最新的backtrack5(bt5)官方网站已经提供下载,backtrack5是基于ubuntu Lucid LTS. 内核2.6.38开发的,完全开源并和GPL兼容。

Backtrack 中文网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 2020|回复: 0

Petya勒索病毒爆发:利用InsightVM和Nexpose可查找MS17-010

[复制链接]
堵筠溪
凌欣怡
Petya勒索病毒于2017627日全面爆发,一些欧洲国家以及英国的组织机构都受到影响。据说此勒索病毒可能通过带有钓鱼邮件的恶意文档初次感染,然后利用EternalBlueDoublePulsar向外扩散。一旦找到合适的位置,它将控制系统并加密文件。值得提醒的是,WannaCry病毒也曾通过ExternalBlue漏洞传播,因此我们更应该强调对MS17-010漏洞打补丁的重要性。
对于此勒索病毒的最新更新,请参阅Rapid7建议的操作。
为了帮助客户们了解潜在的风险,我们正在分享创建目标扫描、动态资产组的步骤和用于识别和修复漏洞的修补项目;由于可能用于传播蠕虫的其他CVE的更多信息可用,我们将进行更新

创建扫描模板

以下是创建InsightVM/nexpose扫描模板的分步指南,专门用于查找MS17-010

1.Administration选项卡下,转到Templates> Manage Templates
1.gif

2.复制以下模板:Full Audit enhanced logging without Web Spider.千万别忘了给副本命名并进行描述;
2.gif

3.首先取消勾选"Policies"。点击VulnerabilityChecks然后点击“By IndividualCheck

3.gif

4.添加检查“MS17-010”并点击保存:
4.png
这应该返回与MS17-010相关的192个检查。相关的CVE:
CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-0146
CVE-2017-0147
CVE-2017-0148

5.保存模板运行扫描以识别所有含有MS17-010的资产。


创建动态资产组
既然您已扫描了资产,那么您可能需要创建一个动态资产组来生成报告和标记,一旦发现新资产中存在此漏洞(或它们已被修复时),资产组将自动更新。要开始使用,请点击InsightVM控制台右上角的筛选图标,位于搜索图标下方:

5.png
现在,使用"CVE ID"过滤器以指定下列CVE编号:
6.png

该资产组可用于报告和标记,以便快速识别暴露的系统。

创建仪表盘
Rapid7将为Petya勒索病毒添加预先构建的仪表盘,就像我们对最近爆发的WannaCrySamba漏洞一样。

其次,查看新的Threat Feed仪表盘,其中包含您的资产试图,这些视图受到包含勒索病毒利用的那些目标漏洞的影响。这些视图受到主动针对性的漏洞(包括由此ransomworm利用的漏洞)的影响。

如果你想建立自己的仪表板,下面是如何构建一个自定义的仪表盘,和从Shadow Brokers泄漏出来的例子。要查找暴露的MS17-010漏洞,您可以使用此仪表盘过滤器:
asset.vulnerability.alternateIds <=>( altId = "MS17-010" )
创建SQL查询导出
@00jayInsightVM/NexposeWannaCry - 扫描和报告中使用SQL导出的详细信息发布这个有用的讨论。

创建修复项目
InsightVM中,您还可创建修复项目以便实时跟踪修复进度。为此,请转到“Projects选项卡,然后单击“Create a Project:
7.png

为新建的修复项目起一个名称,并在资产过滤器类型中键入 vulnerability.alternateIds.altId CONTAINS "MS17-010"
8.png

注意,此项目将是动态的,因此在修复和/或找到此漏洞的新实例时,它将自动更新。

现在,如果您愿意,还可以详细描述这个项目,并配置修复责任人,以及访问级别。如果您有JIRAServiceNow,您还可以配置InsightVMJIRA/ServiceNow之间的自动工单集成,以便自动将工单分配给相关人员。


使用这些步骤,您将能够快速扫描此勒索病毒利用的漏洞。


作者: Ken Mizota 译者:Katrina
Backtrack linux中文网荣誉推出,转载请注明


+1
2020°C
    沙发哦 ^ ^ 马上
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    BackTrack是一套专业的计算机安全检测的Linux操作系统,简称BT。BackTrack 是一个基于Ubuntu GNU/Linux的发行版本,主要用做数字取证和入侵测试。它的名字引用自回溯法(backtracking)。BackTrack 给用户提供了大量功能强大但简单易用的安全工具软件。BackTrack还支持Live CD和Live USB启动方式,用户可以直接从移动介质启动该系统而不用将系统安装在硬盘上。BackTrack被设计成一体化的旨在安全审计用的livecd,曾经它是被最广泛采用的渗透测试框架并被世界各地的安全社区所使用。现在,BackTrack已被Kali Linux所代替,BT将不再维护。
    快速回复 返回顶部 返回列表