永恒之蓝漏洞分析与防护技术

前言

自从上次快把HEVD栈溢出的博客写完，不小心手贱点关了，结果菜鸡的我一顿操作都没找回来，就不想写博客了(后来大佬说使用windbg附加，找到那块内存，dump出来就可以还原了，自己还是太年轻呀)。隔了一个月没写博客，就感觉很多东西记不住，还是简单写写吧。

2017年，网络安全界充斥着有关声名狼藉的WannaCry勒索软件攻击的新闻。这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局（NSA）漏洞后不久开始的。利用全球范围内未打补丁的系统，使用名为“ EternalBlue”的漏洞的WannaCry攻击遍及150个国家。自2016年以来，臭名昭著的Shadow Brokers黑客组织一直活跃，并负责泄漏一些NSA漏洞，零时差和黑客工具。根据Wikipedia的报道，影子经纪人组织迄今已报告了五次泄漏。第五次泄漏发生在2017年4月14日，被证明是最具破坏性的。当天，Microsoft发布了一篇博客文章，概述了可用的补丁程序，这些补丁程序已解决了Shadow Brokers泄露的漏洞。漏洞发生前一个月（2017年3月14日），Microsoft已发布安全公告MS17-010，该公告解决了一些未修补的漏洞，包括“ EternalBlue”漏洞所利用的漏洞。但是，许多用户未应用该补丁，并且在2017年5月12日遭到了历史上最大的勒索软件攻击– WannaCry攻击。WannaCry成功感染了150多个国家的23万多台计算机后，引起了全球关注。这次袭击的主要受害者是全球知名的组织，包括医院和电信，天然气，电力和其他公用事业提供商。WannaCry爆发后不久，发生了其他严重的攻击，这些攻击也被发现使用了EternalBlue以及来自同一NSA泄漏的其他漏洞利用和黑客工具。

Shadow Brokers Group
Shadow Brokers组织以NSA泄漏而闻名，其中包含漏洞利用，零时差和黑客工具。该小组的第一个已知泄漏发生在2016年8月。在最近一次泄漏之后，Shadow Brokers组改变了其业务模式并开始进行付费订阅。在该组织造成的所有公开泄漏中，第五次泄漏-包括许多网络攻击中使用的EternalBlue漏洞-创造了历史。

EternalBlue（永恒之蓝）据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块，由于其涉及漏洞的影响广泛性及利用稳定性，在被公开以后为破坏性巨大的勒索蠕虫WannaCry所用而名噪一时。
 

模拟环境：

1、使用GNS3配合VMware搭建三个模拟器，使用不同网段、不同网络适配器搭建，wind7使用 vm_net 1网卡模拟内网，KALL使用VM_net 8 模拟外网进行永恒之蓝漏洞攻击

漏洞利用原理

永恒之蓝漏洞的利用原理是通过向Windows服务器的SMBv1服务发送精心构造的命令造成溢出，最终导致任意命令的执行。在Windows操作系统中，SMB服务默认是开启的，监听端口默认为445，因此该漏洞造成的影响极大。

漏洞利用过程
新版本的MSF默认已经集成了MS17-010漏洞的测试模块

我们使用auxiliary/scanner/smb/smb_ms17_010模块进行漏洞检测。我们使用show options查看对应的参数。我们这里得设置好一个网段，一般都是设置外网服务器的网段地址，然后线程我们这边设置50。

证明确实存在永恒之蓝漏洞

那么接下来我们就得利用漏洞利用模块了，我们使用这个exploit/windows/smb/ms17_010_eternalblue模块
。我们得设置好对应的IP地址和反弹的Payload模块windows/x64/meterpreter/reverse_tcp

获取的直接是系统的最高权限

在meterpreter中我们输入hashdump命令，抓取当前系统中的用户散列值

防御永恒之蓝

1、禁用SMB1协议
2、打开Windows Update，或手动安装补丁
3、‘使用防火墙阻止445端口的连接，或者使用进/出站规则阻止445端口的连接
4、不要随意打开陌生的文件
5、安装杀毒软件，及时更新病毒库