针对5.12大型比特币敲诈事件的漏洞分析及其预防方法

针对5.12大型比特币敲诈事件的漏洞分析及其预防方法

From ChaMd5安全团队核心成员 逍遥自在

2017年4年14日,NSA组织爆出了一份震惊世界的机密文档,其中包含了多个Windows远程漏洞利用工具,其中影响最大的就是ms17_010。在之后几天中,整个安全界都在疯狂的复现这个漏洞,各大公司也出台了相应的措施。时隔一个月之后,一场大型的onion软件敲诈出现在中国安全最脆弱的教育体系中,山东、辽宁、黑龙江均有高校中毒,勒索者要求受害人支付高昂的解密费用才给解开。

据初步了解,这个漏洞就是NSA爆出的ms17_010漏洞为核心入侵受害主机,用现代密码学对整个硬盘的文档、视频等文件进行加密,并限定期限,否则就销毁文件。

对于这个病毒,在小编写这篇文章前尚未有任何办法,对于密码学稍有了解的小编在此提醒各位,除了大型安全公司或者国家公布的工具外,不要相信在论坛、贴吧随口说工具出来的人们,以免导致了文件的损失。

而交了比特币是否会给解密小编也不敢保证。所以,在此,小编带大家以模拟内网实战的方法走一遍这个漏洞的攻击方法,并给出如何预防的方法。

此次利用的SMB漏洞影响以下未自动更新的操作系统:

Windows XP/Windows 2000/Windows 2003Windows Vista/Windows Server 2008/Windows Server 2008 R2 Windows 7/Windows 8/Windows 10Windows Server 2012/Windows Server 2012 R2/Windows Server 2016

一、准备攻击

先把攻击机给配好,分别是

攻击机1(windows):192.168.231.135,

攻击机2(kali):192.168.231.131

(关于ms17_010漏洞的配置方法请自行百度)

二、开始渗透

1.扫描踩点

通过对内网一个/24段的扫描,发现有五台机器,其中两台windows,第一台这次没什么影响,第二个看到了开了445端口,看来有搞头,至此靶机定下192.168.231.143,os八成是win7/2008。

2.进行定点攻击

用方程式爆出的工具一步步设置、操作,可以发现代码写入的十分顺利

接下来用kali生成攻击dll,把dll传到攻击机1,再对kali进行相关设置,用攻击机1对靶机发动攻击。

此时攻击机2便可以获取到靶机的shell了

【漏洞分析】

1.危险分析:

这个漏洞攻击具有非常强的隐蔽性,不需要被攻击的人作出任何动作就可以入侵。可以直接获取到最高权限,属于严重危险的漏洞。

2.漏洞原理分析:

由于篇幅和能力原因,请移步这位大表哥的文章中:

http://bobao.360.cn/learning/detail/3738.html

三.检测和预防方法

1.检测:

对于专业的人士来说,可以自己扫描端口,自己自行测试,如果你是个电脑小白,那应该怎么办呢?在这里,我推荐大家使用360NSA检测工具(http://dl.360safe.com/nsa/nsatool.exe),根据提示打上补丁

【本文提供3种关闭445端口的解决方法】

2.在组策略中关闭445端口:

首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。然后进入计算机配置→windows设置→安全设置→应用程序控制策略中,在右边空白区新建一个安全策略,第一页起名字,第二页不选,第三页确定,开始编辑

接下来的所有操作均不使用添加向导

首先新建一个ip筛选器,起名字,添加一个熟悉,地址中目的地址选我的ip地址,协议选择TCP协议,最下面的到此端口填上445。之后再设置筛选器操作,选择安全方法为阻止。在ip地址筛选列表和筛选器操作列表前面分别点下,然后关闭。最后右击,选择分配,任务完成。

3.在注册表里关闭445端口:

WIN+R打开运行,输入regedit打开注册表,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters,在右面的窗口建立一个REG_DWord类型的,名为SMBDeviceEnabled,键值为0,这样就ok了。

4.在防火墙里关闭445端口:

4.1.打开控制面板→系统和安全→Windows防火墙,点击左侧“打开或关闭Windows防火墙”

4.2.点击2个“启动Windows防火墙”,并点击确定

4.3.点击左侧的“高级设置”

4.4.点击左侧的“入站规则”,在其右边点击“新建规则”

4.5.选择“端口”,下一步

4.6.选择“TCP”,选择“特定本地端口”,输入445,下一步

4.7.选择“阻止连接”,下一步

4.8.把“域”、“专用”、“公用”都勾选上,下一步

4.9.取一个清晰的名称,如close445,点击“完成”

4.10.完成后就看到防火墙里多了这条规则,这样即可。

四、验证

用攻击机1做同样的一次攻击操作,发现攻击失败

用kali对其进行端口扫描,发现445端口被过滤,至此,该全国性攻击防范成功。

五、安全建议

1.电脑要装好杀毒防毒软件,对微软推送的补丁要及时更新,这次软件勒索中有很多大四答辩的毕业生的文件就这样不翼而飞了。不要嫌弃打补丁之后电脑关机慢,打的时候电脑卡。和安全相比那些东西不重要,就拿这次来说,微软的补丁在几个星期前就已经发布了补丁,如果打上了,就能避免这次的危险。

2.重要的数据要及时备份,狡兔三窟的道理谁都懂。

3.停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统,尽量使用最新版的操作系统。

六、学校缓解措施

1.在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接。

2.在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

原文发布于微信公众号 - ChaMd5安全团队(chamd5sec)

原文发表时间:2017-05-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏知识分享

2-学习GPRS_Air202(Air202开发板介绍和下载第一个程序)

2467
来自专栏FreeBuf

Tunnel:论如何在内网中自由渗透

*本文作者:戒贤,本文属FreeBuf原创奖励计划,未经许可禁止转载 背景 能够成功地通过web漏洞获取到webshell,对于一次完整的渗透测试来说,仅仅相当...

35910
来自专栏企鹅号快讯

TRITON恶意软件攻击工业安全系统

简介 FireEye的Mandiant调查部最近响应了一个关于关键设施企业的应急事件,事件中攻击者用恶意软件来控制工业安全系统(industrial safet...

36210
来自专栏安恒信息

安全研究员发现了多个IP地址利用已修复的PHP漏洞劫持Linux服务器

华盛顿大学的安全研究员Andre'DiMino注意到了多个IP地址试图利用一个已修复PHP漏洞劫持Linux服务器,他很好奇攻击者如何成功控制一台Linux服务...

37612
来自专栏极客慕白的成长之路

记一次Linux服务器被入侵变矿机

5805
来自专栏CDA数据分析师

Excel简化办公系列之二 | 录制宏快速制作工资条

本文为CDA作者青菜原创文章,转载请注明来源 编者按:CDA作者青菜将在近期发布「Excel简化办公」系列文章,本文是第二篇;更多精彩请持续关注~ 今天午饭后和...

2268
来自专栏一场梦

初涉网络安全技术,这些专业术语你知道多少?

3162
来自专栏黑白安全

西门子 SIPROTEC、Reyrolle 设备曝高危漏洞,或致变电站等供电设施遭受攻击

近日, ICS-CERT 发布安全报告称西门子 SIPROTEC 4,SIPROTEC Compact 以及 Reyrolle 设备存在的三个漏洞可能会被黑客利...

1124
来自专栏小狼的世界

防止Memcached的DDOS攻击另外一个思路

3月3日,国家互联网应急中心通报了一条消息 关于利用memcached服务器实施反射DDoS攻击的情况通报 通告了 memcached 服务器漏洞被黑客利用的情...

1275
来自专栏安恒信息

大量Windows 0-day漏洞泄漏,安恒信息提供免费在线检测

北京时间 2017 年 4 月 14 日晚,黑客团体Shadow Brokers(影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 23...

2875

扫码关注云+社区

领取腾讯云代金券