ランサムウェアの実証コードを魔改造版 Windows 2000で試してみた
副題: ランサムウェアで話題のMS17-010 と魔改造版 Windows 2000 その2
例の脆弱性調査プログラムのステータスコードが想定外なのでは?
と言う指摘を頂いたのでチェックしてみました
ランサムウェアで話題のMS17-010 と魔改造版 Windows 2000
| logging.basicConfig(level=logging.DEBUG, format="%(message)s") |
| nts = 0 for i in nt_status: nts = nts / 256 + ord(i)*256*256*256 log.info("nt_status = 0x%x" % ( nts) ) |
あんまり、Python よく知らないので、コード適当ですみません・ω・;
結果
| Connecting to \\127.0.0.1\IPC$ server_component : 424d53ff smb_command : 75 error_class : 2 error_code : 01 flags : 98 flags2 : 2001 process_id_high : 00 signature : 00000000 reserved2 : 00 tree_id : 00 process_id : 4b2f user_id : 800 multiplex_id : 5ec5 generate peeknamedpipe request server_component : 424d53ff smb_command : 25 error_class : 2 error_code : 05 flags : 98 flags2 : 2801 process_id_high : 00 signature : 00000000 reserved2 : 00 tree_id : 00 process_id : 4b2f user_id : 800 multiplex_id : 5ec5 nt_status = 0x50002 [-] [127.0.0.1] Unable to detect if this host is vulnerable |
分かった!
この実証コード、匿名ファイルアクセスの共有リソースであるIPC$ を使ってるんだ!
つまり、魔改造版 Windows 2000は 共有リソースへのアクセスポリシーが変更されてるため、2つ目の処理でアクセスできなくてエラーになってる ・ω・
エラーコードは 0x00010002 STATUS_INVALID_SMB
エラーのまま処理をしてるため
0x00050002 STATUS_SMB_BAD_TID になってることが判明!
ちなみに、脆弱性のある Windows 7で同じことをやると
エラーコードは 0x00010002 STATUS_INVALID_SMB
→ 0x005B0002 STATUS_SMB_BAD_UID になるようだ
・ω・ セキュリティポリシーの設定は無駄じゃなかったようだ
でも、これ、ID と パスワード破られたら、ランサムウェアに感染するってことを意味してるから、何らかの対策が必要だね
※だいぶ前に書いたけど、XP用のやつWin2000に持ってきても動かないので、スタンドアロンで使ってて、怖い人はファイル共有OFF ( NET STOP SRV) すると安全。
Translate
> ID と パスワード破られたら、ランサムウェアに感染
Windows Server 2003を運用しているのですが、
MSのパッチ当てた後でも共有フォルダにアクセス権限があれば感染するという理解でいいですか?
> ID と パスワード破られたら、ランサムウェアに感染
Windows Server 2003を運用しているのですが、
MSのパッチ当てた後でも共有フォルダにアクセス権限があれば感染するという理解でいいですか?
パッチ未適用で、Vista より前のOSは共有フォルダのアクセス権があれば感染するという認識で。
感染はしませんが、アクセス権があるとブルーとフォース攻撃ができるので、あまり好ましくないです。
パッチ未適用で、Vista より前のOSは共有フォルダのアクセス権があれば感染するという認識で。
感染はしませんが、アクセス権があるとブルーとフォース攻撃ができるので、あまり好ましくないです。
この機会に
XPと7でファイル共用(ワークグループ)、ネットワーク経由プリンターを使用する場合(NTT光のルーター接続)しておいた方が良いセキュリティ対策等があれば
教えてもらえれば嬉しいです。
最新修正ファイルをあてるとかはウイルスソフトは当然として、
個人的には匿名ログオンを制限 「RestrictAnonymousを1」にする。
CLMCompatibilityLevel を5 にする
Gustアカウントの無効化 Support_388945a0 HelpAssistantアカウントの削除
Documents and SettingsフォルダーをDドライブに移動等をしています。
パスワード間違いのロックアウトは20回にしています(酷い目に逢ったので…)
また、
Documents and Settingsを移動しているせいでしょうか?黒翼猫様のjava6.131をインストールしようとすると、コマンドコンソールでファイルが見つかりませんと怒られてしまいます。
この機会に
XPと7でファイル共用(ワークグループ)、ネットワーク経由プリンターを使用する場合(NTT光のルーター接続)しておいた方が良いセキュリティ対策等があれば
教えてもらえれば嬉しいです。
最新修正ファイルをあてるとかはウイルスソフトは当然として、
個人的には匿名ログオンを制限 「RestrictAnonymousを1」にする。
CLMCompatibilityLevel を5 にする
Gustアカウントの無効化 Support_388945a0 HelpAssistantアカウントの削除
Documents and SettingsフォルダーをDドライブに移動等をしています。
パスワード間違いのロックアウトは20回にしています(酷い目に逢ったので…)
また、
Documents and Settingsを移動しているせいでしょうか?黒翼猫様のjava6.131をインストールしようとすると、コマンドコンソールでファイルが見つかりませんと怒られてしまいます。