Có thể lan truyền wannacrypt trực tuyến (wcrypt) qua máy chủ Linux phục vụ trên SMB không?


8

Có thể, hoặc điều này sẽ chỉ lan truyền qua một máy Windows phục vụ trên SMB?

Nếu Linux phục vụ trên SMB có thể truyền bá wannacrypt, thì cách tiếp cận là gì?


Tôi thách thức giả định rằng Wine không bị ảnh hưởng. AFAIK Wine đang sử dụng các DLL được cung cấp, vì vậy điều này cần được kiểm tra kỹ lưỡng.
byteborg

WanaCrypt0r đã được thực hiện thành công trong Wine bởi một bản mod Ask Ubuntu: askubfox.com/a/914954/271
Andrea Lazzarotto

Câu trả lời:


8

Nói chung, bất kỳ phần mềm ransomware nào cũng có thể mã hóa mọi thứ mà người dùng bị nhiễm có quyền truy cập, giống như bất kỳ phần mềm độc hại nào khác có thể ghi vào bất cứ nơi nào bằng quyền của tài khoản chạy nó. Điều đó không bằng việc nó trở nên tích cực cho những người dùng khác, nhưng nó có thể ảnh hưởng đến tất cả các chia sẻ mà người dùng có quyền truy cập.

Biện pháp đối phó:

  • Ngăn chặn với virus và tường lửa, như thường lệ.

  • Buộc tất cả khách hàng cài đặt bản cập nhật thường xuyên.

  • Sao lưu là cách mạnh mẽ nhất để xử lý tất cả các ransomware sau khi bị nhiễm. Cuối cùng, một số người dùng của bạn sẽ có một người chưa được công nhận bởi chương trình chống vi-rút của bạn. Có một bản sao lưu mà người dùng của bạn không có quyền truy cập ghi. Mặt khác, các bản sao lưu là vô ích, bởi vì ransomware cũng có quyền truy cập bằng nhau để ghi lên các bản sao lưu.

    Sao lưu ngoại tuyến là cách an toàn nhất để đạt được điều này, nhưng có thể không thực tế lắm vì bạn cần thực hiện thủ công hơn và nhớ thực hiện thường xuyên.

    Tôi thường có một máy độc lập sử dụng thông tin đăng nhập riêng biệt để truy cập vào các vị trí cần sao lưu. Ở đó, tôi có bản sao lưu gia tăng có thể lưu trữ bất kỳ thay đổi nào trong vài tuần hoặc vài tháng. Nó tốt chống lại cả lỗi ransomware và lỗi người dùng.


WannaCry đang sử dụng một lỗ hổng trong việc triển khai SMB của Windows: bản thân giao thức không dễ bị tấn công. Từ một bài báo trên MalwareLess :

Các cuộc tấn công WannaCry được bắt đầu bằng cách sử dụng mã thực thi từ xa SMBv2 trong Microsoft Windows OS. Khai thác EternalBlue đã được cung cấp công khai thông qua bãi rác Shadowbrokers vào ngày 14 tháng 4 năm 2017 và được Microsoft vá vào ngày 14 tháng 3. Tuy nhiên, nhiều công ty và tổ chức công cộng chưa cài đặt bản vá cho hệ thống của họ.

Bản vá được đề cập là MS17-010 , Cập nhật bảo mật cho Microsoft Windows SMB Server ( 4013389 ):

Bản cập nhật bảo mật này giải quyết các lỗ hổng trong Microsoft Windows. Các lỗ hổng nghiêm trọng nhất có thể cho phép thực thi mã từ xa nếu kẻ tấn công gửi các tin nhắn được chế tạo đặc biệt đến máy chủ Microsoft Server Message Block 1.0 (SMBv1).

Do đó, nó không ảnh hưởng đến Linux. Windows cũng an toàn sau khi cài đặt bản cập nhật. Tuy nhiên, nếu vẫn còn một máy khách có Windows không được vá, dữ liệu trên chia sẻ có thể không an toàn.


Bởi "nói chung" Tôi có nghĩa là bạn không nên tập trung vào những gì một ransomware duy nhất có thể làm hiện tại. Ransomware phát triển và người dùng của bạn có thể bị nhiễm một số ransomware khác.
Esa Jokinen

Cảm ơn - mặc dù bạn đã đúng, nhưng điều này không thực sự trả lời câu hỏi ban đầu của tôi về việc liệu Wannacry có lây lan chỉ qua SMBv1 trên Windows hay không.
fredrik

Nếu bạn tìm thấy câu trả lời, bạn có thể thêm trích dẫn làm câu trả lời thay vì chỉnh sửa câu hỏi gốc. Tuy nhiên, ngay cả khi phần sâu của phần mềm độc hại không thể lây lan bằng cách sử dụng ngoài việc triển khai của Microsoft, có nghĩa là bản thân giao thức không phải là vấn đề, dữ liệu không thể được coi là an toàn.
Esa Jokinen

1

Tìm thấy điều này, mặc dù không có nguồn nào được cung cấp để sao lưu xác nhận quyền sở hữu:

WannaCry khai thác một loạt các lỗ hổng trong việc triển khai giao thức SMB1 của Microsoft. Vì đây là các lỗi thực thi thay vì các lỗi cấu trúc trong chính giao thức, các hệ thống Linux là miễn dịch. Điều này đúng bất kể các hệ thống đang chạy Samba, Wine hay bất kỳ lớp mô phỏng Windows nào khác.

https://security.stackexchange.com/a/159405


Các bình luận tiếp theo cho thấy khả năng miễn dịch của Linux là không hoàn hảo
schroeder

0

Không, nhưng nếu bạn lo lắng ...

Một điều cần làm là vô hiệu hóa khả năng của khách hàng để kết nối các cổng ra TCP TCP, 139 và 445 và UDP 137, 138 với mạng WAN trên bộ định tuyến của bạn.

Bằng cách này, bạn ngăn PC của mình kết nối với máy chủ SMB không LAN. Bạn cũng nên sử dụng tường lửa Windows để ngăn SMB công khai / riêng tư và cho phép liên lạc chỉ có tên miền cho phạm vi mạng con của bạn nếu bạn có thể.

Cuối cùng cài đặt bản cập nhật và vô hiệu hóa SMB 1.0 nếu có thể. Bạn không nên có bất cứ điều gì phải lo lắng nếu bạn làm điều này.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.