CVE-2017-0144 — CVSS: 9.3 (Kritik)
SMBv1 Uzaktan Kod Yürütme (EternalBlue) — Windows SMB Server'daki güvenlik açığı saldırganlara kimlik doğrulama olmadan uzaktan kod çalıştırma imkânı sağlar.
Zafiyet Detayları
| CVE Kimliği | CVE-2017-0144 |
|---|---|
| CVSS Puanı | 9.3 / 10.0 — Kritik |
| Yayın Yılı | 2017 |
| Saldırı Vektörü | NETWORK |
| Etkilenen Sistemler | Windows XP, 7, 8.1, Server 2008/2012/2016 |
Bu Zafiyeti Kullanan Malware 패밀리leri
- WannaCry
- NotPetya
- Petya
- Mirai
Toplam 4 malware ailesi bu güvenlik açığından yararlanmaktadır.
Zafiyet Açıklaması
SMBv1 Uzaktan Kod Yürütme (EternalBlue) — Windows SMB Server'daki güvenlik açığı saldırganlara kimlik doğrulama olmadan uzaktan kod çalıştırma imkânı sağlar.
Yama ve Azaltma Önerileri
- 신뢰도lik güncellemesini derhal uygulayın — NVD: CVE-2017-0144
- Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
- IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
- Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
- Yedeklerinizi doğrulayın ve güncel tutun
- Etkilenen sistemlerde tehdit avcılığı yapın
MITRE ATT&CK Haritalama
Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.
WannaCry — 악성코드 프로필
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
기술 세부 정보
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
기능 및 동작
C2 서버 (이 패밀리에 대해 3개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.