[“钟山”项目简介]一些端口防护的想法

释放双眼,带上耳机,听听看~!

一些端口防护的想法

为什么要重视端口?

2017年,勒索病毒疯狂传播。据“火绒威胁情报系统”监测和和评估,从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击, 攻击次数高达1700万余次,且整体呈上升趋势。
那为什么要了解端口呢?
以下引用自CSDN,作者:oe1019 链接:https://blog.csdn.net/oe1019/article/details/72123432
“最近比特币勒索病毒很流行啊,但是为啥要封掉什么445,13x端口呢?13x这几个端口主要是跑了一个叫做netbios的服务。445这个端口是微软的一个什么叫做microsoft-ds的东西。 
先看13x和netbios https://en.wikipedia.org/wiki/NetBIOS netbios是Network Basic Input/Output System的缩写,是会话层的一个实现。包含命名,数据管理,会话管理三个服务。(我看就是137,138,139三个端口) 地气一点。你的电脑要访问个网站,网站上的数据要发到你的手机。类似于发快递 把你正在看的这篇文章,于现在,发送到你的手机/电脑上 把xx化妆品在北京时间明天,发到A市B区C街道,联系人某某 在netbios系统中,137,138,139这三个端口就是帮助你的手机/电脑成功接收到这个快递用的。13提供类似于A市B区C街道的这种地址服务。 
翻回来我们说这个445,和SMB https://en.wikipedia.org/wiki/Server_Message_Block In computer networking, Server Message Block (SMB), one version of which was also known as Common Internet File System,operates as an application-layer network protocol[3] mainly used for providing shared access to files, printers, and serial ports and miscellaneous communications between nodes on a network.  https://technet.microsoft.com/zh-cn/library/cc939973.aspx 
微软用这个445端口干了这么一个叫做CIFS的东西,它的第一句话:The Common Internet File System (CIFS) is the standard way that computer users share files across corporate intranets and the Internet.

 谷歌翻译:通用互联网文件系统(CIFS)是计算机用户在企业内部网和互联网之间共享文件的标准方式。也就是说,这东西就是帮你链接远程文件,打印机什么的用的。它用的是137,138,139端口上的netbios服务。我给你共享个文件,在F盘的。。。我给你发个快递,快递地址是A市B区C街道 “
总体的来说,这些端口仅仅用于文件的传输及链接,圈重点“链接”,那?为什么要链接呢?

一般的来说,你发布病毒,肯定要维持访问对吧,这种情况不仅仅在勒索病毒上体现的淋淋尽至,在木马、钓鱼、远控、漏洞利用、XSS这些都可以体现,我们称之为“维持访问或后门”
如果你把端口给关闭了呢?可能会发生以下情况
网页出现404,勒索病毒链接不到主控端,对面黑客心情会很复杂,比如:“卧槽,咋下线了一台,他把我病毒给破了?真牛逼!”再想想勒索病毒本身会有多少功能失效哈
文件传输失效,与主控端失联、无法传播到公司其他主机上,可以参考下列图:

如图所示,user 1被勒索病毒感染从而在内网疯狂通过内网传播,但是user 2\3\4\5,由于他们非常机智将端口关闭从而阻挡了病毒的威胁,但user 1 小陈就难逃此劫了。
如果你看了上面这些,你一定会想,卧槽,端口这么牛逼,我是不是要关闭这些端口

但是端口很多,有常用端口和不常用端口还有未知的端口,所以我们团队有一个想法,我们称之为“钟山”

以下是简介、原理、功能及定位。

“钟山”项目简介

“钟山”由国内各个网络安全和相关团队及社会各界人士共同开发,国内非盈利性质的安全团队“江雪分析主导”预计和各大团队联合开发。以应对未来无止境的安全威胁 的背景下开发,开发后主要用于中小型企业公司内网及普通Pc用户,免费对外开源及下载。

原理

程序将自动检索相关开放的端口及占用情况作出相应的判断,假如该程序使用的是8080端口且用户不同意的情况下,将自动把该程序拉入所谓的“黑名单”,在不同的程序中使用相同的端口同时,如果在黑名单的程序也在使用相同的端口,则该程序将无法启动或运行。

功能

黑名单:可实现在白名单和黑名单里面的程序,黑名单的程序无法运行,而白名单的程序正常运行,以保证用户的安全

白名单:可以理解为在白名单里面的程序将不会弹出窗口。

提醒:在运行程序的同时,我们的程序将自动检测该程序所使用的端口以提醒用户,用户可自行判断,通常我们如果检测到高端口或不常用端口时会提醒用户选择“拦截”

端口检测:自动获取该程序使用的端口,从而在“提醒”时在窗口中显示该程序所使用的端口,以更好的方便用户进行判断

虚拟化系统运行:在本地创建一个虚拟化系统,所有程序运行时先在里面检测,如检测到高端口或不常用端口则将提醒用户注意安全。

自动更新:我们会第一时间了解到最新的威胁情报,如果有类似的相关漏洞或者程序、病毒等利用某某某端口进行,我们则第一时间拦截此端口或禁止在本地运行。

蓝牙更新:如果你的电脑支持链接蓝牙,我们的终端可提供最新的更新文件提供下载,可将手机里面的东西传送的电脑上以实现“蓝牙更新”

切菠菜:如果我们接到了威胁平台的公告,如果我们觉得这个情报涉及面太广,我们会提供一键断网的功能以实现用户的“自保”,到时还请各位用户及时关心互联网安全最新动态。

题外话:

我们希望,有更多的人,加入到我们这个联合开发的圈子中,我们欢迎各厂商进来指导及提出意见,我们会竭尽全力做好“钟山”每一个功能。

假如我们开发完了,“钟山”会在圈子社区,未命名安全社区等相关平台中开放下载及源码。
参与开发团队:江雪分析······(持续更新中。如果你看到这篇文章,欢迎加入我们,一起开发。

长按识别二维码,了解更多





本文源自微信公众号:渗透云笔记

人已赞赏
安全工具

MOCTF部分Web题攻略

2019-10-16 17:16:19

安全工具

小白都能玩转的Nmap(一)

2019-10-16 17:16:25

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索