CVE-2017-0144 — CVSS: 9.3 (Kritik)
SMBv1 Uzaktan Kod Yürütme (EternalBlue) — Windows SMB Server'daki güvenlik açığı saldırganlara kimlik doğrulama olmadan uzaktan kod çalıştırma imkânı sağlar.
Zafiyet Detayları
| CVE Kimliği | CVE-2017-0144 |
|---|---|
| CVSS Puanı | 9.3 / 10.0 — Kritik |
| Yayın Yılı | 2017 |
| Saldırı Vektörü | NETWORK |
| Etkilenen Sistemler | Windows XP, 7, 8.1, Server 2008/2012/2016 |
Bu Zafiyeti Kullanan Malware 家族leri
- WannaCry
- NotPetya
- Petya
- Mirai
Toplam 4 malware ailesi bu güvenlik açığından yararlanmaktadır.
Zafiyet Açıklaması
SMBv1 Uzaktan Kod Yürütme (EternalBlue) — Windows SMB Server'daki güvenlik açığı saldırganlara kimlik doğrulama olmadan uzaktan kod çalıştırma imkânı sağlar.
Yama ve Azaltma Önerileri
- 置信度lik güncellemesini derhal uygulayın — NVD: CVE-2017-0144
- Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
- IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
- Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
- Yedeklerinizi doğrulayın ve güncel tutun
- Etkilenen sistemlerde tehdit avcılığı yapın
MITRE ATT&CK Haritalama
Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.
WannaCry — 恶意软件档案
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
技术细节
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
能力与行为
C2服务器 (该家族共有 3 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。