Bisakah "wannacrypt" (wcrypt) menyebar melalui server Linux yang melayani melalui SMB?

8

Apakah mungkin, atau hanya menyebar melalui mesin Windows yang melayani lebih dari SMB?

Jika Linux melayani melalui SMB dapat menyebarkan wannacrypt, apa pendekatan yang harus diambil?

fredrik
sumber
Saya akan menantang anggapan, bahwa Wine tidak terpengaruh. AFAIK Wine menggunakan DLL yang disediakan, jadi ini harus diperiksa secara menyeluruh.
byteborg
WanaCrypt0r telah berhasil dieksekusi dalam Wine oleh sebuah mod Ask Ubuntu: askubuntu.com/a/914954/271
Andrea Lazzarotto

Jawaban:

8

Secara umum setiap ransomware dapat mengenkripsi apa pun yang dapat diakses oleh pengguna yang terinfeksi, seperti malware lain yang dapat menulis ke mana saja menggunakan izin akun yang menjalankannya. Itu tidak sama dengan menjadi aktif untuk pengguna lain, tetapi dapat memengaruhi semua saham yang dapat diakses pengguna.

Penanggulangan:

  • Cegah dengan perlindungan virus & firewall, seperti biasa.

  • Paksa semua klien untuk menginstal pembaruan secara teratur.

  • Cadangan adalah cara paling ampuh untuk menangani semua ransomware setelah infeksi. Akhirnya beberapa pengguna Anda akan memiliki satu yang belum dikenali oleh perlindungan virus Anda. Punya cadangan yang tidak dapat diakses oleh pengguna Anda. Kalau tidak, cadangan tidak akan berguna, karena ransomware juga memiliki akses yang sama untuk menulis melalui cadangan.

    Pencadangan offline adalah cara paling aman untuk mencapai hal ini, tetapi mungkin tidak terlalu praktis karena Anda perlu melakukan lebih banyak secara manual, dan ingatlah untuk melakukannya secara teratur.

    Saya biasanya memiliki mesin independen yang menggunakan kredensial terpisah untuk mengakses lokasi yang akan dicadangkan. Di sana, saya memiliki cadangan tambahan yang dapat menyimpan perubahan apa pun selama beberapa minggu atau bulan. Ini baik terhadap kesalahan ransomware dan pengguna.


WannaCry menggunakan kerentanan dalam implementasi SMB untuk Windows: protokolnya sendiri tidak rentan. Dari artikel berita di MalwareLess :

Serangan WannaCry dimulai dengan menggunakan eksekusi kode jauh SMBv2 di Microsoft Windows OS. Eksploitasi EternalBlue telah tersedia untuk umum melalui tempat Shadowbrokers pada 14 April 2017 dan ditambal oleh Microsoft pada 14 Maret. Namun, banyak perusahaan dan organisasi publik belum menginstal tambalan ke sistem mereka.

Patch yang disebutkan adalah MS17-010 , Pembaruan Keamanan untuk Microsoft Windows SMB Server ( 4013389 ):

Pembaruan keamanan ini mengatasi kerentanan dalam Microsoft Windows. Kerentanan yang paling parah dapat memungkinkan eksekusi kode jarak jauh jika penyerang mengirim pesan yang dibuat khusus ke server Microsoft Server Message Block 1.0 (SMBv1).

Karena itu, itu tidak mempengaruhi Linux. Windows juga aman setelah menginstal pembaruan. Namun, jika masih ada komputer klien dengan Windows yang tidak ditambal, data tentang pembagian mungkin tidak aman.

Esa Jokinen
sumber
Maksud saya "secara umum" Anda tidak boleh berkonsentrasi pada apa yang dapat dilakukan oleh ransomware tunggal saat ini. Ransomware berkembang dan pengguna Anda mungkin terinfeksi dengan beberapa ransomware lainnya.
Esa Jokinen
Terima kasih - walaupun Anda benar, ini tidak benar-benar menjawab pertanyaan awal saya tentang apakah wannacry hanya menyebar melalui SMBv1 di Windows.
fredrik
Jika Anda menemukan jawaban, Anda dapat menambahkan kutipan sebagai jawaban alih-alih mengedit pertanyaan asli. Namun, bahkan jika bagian worm dari malware tidak dapat menyebar menggunakan selain dari implementasi Microsoft, berarti protokol itu sendiri bukan masalah, data tidak dapat dianggap aman.
Esa Jokinen
1

Ditemukan ini, meskipun tidak ada sumber yang disediakan untuk mendukung klaim:

WannaCry mengeksploitasi sejumlah kelemahan dalam implementasi Microsoft terhadap protokol SMB1. Karena ini adalah kelemahan implementasi daripada kelemahan struktural dalam protokol itu sendiri, sistem Linux kebal. Ini benar terlepas dari apakah sistem menjalankan Samba, Wine, atau lapisan emulasi Windows lainnya.

https://security.stackexchange.com/a/159405

fredrik
sumber
komentar selanjutnya menunjukkan bahwa kekebalan Linux tidak sempurna
schroeder
0

Tidak, tetapi jika Anda khawatir ...

Hal lain yang harus dilakukan adalah menonaktifkan kemampuan klien untuk menghubungkan port keluar TCP 137, 139 dan 445, dan UDP 137, 138 ke WAN pada router Anda.

Dengan cara ini Anda mencegah PC Anda terhubung ke server SMB non-LAN. Anda juga harus menggunakan firewall Windows untuk mencegah SMB publik / swasta dan memungkinkan komunikasi hanya domain untuk rentang subnet Anda jika Anda bisa.

Instal pembaruan dan nonaktifkan SMB 1.0 jika memungkinkan. Anda seharusnya tidak perlu khawatir jika Anda melakukan ini.

Noty Pyro
sumber