永恒之蓝漏洞原理 445_不死的EternalBlue(永恒之蓝)

最新推荐文章于 2024-05-16 16:52:25 发布
最新推荐文章于 2024-05-16 16:52:25 发布
阅读量1.1k 收藏 6
点赞数 1
文章标签: 永恒之蓝漏洞原理 445

f5e83b157f15a590c5385bdfae050676.gif

a62d98c89d02ea33389e0deb5edf71af.png

2017年,Shadow Brokers将从美国国家安全局NSA窃取的软件漏洞利用攻击泄露在网上,之后1个月知名勒索软件WannaCry就席卷全球。现在已经过去2年了,Eternalblue仍然占据着美国的头版头条。本文就Eternalblue和Eternalblue为什么可以不死进行简要分析。

c7d91fe6f1683d32ad4c4380d988d52b.pngEternalblue

CVE-2017-0143到CVE-2017-0148漏洞是Windows 7, Windows Server 2008, Windows XP和运行在445端口上的Windows 10系统中使用的Microsoft SMBv1服务器系列漏洞。原始Eternalblue可执行文件中硬编码的字符串表明攻击的Windows版本有:

cc505f5f353b1abc7c5e3d44d0865f89.png

漏洞影响范围不仅限于Windows系统,还包括使用Microsoft SMBv1服务器协议的设备,比如Siemens超声医疗设备。

Eternalblue本身主要是与漏洞CVE-2017-0144相关,该漏洞通过发送特殊伪造的消息到SMBv1服务器来允许远程攻击者在目标系统上执行任意代码。其他相关的漏洞利用有Eternalchampion, Eternalromance, Eternalsynergy,这些都是被美国国安局NSA相关的APT黑客组织Equation Group标记的。

f0b847053b54b3d307ba9d932cfaea88.png

c7d91fe6f1683d32ad4c4380d988d52b.pngEternalblue为什么广泛传播?

SMBv1协议的漏洞已于2017年3月打补丁修复了。但2年过去了,仍然有超过100万联网的设备仍然受到该漏洞的影响。

5a9af64ee845e04e3e63882da1f4e8da.png

从全球范围来看,最需要修复的Windows版本为Windows Server 2008和2012 R2版本。

6641edb437efc36303cde5511e0e9470.png

其中有40万受Eternalblue漏洞影响的设备位于美国,其中有超过10万台(约占1/4)设备位于加利福尼亚州,这是美国科技产业的心脏。

a2631a8fa67ee3270a45d5defd777cae.png

目前不仅仅是勒索软件在使用Eternalblue,几乎所有需要蠕虫功能的恶意软件都可以发现Eternalblue的利用。2019年1月,研究人员还发现有加密货币挖矿机通过Eternalblue和Beapy攻击位于中国的企业。

勒索软件在2018年短暂淡出人们实现后,Eternalblue再次成为美国的头条。

7772af588507f5a67d2aa7af45978bae.png

d06d81e1d4e48f6c731a52b1e1e40795.pngEternalblue如何被使用?

用Eternalblue利用CVE-2017-0144漏洞的技术是NSA开发的,该工具集在网上泄露后,目前已经成为全世界广泛使用的工具了。

517ec1bc4ed0585464a2a96c7e80872a.png

为了成功利用该漏洞,未授权的攻击者需要发送一个经过恶意伪造的包给服务器,这也是WannaCry和NotPetya勒索软件能够进行自我繁殖和传播的原因。Eternalblue会允许勒索软件访问网络上的其他机器。攻击者可以利用Equation Group开发Shadow Brokers泄露在网上的DoublePulsar作为payload来安装在有漏洞的目标机器上,并启动勒索软件的副本。

602a7845b469185fc2d3d406db86b913.png

Eternalblue工作原理

Eternalblue依赖于一个名为 srv!SrvOS2FeaListSizeToNt的Windows函数。下面先讲一下SMB工作原理以及如何导致远程代码执行。

SMB (Server Message Block) 是用来从网络上的服务器系统来请求文件和打印服务的协议。在协议的说明中有允许协议来通信关于文件扩展属性的信息,尤其是文件系统中关于文件特征的元数据。

Eternalblue利用了3个不同的bug。第一个是协议尝试映射OS/2 FileExtended Attribute (FEA)列表结构到NT FEA结构来确定需要分配的内存大小的数学错误。错误计算创建了一个整数溢出导致分配的内存比预想的要小,最终导致缓冲区溢出。如果要写的内容太多,额外的数据就会溢出到相邻的内存空间。

利用第二个漏洞可以触发缓冲区溢出,这是由于SMB协议定义的两个子命令SMB_COM_TRANSACTION2和SMB_COM_NT_TRANSACT的差别。如果有太多的数据要包含在一个单独的包中,就需要_SECONDARY命令。TRANSACTION2和NT_TRANSACT的关键区别在于后者调用的数据包是前者大小的2倍。如果客户端使用NT_TRANSACT子命令在TRANSACTION2子命令前发送伪造的消息,就会出现验证错误。如果协议发现接收了2个分开的子命令,就会根据最后接收的包的类型来分配类型和大小。因为最后接收的包比较小,所以第一个包会占用比分配空间更多的空间。

一旦攻击者完成初始的溢出,就可以利用SMBv1中的第3个漏洞来进行Heap Spraying(堆喷射),导致在给定地址分配一块内存。然后,攻击者就可以写入和执行shellcode来控制系统。

d3c5c98438889535ddcfb88ecf30fbe0.png

Sean Dillon写了一个Ruby脚本可以扫描目标来确定系统是否未修复,并利用所有相关的漏洞。

f8fb0a5e34ebe3a358a4b783602a7cb8.png

d06d81e1d4e48f6c731a52b1e1e40795.pngEternalblue – Here To Stay

Shadow Brokers泄露的代码中含有其他3个漏洞利用:Eternalromance, Eternalsynergy和Eternalchampion。

61d2895548822edf50b9f31d3800538b.png

d06d81e1d4e48f6c731a52b1e1e40795.png如何应对?

截至目前,预防使用Eternalblue的攻击的最重要的事情是确保更新Windows系统来应用MS17-10安全补丁。如果无法更新,可以禁用SMBv1,不要将有漏洞的机器连接到互联网。

122a4467c87d5bc1fb0677d6ffef3c52.png

d39cc6f1c303c93938f7bbac24ff6cc9.png

weixin_39610724
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
win2012R2永恒之蓝安全补丁.zip
05-12
在网络安全领域,永恒之蓝EternalBlue)是一个具有里程碑意义的漏洞,它曾被广泛利用于 WannaCry 勒索软件攻击中,对全球范围内的Windows系统造成了严重威胁。Windows Server 2012 R2作为微软的一款企业级服务器...
MS17-010(永恒之蓝漏洞分析与复现
热门推荐
未完成的歌~的博客
03-12 6万+
文章目录一、漏洞简介1、永恒之蓝介绍:2、漏洞原理:3、影响版本:二、漏洞复现复现环境:复现过程:1、主机发现:2、使用MSF的永恒之蓝漏洞模块3、使用ms17-010扫描模块,对靶机进行扫描:4、使用ms17-010攻击模块,对靶机进行攻击5、得到靶机shell6、通过shell对靶机进行控制 一、漏洞简介 1、永恒之蓝介绍: 永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露
永恒之蓝漏洞
ZXT02的博客
12-21 945
仅限学习使用!!!
kali Linux——永恒之蓝复刻
最新发布
sparkleqs的博客
05-16 1918
Metasploit Framework 是一个功能强大的开源安全漏洞检测工具,用于编写、测试和使用 exploit 代码,广泛应用于渗透测试、shellcode 编写和漏洞研究。该框架主要采用面向对象的 Ruby 编程语言编写,并包含由 C 语言、汇编语言和 Python 编写的可选组件。最初的 Metasploit 是用 Perl 编写的,但在后来的版本中改为使用 Ruby 编写。
永恒之蓝漏洞原理漏洞复现
m0_66908617的博客
02-10 3103
摘要永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,、整个以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。上文提到了SMB协议。
网络安全-MS17-010漏洞-永恒之蓝
weixin_48137911的博客
02-14 3682
攻击主机上打开了目标机器的桌面,攻击成功,这个时候只要我把它原本的账户删了,不断电的情况下,我想干嘛干嘛,他就再也进不来了,除非断电,重装。这个漏洞呢,在win10是不可以的,win8也是不行滴,只有win7以及以下的电脑,才有这个漏洞,因为win7之后微软把他给修复了。账户已经建立了,试想一波,如果我是真正的入侵者,我都有你账户了,我进你系统不是轻轻松松,账户密码都是我自己设置的。.无论怎么输入都没用,因为这个账号已经被我删掉了,或者我想放什么恶意程序木马在里面,隐藏起来,他也不知道的呀~
ms17-010永恒之蓝漏洞利用,渗透同一局域网下的windows7
m0_63533079的博客
03-08 1814
利用window7存在的ms17-010漏洞进行复现演示
永恒之蓝(ms17010)漏洞检测工具
04-19
在司徒西大神易语言ms17010漏洞检测源码上稍做修改,并做成了批处理,可以单机也可以网段批量检测永恒之蓝漏洞。优点是体积小,扫描准确。缺点是扫描速度较慢。 使用方法: 此程序为易语言开发,如被误报病毒,可以...
网安永恒之蓝检测工具
04-02
永恒之蓝EternalBlue)是利用微软Windows系统MS17-010安全漏洞的一种攻击工具,由NSA(美国国家安全局)开发,后被黑客组织泄露并广泛用于恶意攻击,例如 WannaCry 勒索病毒就与此漏洞有关。 该工具的"傻瓜式操作...
永恒之蓝EternalBlue/Wannacry分析
12-24
永恒之蓝EternalBlue/Wannacry分析
EternalBlue永恒之蓝渗透测试.html
03-02
永恒之蓝漏洞渗透测试
永恒之蓝的复现与利用
m0_66890717的博客
04-14 1470
永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的漏洞EternalBlue”(永恒之蓝)进行改造而成。2、漏洞原理永恒之蓝漏洞通过 TCP 的445和139端口,来利用 SMBv1 和 NBT 中的远程代码执行漏洞,通过恶意代码扫描并攻击开放445文件共享端口的 Windows 主机。一般配合使用,前者先扫描,若显示有漏洞,再进行攻击。
永恒之蓝ms17_010漏洞复现
m0_73005107的博客
11-28 1419
永恒之蓝漏洞复现
永恒之蓝漏洞原理及利用
qq_41679358的博客
08-16 2万+
本文转自行云博客https://www.xy586.top/ 文章目录摘要前提需要原理漏洞利用 摘要 什么是永恒之蓝 永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通.
永恒之蓝漏洞 ms17_010 详解
qq_45953122的博客
10-25 5465
永恒之蓝(ms17-010)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
可刑又可拷!永恒之蓝漏洞原理及复现
hack0919的博客
04-24 5372
2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒
永恒之蓝漏洞分析与防范
weixin_45007073的博客
08-08 4114
漏洞利用原理 永恒之蓝漏洞的利用原理是通过向Windows服务器的SMBv1服务发送精心构造的命令造成溢出,最终导致任意命令的执行。在Windows操作系统中,SMB服务默认是开启的,监听端口默认为445,因此该漏洞造成的影响极大。 漏洞利用过程 新版本的MSF默认已经集成了MS17-010漏洞的测试模块 我们使用auxiliary/scanner/smb/smb_ms17_010模块进行漏洞检测。我们使用show options查看对应的参数。我们这里得设置好一个网段,一般都是设置外网服务器的网段地址,
永恒之蓝漏洞解析
CC_zzx的博客
10-27 3894
Microsoft Windows 7/2008 R2 - ‘EternalBlue’ SMB Remote Code Execution (MS17-010)“永恒之蓝漏洞原理 一、漏洞概况 1、简介 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统...
如何防范永恒之蓝漏洞
07-27
永恒之蓝漏洞EternalBlue)是一种影响微软Windows操作系统的漏洞,它被用于进行网络蠕虫攻击和远程代码执行。以下是一些防范永恒之蓝漏洞的建议措施: 1. 及时打补丁:安装并定期更新微软发布的安全补丁,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值