攻击者利用 SMB 共享进行有针对性的入侵
SMB 代表服务器消息块,SMB 共享是指使用 SMB 协议在服务器或计算机上创建的网络共享。 SMB 协议是一种网络文件共享协议,允许应用程序和用户访问网络上的文件、打印机和其他资源。
服务器消息块 (SMB) 共享无处不在,足以让持续攻击者大规模滥用。以至于勒索软件运营商都喜欢它。
SMB 代表服务器消息块,SMB 共享是指使用 SMB 协议在服务器或计算机上创建的网络共享。 SMB 协议是一种网络文件共享协议,允许应用程序和用户访问网络上的文件、打印机和其他资源。
服务器:托管共享资源(文件、目录、打印机)的系统称为服务器。这可以是专用文件服务器或与网络上的其他设备共享其资源的计算机。
共享:共享资源(通常是目录或文件夹)可供网络上的其他设备访问。此共享资源称为 SMB 共享。
访问:网络上的设备(例如计算机或其他服务器)可以连接到 SMB 共享来访问共享文件或资源。访问共享通常需要正确的身份验证,例如用户名和密码。
SMB 通常在 Windows 环境中用于文件和打印机共享,但其他操作系统也支持。它有助于网络环境中设备之间的文件和资源的无缝共享。用户可以访问 SMB 共享上的文件,就像这些文件本地存储在自己的设备上一样。
我们的研究团队发现了 276611 个具有开放 SMB 共享且禁用身份验证的 IP 地址。
具有开放 SMB 共享的 IP 地址
在禁用身份验证的情况下启用开放 SMB(服务器消息块)共享会带来重大安全风险。这意味着任何人无需身份验证就可以连接到并可能利用这些共享。
此漏洞会使系统遭受未经授权的访问、数据泄露和潜在的恶意软件传播。攻击者经常以此类开放的 SMB 共享为目标,以进入网络、传播勒索软件或提取敏感信息。在本文https://cybernews.com/security/checkmate-ransomware-victims/中,我们介绍了俄罗斯相关勒索软件如何针对 SMB 文件共享协议。
为什么不良行为者会瞄准中小企业股票?
它可能很容易成为不良行为者的目标,尤其是当存在禁用身份验证的开放 SMB 共享时。不良行为者只需找到禁用身份验证的开放 SMB 共享,使用特定工具远程连接到该共享,然后窃取所有数据、植入恶意软件或在没有额外安全性的情况下加密文件。
SMB 是 Windows 和 Unix 环境中广泛使用的文件和打印机共享协议。它的流行使其成为寻求利用漏洞的攻击者的主要目标。
许多勒索软件攻击涉及对网络共享上的文件进行加密,通常使用 SMB 在网络上传播。攻击者可能专门针对 SMB 共享来有效传播其恶意软件。
攻击者可能会以 SMB 共享为目标,以获取对存储在网络驱动器上的敏感数据的访问权限,然后出于各种恶意目的窃取该数据,例如在暗网市场上出售数据或将其用于勒索。
历史:
WannaCry 勒索软件 (2017):涉及 SMB 共享的最重大事件之一是 WannaCry 勒索软件攻击。 Wannacry 利用 Windows SMB 协议中的漏洞在网络上传播。勒索软件对受感染系统上的文件进行加密,并要求支付赎金才能解密。
NotPetya(2017):NotPetya 是另一个使用 EternalBlue 漏洞的全球勒索软件攻击,其目标是 SMBv1 协议。该恶意软件通过网络迅速传播,造成广泛的破坏和经济损失。
Bad Rabbit Ransomware(2017):Bad Rabbit 是一种勒索软件攻击,它利用针对 SMB 共享的 EternalRomance 漏洞在网络上传播。它影响了组织,特别是乌克兰和俄罗斯的组织。
SMBGhost(2020):Microsoft Windows SMBv3 协议中的 SMBGhost 漏洞 (CVE-2020-0796) 允许远程执行代码。 Microsoft 发布了安全更新来解决此漏洞。虽然有关于概念验证漏洞的报道,但并没有像 WannaCry 那样发生广泛的事件。
要点
- SMB 共享是勒索软件团伙的热门目标
- 在 SMB 共享中禁用身份验证意味着任何人都可以在无需身份验证的情况下连接到 SMB 共享。这为未经授权的用户访问敏感数据或资源打开了大门。
- 暴露的中小企业股票使数据面临风险。恶意行为者可以查看、修改或删除存储在共享上的文件,从而导致潜在的数据泄露。
- 开放式 SMB 共享经常成为恶意软件传播的目标。恶意软件可以通过这些未受保护的共享轻松地在网络中传播,从而影响多个系统。
- 在勒索软件攻击的背景下,开放的 SMB 共享成为有吸引力的目标。攻击者可以加密共享上的文件,并索要解密密钥的赎金。
如何保护 SMB 共享
- 保护开放 SMB 共享的最有效方法是要求对每个连接进行强身份验证,以确保只有授权用户才能访问共享资源。
- 强制使用强大且唯一的用户名和密码来访问 SMB 共享。避免使用默认或容易猜测的凭据。
- 对 SMB 流量实施加密。这包括使用 SMB over VPN 或 SMB over HTTPS 来保护传输中的数据并防止窃听。
SMB 代表服务器消息块,SMB 共享是指使用 SMB 协议在服务器或计算机上创建的网络共享。 SMB 协议是一种网络文件共享协议,允许应用程序和用户访问网络上的文件、打印机和其他资源。
服务器:托管共享资源(文件、目录、打印机)的系统称为服务器。这可以是专用文件服务器或与网络上的其他设备共享其资源的计算机。
共享:共享资源(通常是目录或文件夹)可供网络上的其他设备访问。此共享资源称为 SMB 共享。
访问:网络上的设备(例如计算机或其他服务器)可以连接到 SMB 共享来访问共享文件或资源。访问共享通常需要正确的身份验证,例如用户名和密码。
SMB 通常在 Windows 环境中用于文件和打印机共享,但其他操作系统也支持。它有助于网络环境中设备之间的文件和资源的无缝共享。用户可以访问 SMB 共享上的文件,就像这些文件本地存储在自己的设备上一样。
我们的研究团队发现了 276611 个具有开放 SMB 共享且禁用身份验证的 IP 地址。
具有开放 SMB 共享的 IP 地址
在禁用身份验证的情况下启用开放 SMB(服务器消息块)共享会带来重大安全风险。这意味着任何人无需身份验证就可以连接到并可能利用这些共享。
此漏洞会使系统遭受未经授权的访问、数据泄露和潜在的恶意软件传播。攻击者经常以此类开放的 SMB 共享为目标,以进入网络、传播勒索软件或提取敏感信息。在本文https://cybernews.com/security/checkmate-ransomware-victims/中,我们介绍了俄罗斯相关勒索软件如何针对 SMB 文件共享协议。
为什么不良行为者会瞄准中小企业股票?
它可能很容易成为不良行为者的目标,尤其是当存在禁用身份验证的开放 SMB 共享时。不良行为者只需找到禁用身份验证的开放 SMB 共享,使用特定工具远程连接到该共享,然后窃取所有数据、植入恶意软件或在没有额外安全性的情况下加密文件。
SMB 是 Windows 和 Unix 环境中广泛使用的文件和打印机共享协议。它的流行使其成为寻求利用漏洞的攻击者的主要目标。
许多勒索软件攻击涉及对网络共享上的文件进行加密,通常使用 SMB 在网络上传播。攻击者可能专门针对 SMB 共享来有效传播其恶意软件。
攻击者可能会以 SMB 共享为目标,以获取对存储在网络驱动器上的敏感数据的访问权限,然后出于各种恶意目的窃取该数据,例如在暗网市场上出售数据或将其用于勒索。
历史:
WannaCry 勒索软件 (2017):涉及 SMB 共享的最重大事件之一是 WannaCry 勒索软件攻击。 Wannacry 利用 Windows SMB 协议中的漏洞在网络上传播。勒索软件对受感染系统上的文件进行加密,并要求支付赎金才能解密。
NotPetya(2017):NotPetya 是另一个使用 EternalBlue 漏洞的全球勒索软件攻击,其目标是 SMBv1 协议。该恶意软件通过网络迅速传播,造成广泛的破坏和经济损失。
Bad Rabbit Ransomware(2017):Bad Rabbit 是一种勒索软件攻击,它利用针对 SMB 共享的 EternalRomance 漏洞在网络上传播。它影响了组织,特别是乌克兰和俄罗斯的组织。
SMBGhost(2020):Microsoft Windows SMBv3 协议中的 SMBGhost 漏洞 (CVE-2020-0796) 允许远程执行代码。 Microsoft 发布了安全更新来解决此漏洞。虽然有关于概念验证漏洞的报道,但并没有像 WannaCry 那样发生广泛的事件。
要点
- SMB 共享是勒索软件团伙的热门目标
- 在 SMB 共享中禁用身份验证意味着任何人都可以在无需身份验证的情况下连接到 SMB 共享。这为未经授权的用户访问敏感数据或资源打开了大门。
- 暴露的中小企业股票使数据面临风险。恶意行为者可以查看、修改或删除存储在共享上的文件,从而导致潜在的数据泄露。
- 开放式 SMB 共享经常成为恶意软件传播的目标。恶意软件可以通过这些未受保护的共享轻松地在网络中传播,从而影响多个系统。
- 在勒索软件攻击的背景下,开放的 SMB 共享成为有吸引力的目标。攻击者可以加密共享上的文件,并索要解密密钥的赎金。
如何保护 SMB 共享
- 保护开放 SMB 共享的最有效方法是要求对每个连接进行强身份验证,以确保只有授权用户才能访问共享资源。
- 强制使用强大且唯一的用户名和密码来访问 SMB 共享。避免使用默认或容易猜测的凭据。
- 对 SMB 流量实施加密。这包括使用 SMB over VPN 或 SMB over HTTPS 来保护传输中的数据并防止窃听。
关于作者
评论0次