cve

勒索病毒petya應該如何正確防范？

網絡安全專家建議，用戶要斷網開機，即先拔掉網線再開機，這樣基本可以避免被勒索軟件感染。開機后應盡快想辦法打上安全補丁，或安裝各家網絡安全公司針對此事推出的防御工具，才可以聯網。建議盡快備份電腦中的重要文件資料到移動硬盤、U 盤，備份完后脫機保存該磁盤，同時對于不明鏈接、文件和郵件要提高警惕，加強防范。
臨時解決方案：
1、開啟系統防火墻
2、利用系統防火墻高級設置阻止向445端口進行連接（該操作會影響使用445端口的服務）
3、打開系統自動更新，并檢測更新進行安裝
Win7、Win8、Win10的處理流程
1、打開控制面板-系統與安全-Windows防火墻，點擊左側啟動或關閉Windows防火墻。
2、選擇啟動防火墻，并點擊確定
3、點擊高級設置
4、點擊入站規則，新建規則
5、選擇端口，下一步
6、特定本地端口，輸入445，下一步
7、選擇阻止連接，下一步
8、配置文件，全選，下一步
9、名稱，可以任意輸入，完成即可。
XP系統的處理流程
1、依次打開控制面板，安全中心，Windows防火墻，選擇啟用
2、點擊開始，運行，輸入cmd，確定執行下面三條命令：net stop rdr 、net stop srv 、net stop netbt

怎樣設置電腦，防止超強電腦病毒襲擊？

防止感染，立刻這樣設置電腦

1. 不要輕易點擊不明附件，尤其是rtf、doc等格式文件。

2. 內網中存在使用相同賬號、密碼情況的機器請盡快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成后再進行開機操作。

3. 更新操作系統補?。∕S）

4. 更新 Microsoft Office/WordPad 遠程執行代碼漏洞（CVE -2017-0199）補丁

5. 禁用 WMI服務

WMI（Windows Management Instrumentation Windows 管理規范）是一項核心的Windows管理技術，你可以通過如下方法停止：

① 在服務頁面開啟WMI服務。在開始-運行，輸入rvices.msc，進入服務。
或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

② 在服務頁面，按W，找到WMI服務，找到后，雙擊 ，直接點擊停止服務即可

6.更新殺毒軟件

目前，市面上主流的殺毒軟件與電腦保護軟件均有插件或程序，可以絕大程度上保護電腦不受新型勒索病毒感染。

用戶只需在軟件內搜索Petya，或到其官網搜索修復工具即可。

7.提高用戶安全意識

① 限制管理員權限

Petya勒索病毒的運行需要管理員權限，企業網管可以通過嚴格審查限制管理員權限的方式減少攻擊面，個人用戶可以考慮使用非管理員權限的普通賬號登陸進行日常操作。

② 關閉系統崩潰重啟

Petya勒索病毒的“發病”需要系統重啟，因此想辦法避免系統重啟也能有效防御Petya并爭取漏洞修補或者文件搶救時間。只要系統不重新啟動引導，病毒就沒有機會加密MFT主文件分區表，用戶就有機會備份磁盤中的文件（微軟官方教程）。

③ 備份重要數據

重要文件進行本地磁盤冷存儲備份，以及云存儲備份。

金山共享文檔會暴露隱私嗎

當然會，只有上傳的數據都會保存在服務器里，這就存在泄露的危險。不過你可以給數據加密，或者給網盤加密，比如360網盤就有個保險箱，不知道加密密碼，就算知道登陸網盤密碼也打不開！兩層防護！現在網絡不安全的。
以微軟的office為例，word和excel都出過本地代碼執行漏洞，例如CVE-2017-11882和CVE-2018-0802。攻擊者可以在文檔中藏一段漏洞利用代碼，當你使用有漏洞的office打開這一文檔時會執行攻擊者預留的代碼，進行例如打開一個shell并綁定一個遠程端口，執行一個exe等等惡意操作。
沒記錯的話，adobe的pdf閱讀工具也爆出過類似漏洞。

威脅升級！新一輪勒索病毒來襲！

提到今年5月剛剛席卷150多個國家的“WannaCry”勒索病毒，很多網友一定還心有余悸，當時大規模的校園網、局域網用戶都曾不慎中招。

近日，代號為Petya的新一輪勒索病毒襲擊了英國、烏克蘭等多個國家，目前中國國內也已有用戶中招。

Petya勒索病毒感染的電腦。騰訊安全反病毒實驗室供圖。

病毒加密硬盤，勒索比特幣

新勒索病毒Petya不僅對文件進行加密，而且直接將整個硬盤加密、鎖死，在出現以下界面并癱瘓后，其會自動向局域網內部的其它服務器及終端進行傳播。

同時，用戶的電腦開機后則會黑屏，并顯示如下的勒索信↓

信中稱，用戶想要解鎖，需要向黑客的賬戶轉折合300美元的比特幣。

根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款，其“吸金”速度完全超越了WannaCry。

與之前病毒相比，威脅升級

專家稱，這輪病毒足以與5月席卷全球的勒索病毒的攻擊性相提并論。

而且與之相比，Petya勒索病毒變種的傳播速度更快。

它不僅使用了NSA“永恒之藍”等黑客武器攻擊系統漏洞，還會利用“管理員共享”功能在內網自動滲透。

在歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000余臺電腦，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。

來源：這里是美國

此外，Petya勒索病毒還在以下方面威脅程度升級：

1.感染并加密本地文件的病毒進行了更新，殺毒軟件除非升級至最新版病毒庫，否則無法查殺及阻止其加密本機文件系統；

2.Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統漏洞，包括MS17-010(5.12WannaCry永恒之藍勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補丁對應的多個系統漏洞進行傳播。

3.本次新變異病毒（Petya）是直接將整個硬盤加密和鎖死，用戶重啟后直接進入勒索界面，若不支付比特幣將無法進入系統。

防止感染，立刻這樣設置電腦

由于目前黑客用來接受轉賬的比特幣賬戶已經被封，所以即使用戶給黑客轉賬也不能解鎖自己的電腦了。

所以，為了自己的電腦設備不受影響，可以按小新的方法設置電腦↓

一、下載修復補丁

黑客是利用微軟Windows系統的新漏洞，開發出新變種的勒索病毒，并在過去幾天向互聯網展開了初步攻擊。

在6月13日，微軟就已經在官網上發布了新漏洞有關的補丁。

下載地址：請戳這里

操作指南：

先打開網頁，會看到CVE-2017-8543、CVE-2017-8464，找到相應版本的補丁進行下載（目前XP、Window2003不受影響），并執行相應主機及個人電腦的補丁升級。

二.限制端口訪問

1、打開控制面板-系統與安全-Windows防火墻，點擊左側啟動或關閉Windows防火墻

2、選擇啟動防火墻，并點擊確定

3、點擊高級設置

4、點擊入站規則，新建規則

5、選擇端口，下一步

6、特定本地端口，輸入445，下一步

7、選擇阻止連接，下一步

8、配置文件，全選，下一步

9、名稱，可以任意輸入，完成即可。

10.將第6步中的端口替換為135后，重復一次所有步驟。

三、停止服務器的WMI服務

WMI（Windows Management Instrumentation Windows 管理規范）是一項核心的 Windows 管理技術 你可以通過如下方法停止 ：

1.在服務頁面開啟WMI服務。在開始-運行，輸入rvices.msc，進入服務。

或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

2.在服務頁面，按W，找到WMI服務，找到后，雙擊 ，直接點擊停止服務即可，如下圖所示：

來源：360官方微博

四、更新殺毒軟件

目前，市面上主流的殺毒軟件與電腦保護軟件均有插件或程序，可以絕大程度上保護電腦不受新型勒索病毒感染。

來源：360官方微博

來源：騰訊電腦管家截圖

用戶只需在軟件內搜索Petya，或到其官網搜索修復工具即可。

五、提高用戶安全意識

1.限制管理員權限。

Petya勒索病毒的運行需要管理員權限，企業網管可以通過嚴格審查限制管理員權限的方式減少攻擊面，個人用戶可以考慮使用非管理員權限的普通賬號登陸進行日常操作。

2.關閉系統崩潰重啟。

Petya勒索病毒的“發病”需要系統重啟，因此想辦法避免系統重啟也能有效防御Petya并爭取漏洞修補或者文件搶救時間。只要系統不重新啟動引導，病毒就沒有機會加密MFT主文件分區表，用戶就有機會備份磁盤中的文件（微軟官方教程）。

3.不要輕易點擊不明附件。

尤其是rtf、doc等格式。

4.備份重要數據。

重要文件進行本地磁盤冷存儲備份，以及云存儲備份。

5.內網中存在使用相同賬號、密碼情況的機器請盡快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成后再進行聯網操作。

來源：人民網（people_rmw）、中國新聞網 （cns2012）、中國青年網、Microsoft官網、360官方微博、中國經濟網等

如何輕松解決五個VMware安全漏洞

cve-2017-4901 這個漏洞需要 VMTools 文件和剪貼板共享 ..一旦關閉這些功能 ,,漏洞無法發揮 .
好多人都有僥幸心理 ,, 覺得只有打開了 VMTools 文件和剪貼板共享 才可能中招 .. 下面這幾個漏洞 打破了傳統觀念 ,,哪怕是禁用掉網卡 關閉這些共享 ,,這些漏洞仍能發揮作用 CVE-2017-4902, CVE-2017-4903, CVE-2017-4904, CVE-2017-4905

針對docker系統的滲透測試方法

翻譯總結于：《A Methodology for Penetration Testing Docker Systems》

    文章從兩個攻擊模型進行分析，結合錯誤配置和已知漏洞對docker滲透測試進行總結歸納，并給出了一份docker滲透測試檢查清單。

    作者討論了兩種情況：在容器內和在容器外。在容器內部，攻擊者會聚焦在逃逸隔離（即容器逃逸）。在容器外部，即宿主機上，攻擊者還沒有主機特權，這時候攻擊者將會使用Docker（即Docker daemon攻擊）來獲得權限。

    容器逃逸重點在攻擊和繞過隔離和保護機制，其中又可分成兩種：一種是從容器逃逸到主機（CVE-2017-7308），另一種是從容器逃逸到另一個容器獲取其中數據。

    作者從錯誤配置和安全漏洞兩個角度對上述兩個場景中的安全問題進行了梳理。漏洞問題是自身程序問題，錯誤配置更多的是用戶使用問題。

    前兩個錯誤配置與在主機上執行的Docker Daemon有關，其他錯誤配置與從容器內執行的容器逃逸攻擊有關。

（2）可讀寫的Docker Socket：一些管理員設置了所有用戶的讀寫權限，給了所有用戶Docker Daemon的權限，盡管用戶不在docker group也能使用docker。

（3）tuid bit：系統管理員在docker二進制文件上設置tuid位。tuid位是Unix中的權限位，它允許用戶運行二進制文件而不是其本身作為二進制文件的所有者。如果為docker二進制文件錯誤配置了tuid位，那么用戶將能夠以root身份執行docker。

（1）Container Escape Using the Docker Socket：如果/var/run/docker.sock作為volume掛載到容器上，那么容器中的進程可以完全訪問主機上的docker。
（2）Sensitive Information：當容器可以訪問/var/run/docker.sock時，用戶可以查看現有容器的配置，其中可能包含一些敏感信息。
（3）Remote Access：如果沒有配置docker API只監聽本地主機，那么網絡上的每個主機都可以訪問docker，攻擊者可以利用這種錯誤配置啟動其他容器。

    文章中列舉了一些最近的且已完全公開的可能在滲透測試期間使用的bug。
（1）CVE-2019-16884
（2）CVE-2019-13139
（3）CVE-2019-5736
（4）CVE-2019-5021
（5）CVE-2018-15664
（6）CVE-2018-9862
（7）CVE-2016-3697

    首先需要對目標系統執行偵查來收集數據，然后使用收集到的信息來識別弱點和漏洞。

（2）識別容器的操作系統（或者Docker鏡像）

（3）識別主機操作系統：因為容器使用宿主的內核，所以可以使用內核版本來標識宿主信息，從而檢測一些內核利用。

（4）讀環境變量：環境變量是啟動容器時與容器通信信息的一種方式。當一個容器啟動時，環境變量被傳遞給它，這些變量通常包含密碼和其他敏感信息。

（5）檢查Capabilities：通過查看/proc/lf/status來查看容器的內核功能。其中CapEff是當前功能的值，可以使用capsh工具從十六進制值獲取功能列表?？梢允褂眠@個來檢查是否有可以用來容器逃逸的功能。

（6）檢查特權模式：如果容器以特權模式運行，它將獲得所有功能，因此可以通過查看能力（0000003fffffffff是所有能力的表示）來檢查是否以特權模式運行進程。

（7）檢查volumes：卷中可能包含敏感信息，可以通過查看掛載的文件系統位置來查看。

（8）檢查掛載的docker socket

（9）檢查網絡配置

（2）擁有docker使用權限的用戶

（3）配置：/etc/docker/daemon或/etc/default/docker
（4）可獲得的鏡像和容器

（5）iptables規則：使用 iptables -vnL 和 iptables -t nat -vnL，可以看到默認表filter和nat的規則。所有關于docker容器的防火墻規則都在filter中的docker -ur鏈中設置。