С бани еду

Отсутсвие мартовских обновлений на windows, условия проникновения - перейти по ссылке на гавносайте или в почте так же может быть баннерная сеть, уязвимость MS17-010, после заражения, сканирует сеть и инфицирует все машины подряд, через ту же дыру. ЛК конечно знатно обоссался в гос. секторе, ESET еще 5 апреля сделали апдейт.

Лк это лаба каспера ?

Отсутсвие мартовских обновлений на windows, условия проникновения - перейти по ссылке на гавносайте или в почте так же может быть баннерная сеть, уязвимость MS17-010, после заражения, сканирует сеть и инфицирует все машины подряд, через ту же дыру. ЛК конечно знатно обоссался в гос. секторе, ESET еще 5 апреля сделали апдейт.

Ага я хз как получилось что проспали

14 марта был апдейт

Лк это лаба каспера ?

Да

Сцуко уязвимости лет 30

Крутая новость в том, что типы, раздебажили wcry, увидели через WS, куда идут запросы, удивились что нет одного домена в списке, создали его и остановили всю эпидемию. Ахахахах.

Я ору просто

Оказалось хакер заложил возможность остановки распространения через с&с наличием домена похожего на sha сумму.com

говорят не хакер

а анб оставило возможность

Оно и запустило вирус

Это не хакеры были

И не анб

А два свободных исследователя ИБ

Это не хакеры были

Навальный?

Навальный?

Лесом этого дебила

блять я думал это Навальный

А два свободных исследователя ИБ

ну они норм так исследовали

ну они норм так исследовали

У людей печаль, все хотят разобраться, 75 стран пиздануло

Исследование скоко дебилов фаерволы не юзают и скоко из них биткойны переведет?

Естественно найдутся люди покапать

Исследование скоко дебилов фаерволы не юзают и скоко из них биткойны переведет?

Все дебилы использовали fw

Естественно найдутся люди покапать

Полюбому русский след

Читай внимательно про дыру

Это RCE, через kernel по сети

Гуляют fw лесом

Читай внимательно про дыру

А кто мешает сети фаерволить

Только шнурок

Везде smb вот прям нужно?

Ну делай vlan на каждую машину

Параноикам всегда легче жить

Acl и изоляцию настроить

И норм

Что ты собрался настраивать? Ты все типы траффика будешь в acl совать?

Может запретишь ад с машинами контактировать?

Что за чушь

Что ты собрался настраивать? Ты все типы траффика будешь в acl совать?

Зачем все, достаточно 445

Вернись в реальность

Не достаточно

Может запретишь ад с машинами контактировать?

На л3 то через acl пускай

На л3 то через acl пускай

Достаточно просто иметь нормальный копр антивирус

Тогда 100 очков

Дырка - в smb, дальше сами решайте что куда фильтровать

5к машин обращаются к сотням серверов в ферме, ты осознаешь что ты собрался там фильтровать?

DLP еще купить не забудь посоветовать

5к машин обращаются к сотням серверов в ферме, ты осознаешь что ты собрался там фильтровать?

445 порт?

Кабинеты в dmz загнать

Ну что за понты то а

какие все типы трафика, ты о чем вообще тут

у тебя паника видимо

Достаточно просто иметь нормальный копр антивирус

Ага

Друг, почитай про rce

WannaCrypt (также известный как WCry[1] и WanaCrypt0r 2.0) — компьютерный вирус, поражающий операционную систему Microsoft Windows, с помощью которого была совершена кибератака на правительственные и коммерческие учреждения в мае 2017 года[2]. Одними из первых были атакованы компьютеры Испании, потом вирус распространился на другие страны. От вируса пострадали компьютеры частных лиц. Используется как средство вымогательства. По состоянию на 14:00 13 мая 2017 года инфицированны 131000 компьютеров из 99 стран. Требование перевести деньги переведены на 28 языков мира.

Отсутсвие мартовских обновлений на windows, условия проникновения - перейти по ссылке на гавносайте или в почте так же может быть баннерная сеть, уязвимость MS17-010, после заражения, сканирует сеть и инфицирует все машины подряд, через ту же дыру. ЛК конечно знатно обоссался в гос. секторе, ESET еще 5 апреля сделали апдейт.

Друг, почитай про rce

где? может я что то кроме smb упустил?

Точка, не начинать про сеть, когда решилось бы все одним портом smb

Да

Упустил

Google

и каким еще способом заражения идут?

перейти по ссылке? не смеши меня

WMI, AD, browser

Это по мимо smb

Это версия одного здовреда 2.0

какой browser то? их несколько

ERROR: S client not available

ты дичь какуюто пишешь

Потому столько систем и улетело, что не, так просто как тебе кажется

во всех движках одна и таже дырка?

Блять, дырка в винде, как по твоему это говно попало в Сбер например?

Потому столько систем и улетело, что не, так просто как тебе кажется

улетело потому что некоторые 2012r2 пихают наружу без фаервола, дальше он заражает всю корп сеть, потому что никаких ацл небыло в ней. Вроде стандартно

Письмо они там открыли?

Блять, дырка в винде, как по твоему это говно попало в Сбер например?

дырка в SMB, так и попало

Как блять? Как активация прошла?

Конкретно схема

Это инсайд

Не может бытт инсайда в один в 75 странах

Как блять? Как активация прошла?

я не понимаю тебя, ты спрашиваешь как пошло распространение?

Поэтому способ активации по ссылке

Насрать

Письмо или бразуер

Насрать какой браузер

Дыра в винде

Письмо или бразуер

письмо это только начало, бух открыл письмо и всю сеть заразил без ACL с дярявым SMB

какая ссылка?

скачать - запустить?

дальше схема таже

Слушай ну ты реально думаешь что после первой волны

Антиспам не подкуртили

Не сделали dpi

дыра в венде - в SMB, все. ЗАкрыли SMB - дыр нет

Совсем все лохи

Дыра в смб позволяет делать инъекцию по всей сети

Это никак не страхует попадание на отдельные машины

Дыр нет

Дыра в смб позволяет делать инъекцию по всей сети

да, далее распространение с этой сети на другие сети

Не факт

Свое все точно по пизде пойдет