ADRA NDR 设备能否检测到 EternalBlue 攻击并进行应对?
最后修订日期:
2023-02-13
适用产品
ADRA NDR 设备
概述
EternalBlue 攻击 (MS17-010) 是一系列 Windows 漏洞,影响在 Windows 设备上使用服务器消息块版本 1 (SMBv1) 协议的服务。
EternalBlue 是一个自我传播的 Windows 漏洞,影响大多数尚未打补丁的 Windows 版本。勒索软件通过利用缓冲区溢出和堆喷射等技术进入本地网络中的 Windows 电脑,将使用 SMB v1 协议的文件视为目标。初始攻击之后是植入和传播恶意软件,例如 Bad Rabbit、NotPetya 和 WannaCry。这些勒索软件及其变体通过加密设备上的文件来定位易受攻击的设备,然后索要赎金作为回报。
详细信息
ADRA NDR 设备会立即检测到 EternalBlue 攻击的内网漫游,并在攻击迁移到其他 Windows 设备之前保护网络。检测之后,ADRA NDR 会在勒索软件植入自身并传播到网络内其他 Windows 设备或启用了 SMBv1 的设备之前向网络管理员发送高风险威胁通知。此警报包括网络管理员可用于识别、隔离暴露的设备并为其打补丁的信息。
如果 EternalBlue 攻击无法立即得到解决,网络管理员可以通过使用 ADRA NDR 隔离暴露的设备来限制传播。这有助于避免在暴露的设备上植入勒索软件和恶意攻击工具。
重要
网络管理员必须使用防火墙来阻止通过 Windows 设备上的 TCP 端口 445 传输的流量。
