一个很low的验证局域网内的机器中永恒之蓝病毒的方法

Posted 2020-10-16

1. 局域网内高发永恒之蓝病毒，但是发现并没有进行勒索加密的迹象，仅是进行了传播，不过因为病毒会将同一个子网掩码内的所有的ip地址进行一遍arp 广播，所以造成公司局域网性能下降，以及很多服务器出现无法ping通（网关不能及时响应提交的arp申请信息），或者出现ping的延迟较高的现象。暂时解决方法如下：
2. 使用wireshark 跟踪局域网内的流量， 主要高发的arp 广播包如下：

 

 

 

判断是否是病毒的方法：

（1）       arp包数据非常多

（2）       给不存在的ip地址发送arp数据包

以上两点基本定位为病毒机器

 

1. 根据mac地址简单分析机器类型，主要的网卡类型

VM类型的网卡的一般为workstation 或者是 ESXi的虚拟机，如果是ESXi的机器可以与耿伟或者是赵本帅联系，询问是否有ESXi的病毒机器刚开机或者是回滚。

 

Pegatron 基本上就是方正的PC机器可能性多一些。

 

Virtualbox相关的虚拟机基本上为自己机器或者是机房PC机器上面运行的虚拟机。

 

1. 通过ping –a ip 的方式 查找机器名

如果机器名有意义基本可以定位到事发的组别。

如果无意义需要继续分析

 

1. 通过Nmap 查看打开的端口
2. 

    

 

如图示：

如果3389端口不开 基本上就是开发自己笔记本上面的虚拟机，基本上无法解决 除非是群发邮件

 

如果80端口打开 可以尝试连接客户端，查看GS用户或者是在线用户，尝试发现是谁在使用该虚拟机

 

如果1433或者是1521端口打开，尝试连接数据库，查看gspaudit 等的表，尝试发现是谁的虚拟机

 

如果开启了8080 以及其他端口 则与java 相关开发人员联系

 

1. 如果能够猜中密码进入远程

运行eventvwr 查看票据登录的安全审计记录，查看最近登录的站点名字，定位是谁在远程虚拟机。

 

7. 我对安全测试这一块的理解实在是太差 不知道有什么好办法能够进入到操作系统内部

   也没有脚本还有其他部分, 只能够通过硬猜的方式进行处理, 效果很差

   安全测试在后续的工作中非常重要  需要多学习 多积累..