Введение в Вечный Синий

Вечный синий Синий) вспыхнул вечером 14 апреля 2017 года. Это протокол, использующий системы Windows. Уязвимость SMB, позволяющая получить высшие полномочия системы для управления скомпрометированным компьютером.

Даже 12 мая 2017 года преступники создали программу-вымогательwancry, модифицировав «Eternal Blue», в результате чего программа-вымогатель поразила широкий спектр стран мира, затронув даже школы, крупные предприятия, правительства и другие учреждения. Файлы можно восстановить только заплатив. высокий выкуп.

Однако вскоре после появления вирус был исправлен Microsoft.

Протокол SMB

SMB (полное имя — Сервер) Message Block) — блок сообщений сервера протокола, который представляет собой протокол клиент/сервер, запрос/ответ, через Протокол. SMB может обмениваться файлами между компьютерами、принтер、Ресурсы, такие как именованные каналы,Интернет-соседство на компьютере реализуется по протоколу SMB;

Протокол SMB работает на уровне приложений и сеансовом уровне.,Может использоваться по протоколу TCP/IP.,SMB использует порт TCP139 и порт TCP445.

Принцип малого и среднего бизнеса

Сначала клиент отправляет датаграмму запроса запрета SMB и перечисляет все версии протокола SMB, которые он поддерживает.

Сервер отвечает на запрос после получения сообщения запроса.,И укажите версию протокола SMB, которую вы хотите использовать. Если доступной версии протокола нет, возвращается 0XFFFFH.,Завершить общение.

После определения протокола клиентский процесс инициирует пользовательскую или общую аутентификацию на сервере. Этот процесс реализуется путем отправки пакета запроса SessionupX.

Клиент отправляет серверу имя пользователя и пароль или простой пароль, а затем сервер отправляет ответный пакет SessionupX, чтобы разрешить или запретить соединение.

Когда клиент и сервер завершат согласование и аутентификацию, он отправит дейтаграмму Tcon или TconX SMB и перечислит имя сетевого ресурса, к которому он хочет получить доступ, а затем отправит ответную дейтаграмму TconX, чтобы указать, принято ли соединение или нет. .

После подключения к соответствующему ресурсу клиент SMB может открыть файл через открытый SMB, прочитать файл через чтение SMB, записать файл через запись SMB и закрыть файл через закрытый SMB.

Принцип уязвимости

Уязвимость возникает в функции режима ядра srv!SrvOs2FeaListToNt в Windows SMB v1. При обработке преобразования FEA (File Extended Attributes) происходит переполнение буфера в большом невыгружаемом пуле (структура данных ядра, Large Non-Pages Kernel Pool). .

Функция srv!SrvOs2FeaListToNt вызовет srv!SrvOs2FeaListSizeToNt для расчета размера преобразованного lsit FEA перед преобразованием списка FEA в список NTFEA (Windows NT FEA).

Затем будут выполнены следующие операции:

1. srv!SrvOs2FeaListSizeToNt рассчитает размер списка FEA и обновит размер списка FEA для преобразования.
2. Из-за неправильного использования преобразования WORD расчетный размер конвертируемого списка ВЭД превышает реальный размер списка ВЭД.
3. Поскольку исходный расчет общего размера был неверным, при преобразовании списка FEA в список NTFEA произошло переполнение буфера в невыгружаемом пуле.

Конкретные принципы можно найти в конце статьи: Анализ уязвимостей SMB АНБ Eternalblue — Блог 360 Core Security Technology

Уязвимости

EternalBlue — это уязвимость, которая возникает, когда служба Windows SMB обрабатывает запросы SMB v1. Эта уязвимость позволяет злоумышленнику выполнить произвольный код в целевой системе.

Благодаря уязвимости Eternal Blue компьютеры Windows с открытым портом обмена файлами 445 будут сканироваться без каких-либо действий со стороны пользователя, пока компьютер включен и подключен к Интернету, преступники могут внедрить программы-вымогатели, трояны дистанционного управления, машины для добычи виртуальной валюты. и другие вредоносные программы на компьютеры и серверы.

Повторение уязвимости

Экспериментальная среда

целевой хост ->  Win7：192.168.11.136
штурмовик->  Kali：192.168.11.130

полный процесс

Сканируйте целевой хост на наличие этой уязвимости.

nmap --script smb-vuln* IP-адрес целевого хоста

Провести атаку

Meterpreter — Metasploit Модуль расширения Metasploit Некоторые функции могут использоваться для более глубокого проникновения в целевую систему, например получение экрана, загрузка/скачивание файлов, создание постоянных бэкдоров и т. д.

эксплуатировать

Проверьте процесс дрона: ps

Следите за рабочим столом дрона: запустите vnc

Захват экрана дрона: скриншот

Получить оболочку целевой машины: оболочка

Командные операции можно выполнять в оболочке обычным образом: добавлять/удалять пользователей, менять пароли, управлять разрешениями и записывать файлы (оставляя бэкдоры). . .

Очистить логи (очистить следы): Clearev

Защита от уязвимостей

• Отключить протокол SMB1
• Откройте Центр обновления Windows или установите патч вручную.
• Используйте брандмауэр, чтобы заблокировать подключения к порту 445, или используйте правила для входящего и исходящего трафика, чтобы заблокировать подключения к порту 445.
• Не открывайте незнакомые файлы по своему желанию
• Устанавливайте антивирусное ПО и своевременно обновляйте вирусные базы

Ссылки

[13]NSA Eternalblue SMB Анализ уязвимостей - 360 основной Безопасность Блог о технологиях:https://blogs.360.cn/post/nsa-eternalblue-smb.html#toc-772

[14]MS17-010: EternalBlue’s Buffer Overflow in SRV Driver (trendmicro.com):https://www.trendmicro.com/en_us/research/17/f/ms17-010-eternalblue.html