辑

Pale_Cheung 发表于 2017-5-19 13:21
不对，我这个是假定，你接入的局域网内有恶意主机的。

答案是，你系统装好，任何网络都是未知的。

我是这样认为的：要从OSI 7层模型看，病毒的传播属于哪一层
首先该病毒可通过带毒邮件传播，因为电子邮件是应用层的协议，所以该病毒可通过应用层传播。
另外，病毒攻击TCP 445端口，因为TCP、UDP都属于传输层，所以该病毒还可通过传输层传播
于是乎该病毒有2条传播途径：应用层和传输层，那么就要在这2条途径上想办法。
对于应用层，就是杀毒软件（PC端）和应用层防火墙（网络端）。
对于传输层，就是打补丁以及封锁端口，包括脚本封锁（PC端）和路由器封锁（网络端）
所以，如果讨论的是第四层的传播途径，那么在NAT之后的设备，以及封锁了端口的网关设备，就可以阻断病毒的传播。
当然，就算第四层阻断了，但在应用层上打开了带毒邮件，那自然还是中毒。

Pale_Cheung · 发表于 2017-5-21 16:36

haierccc 发表于 2017-5-21 14:39
我是这样认为的：要从OSI 7层模型看，病毒的传播属于哪一层
首先该病毒可通过带毒邮件传播，因为电子邮件 ...

内网对此病毒的措施，算是事后了，以为要分析特征码。
大型isp也可以这么高
WannaCry勒索病毒逆向和内网传播数据分析
最后一段

另外
首先邮件客户端是有可能有漏洞的，比如最近有个 outlook 的只要阅读就能触发恶意代码的漏洞。

如果不用这种漏洞的话，不要乱点，收到邮件看了后删除是没问题的。

Mufasa · 发表于 2017-5-21 17:13

牙医小天发表于 2017-5-17 01:22
如果局域网中有攻击，那么局域网中电脑就会中毒。
但是这次有个特点，中毒的电脑不会主动发起攻击，所以就 ...

同意这个观点。

家用路由器的NAT，单向访问，如果没有手动添加规则，外网是无法访问到内网端口的。