Intrusion win ms17 010 o сетевая атака как устранить

Как проверить, установлено ли исправление MS17-010

Эта статья базы знаний Майкрософт представлена в исходном виде и не является заменой для более актуальных данных, предоставляемых по обычным каналам обновления. Актуальные данные, датированные более поздним числом, чем указанные здесь данные, приведены в Руководстве по обновлению системы безопасности и других вспомогательных материалах.

Аннотация

См. продукты, к которым относятся сведения из данной статьи.

Обновление для системы безопасности MS17-010 устраняет несколько уязвимостей в Windows Server Message Block (SMB) версии 1. Одну из них использует программа-шантажист WannaCrypt. Без обновления MS17-010 компьютеры подвергаются повышенному риску со стороны разнообразных вредоносных программ. В этой статье описано несколько быстрых способов, позволяющих определить наличие обновления на компьютере.

Способ 1. Проверка по номеру базы знаний

Проверьте наличие обновлений, указанных в приведенной ниже таблице (кроме помеченных как «Не содержит исправление MS17-010»). Если любое из них установлено, значит установлено и обновление MS17-010.

Таблица 1 из 2: Windows 7 с пакетом обновления 1 (SP1) или более поздней версии. Указанное исправление содержат следующие накопительные пакеты обновления из базы знаний (кроме столбца «Только безопасность за апрель, 4B»). Под каждым номером базы знаний указан номер версии обновленного Srv.sys.

Только обновление безопасности за март (14.03.17)

Ежемесячный накопительный пакет за март
(14.03.2017)

Предварительная версия ежемесячного накопительного пакета за март
(21.03.17)

Только обновление безопасности
за апрель
(11.04.2017)

Ежемесячный накопительный пакет за апрель
(11.04.2017)

Предварительная версия ежемесячного накопительного пакета за апрель
(18.04.2017)

Только обновление безопасности за май
(09.05.2017)

Ежемесячный накопительный пакет за май
(09.05.2017)

Ссылка для скачивания

Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Эксплуатация уязвимостей класса MS17-010

Уязвимости, описанные в MS Security Bulletin под номером 17-010, прогремели в 2017 году на весь мир. И было отчего! На базе этих уязвимостнй NSA разработало атаку EternalBlue («Вечная синева», «бесконечная грусть»), которую и использовало задолго до официального обнаружения уязвимости. Вместе с бэкдором DoublePulsar атака EternalBlue входила в набор утилит NSA, который стал доступным общественности благодаря действиям хакерской группы Shadow Brokers. Стоит отметить, что утилиты NSA были существенно доработаны исследователем Шоном Диллоном. На базе этих же уязвимостей функционируют многие зловреды, например: WannaCry, NotPetya и Retefe.

Эта весьма серьёзная проблема затрагивает операционные системы Windows. Подробную информацию о версиях можно (и нужно) получить на сайте производителя, то есть Microsoft: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010 . В большой таблице за EternalBlue ответственна CVE-2017-0144.

Даже не владеющему английским языком читателю будет несложно увидеть, что в списке присутствуют: Windows Vista, 7, 8.1, 10; Windows Server 2008, 2012, 2016 — то есть вполне современные версии ОС, широко представленные в сетях компаний, которые могут оказаться целью хакерской атаки. Windows XP, 8, Windows Server 2003 также подвержены этой проблеме. Из бюллетеня видно, что MS17-010 включает в себя несколько различных программных ошибок в Windows SMB Server, точнее в SMBv1.

Что же это за сервис и насколько широко он используется?

SMB — server message block — протокол, позволяющий компьютерам в локальной сети получать доступ к совместным ресурсам (shared resources), таким как файлы и принтеры, видеть друг друга в локальной сети и т.п.. Полное описание сильно выходит за рамки данной статьи, но что важно: SMB жизненно важен для функционирования Windows и всегда присутствует в системе. До 2006 года существовала только версия SMBv1, как раз та, которую эксплуатирует EternalBlue. Windows Vista и 8, хотя и поддерживают вторую версию протокола, переходят на первую в случае, если их визави отказывается от использования SMBv2. Системы, где поддержка SMBv1 отсутствует по умолчанию — Windows 10 Fall Creators Update и Windows Server, version 1709 (RS3) *1 . Поддержка SMBv2 в Linux ядрах появилась только с версии 3.7, Apple добавил поддержку SMBv2 в версии OS X 10.9.

Таким образом можно сделать вывод, что в большинстве более-менее крупных сетей шансы встретиться с хостом, отвечающим по SMBv1, достаточно велики.

Что же даёт эксплуатация такой уязвимости?

Возможности, которые получает атакующий, почти безграничны! В случае удачной атаки хакер получает возможность исполнения на хосте-жертве произвольного кода с привилегиями System — наивысшими возможными в Windows. Вот только некоторые из возможных последствий: получение полной конфигурации (и перечня защитных механизмов, то есть конфигурация Windows Defender, установленные HIDS и их конфигурация и так далее), утечка информации о пользователях и их правах, утечка хэшей паролей (с последующим перебором для восстановления паролей), утечка информации kerberos (с последующим восстановлением паролей и генерацией серебряных билетов) — то есть в перспективе полная компрометация всего домена.

Немного теории

Проблема возникает при сбое в обработке SMB-запроса (естественно, в связи с тем, что он некорректно составлен). Структура сообщений SMB задокументирована и доступна на сайте Microsoft *2 . В рамках MS17-010 рассматриваются девять различных багов. Самыми интересными из них являются: Wrong type assigment in SrvOs2FeaListSizeToNt(), приводящая к переполнению буфера и Transaction secondary can be used with any transaction type, который заключается в том, что сервер не проверяет последовательность команд при выполнении SMB-транзакции, что приводит к возможности посылки очень больших сообщений (что необходимо для того, чтобы затриггерить предыдущий баг). Таким образом, для эксплуатации бага необходимо иметь возможность посылать транзакционные команды и иметь доступ к любой share (вполне подходит IPC$).

Идеальным вариантом для эксплуатации является система с версией ниже Win8, так как в этом случае нам будут доступны anonymous (NULL) session, то есть для успешной эксплуатации не требуется никаких дополнительных знаний о пользовательских аккаунтах или named pipes.

Эксплуатация уязвимости

Итак, довольно скучной теории, переходим к практике. Что же нам понадобится, чтобы захватить уязвимый хост?

Во-первых, машина, на которой мы сможем запускать наши скрипты. Я использую kali Linux, один из стандартных дистрибутивов для специалиста по кибербезопасности. Вы можете использовать любую машину с установленным интерпретатором python. Вычислительная мощность и скорость подключения к сети особого значения не имеет (в разумных пределах).

Во-вторых, для обнаружения уязвимых хостов удобно использовать утилиту nmap. Этот известный продукт вот уже десятилетия незаменим при сканировании сетей. Нам он понадобится для определения версии ОС и используемого протокола SMB. Такое предварительной сканирование в большой сети позволит сразу очертить круг потенциальных целей и в дальнейшем не тратить время на неподходящие хосты.

В-третьих, для генерации «полезной нагрузки» удобно использовать утилиту msfvenom, которая сама по себе достойна отдельной статьи. В случае её отсутствия можно использовать готовые шеллкоды, но я не рекомендую этот вариант, не только по причинам небезопасности неизвестного шеллкода, но и по причинам ограниченности такого подхода (вряд ли вы найдёте шеллкод с реверс-шеллом на нужный вам ip и порт).

В-четвёртых, metasploit. Конечно, можно использовать его встроенные модули для эксплуатации MS17-010, но в этой статье мы будем использовать более гибкий метод, а metasploit будет исползоваться исключительно для поиска named pipes, если такая необходимость возникнет.

И, наконец, наша звезда — набор утилит для эксплуатации. В этой статье используется набор, который можно загрузить с GitHub из репозитория пользователя worawit: https://github.com/worawit/MS17-010 . Скачайте его либо командой

либо как архив — как вам удобнее.

Также необходимо некоторое количество потенциально уязвимых хостов, на которых у вас есть разрешение на проведение тестов. Если у вас есть выбор, попробуйте Windows 2000, Windows 7, Windows 8 и Windows Server 2012 — чтобы оценить различные варианты работы скриптов.

Работа строится по несложному алгоритму: сканирование портов, определение версии ОС, проверка возможности эксплуатации уязвимости, атака. При необходимости — коррекция ошибок и повторная атака.

При первом сканировании мы устанавливаем, какие открытые порты имеются в системе. Имеет смысл вначале проводить только сканирование TCP портов — как правило оно даёт достаточно информации. UDP-сканирование значительно медленнее.

1. Nmap — TCP сканирование с попыткой установления соединения

На рисунке представлено сканирование выбранного хоста (10.11.1.227) по протоколу TCP типа попытки установления соединения на 50 наиболее часто спользуемых портов (по данным разработчиков nmap). Дополнительно имеет смысл использовать ключи -oN (сохранение результата в файл) или даже -oA, если планируется использовать автоматические системы анализа, -vv, если необходима дополнительная информация и -Pn, если хост не отвечает на пакеты ping (или если мы точно знаем, что он доступен).

Поскольку сканирование прошло очень быстро, можно провести и UDP-scan. Его результат приведён на рисунке 2.

1. Nmap — UDP сканирование

Итак мы видим, что перед нами явно Windows — по характерному набору открытых портов. Кроме того, мы можем предположить, что данный хост используется в качестве сервера (запущены сервисы ftp, smtp, http, snmp). Это интересная цель.

Для более подробного определения ОС можно использовать ключ nmap -O, однако можно попробовать получить необходимую информацию и во время сканирования smb сервиса, который, как мы видим, доступен. Результаты приведены на рисунке 3.

1. Nmap — SMB сканирование

Я намеренно не использую группу скриптов smb-vuln*, поскольку существует небольшая вероятность вызвать сбой на исследуемом хосте. Мы видим, что данное сканирование достаточно шумно, но SMBv1 настолько «разговорчив» сам по себе, что такое сканирование не обязательно будет выделяться в общем потоке трафика.

Результаты сканирования показывают, что:

1) мы имеем дело с Windows 2000 — потенциально уязвимой системой;

2) IPC$ доступен для чтения анонимному пользователю (Null session) и для чтения и записи пользователю «Guest» — то, что нужно для запуска эксплойта

3) есть ещё доступная сетевая папка — её содержимое, безусловно, нас интересует, но не входит в рамки данной статьи.

Для полной уверенности в том, что наша цель уязвима, используем скрипт checker.py из скачанного набора.

1. Использование утилиты checker

Результат работы скрипты показывает, что цель уязвима, а также показывает некоторые из доступных named pipes. Кроме того, мы видим, что эта система 32-битная (для Win2k это очевидно, но для других ОС возможны варианты).

Теперь нам нужно выбрать подходящий скрипт из набора. Для этого нужно заглянуть в файл README.md. Видим: «zzz_exploit.py Exploit for Windows 2000 and later (requires access to named pipe)». Заглянем внутрь этого скрипта (для краткости приведена только наиболее интересная часть листинга):

1. Выдержка из листинга zzz_exploit.py

Мы видим, что сейчас запуск этого эксплойта приведёт к созданию файла «pwned.txt» на целевой системе. Однако скрипт легко изменить таким образом, чтобы загрузить и исполнить произвольный файл.

Вначале посмотрим, как отрабатывает скрипт в исходном варианте:

1. Exploit Win2k

Мы видим, что всё прошло успешно и файл был создан. Однако, интересно протестировать и более агрессивный вариант. Модифицируем файл эксплойта — например на рисунке ниже добавлен код, загружающий на устройство reverse shell (и вызывающий его, конечно же), а также создающий пользователя, добавляющий его в группу локальных администраторов, открывающий доступ по RDP и отключающий фаервол.

1. Модификации эксплойта

Конечно в реальности мы будем использовать только один из вариантов, но в качестве примера такой листинг удобен.

Для того, чтобы всё это сработало в полном объёме, нужен собственно reverse shell, который мы хотим запустить. Для того, чтобы его сделать, в свою очередь, нужна утилита msfvenom.

Вот таким образом мы можем создать эксплойт, который будет открывать reverse shell на указанный нами адрес и порт:

1. Генерация payload’a с помощью msfvenom

В качестве ОС для нашей нагрузки мы указываем windows — что соответствует 32-битной версии. Для 64-битной строка будет выглядеть как windows/x64. В качестве желаемой нагрузки выбран reverse TCP shell без предзагрузчика (non-staged payload). В параметрах указан ip адрес и порт, на которые мы хотим открыть соединение (в данном случае наша Кали). Exitfunc=thread позволит нашему процессу выполняться в отдельном треде (и не завершиться по окончании основного процесса, а продолжить работу). Также указываем формат вывода — hexadecimal codes для eternalblue_exploit7.py (подробнее чуть ниже) и exe для zzz_exploit.py. Последний штрих — имя файла, в который сохраняется payload. Я предпочитаю давать эксплойтам названия, включающие некоторую информацию о том, как их предполагается использовать, но в целом это дело вкуса.

Обратите внимание, что в коде эксплойта выше указано другое название payload’a. Этот момент нужно подправить перед запуском — если вы собираетесь использовать эксплойт часто, имеет смысл добавить имя файла в возможные агрументы командной сроки.

Вот результат успешного выполнения скрипта на Win8:

1. RDP включен

Мы видим, что RDP соединение готово к установке. Cоглашаемся принять сертификат и видим десктоп:

1. Захваченный десктоп

Поскольку наш пользователь входит в группу локальных администраторов, нам открываются широкие перспективы по разработке захваченной системы, но это тема для отдельной статьи.

Похожим образом используются и другие скрипты. Однако для eternalblue_exploit*.py подготовка payload’a выглядит чуть интереснее. Вначале мы собираем shellcode c помощью nasm

1. Сборка шеллкода

Затем генерируем payload. Если используется нагрузка в виде reverse shell’a, то можно склеить вместе версии для 32 и 64-битных ОС. Если же хочется, например, добавить пользователя, то мы ограничимся 32-битной архитектурой (работать будет и на 64-битной системе). Для склейки в наборе утилит есть скрипт eternalblue_sc_merge.py

1. Склейка эксплойта

Перед запуском мы стартуем наш листенер (nc). Порты ниже 1024 требуют привилегий root. Порт 443 выбран из тех соображений, что он как правило открыт на фаерволе для исходящих соединений, и в то же время не подвергается синтаксическому анализу запросов (как, например, ftp или http).

Что может пойти не так?

1. Конфигурация системы (то есть в первую очередь конфигурация фаервола) может запрещать исходящие соединения от недоверенных программ. Именно поэтому добавление пользователя и подключение RDP ак правило проходит проще, чем запуск reverse shell. Также в системе может быть отключен SMBv1, что делает её неподверженной атаке.
2. В системе может быть установлен патч от Microsoft. Ничего не поделаешь, система неуязвима для рассматриваемого типа атак. О таком развитии событий нас вовремя предупредит checker.py.
3. Новые версии Windows не содержат этой уязвимости. При первичном сканировании вы увидите, что система не подвержена этой уязвимости. Также, необходимо правильно выбрать скрипт исходя из атакуемой версии. Вот пример неправильно выбранной версии (эксплойт для Win7, система Win8.1)

12. Результат работы неверно выбранного скрипта

Корректируем наш выбор и получаем долгожданный доступ. Этот шелл не полностью интерактивен, как и положено шеллу нетката, но «улучшение» доступа — это отдельная интересная тема.

1. Системный шелл в nc

После получения удобного доступа мы можем исследовать систему для получения дополнительной информации, собирать хэши паролей, добавлять пользователей, изменять настройки фаервола для сохранения доступа к системе (например, через rdp).

Поиск named pipe

Используемые эксплойтом named pipes могут быть недоступны. В таком случае нам понадобится найти подходящую named pipe. Для этого будем использовать metasploit. Утилита проводит перебор известных named pipes, лист можно дополнять. Можно написать и свой скрипт, но это отдельная тема.

1. Metasploit: модуль Pipe auditor

В качестве RHOSTS необходимо указать атакуемую систему. SMBUser и SMBPass могут использоваться, если известна какая-либо учётная запись в системе. Выше было показано, что пользователь Guest не отключен — значит его можно использовать.

1. Доступные named pipes на Win8

16. Доступные named pipes на Win2k

В случае, если Guest отключен, на системах новее Win8 нам понадобится найти учётную запись любого непривилегированного пользователя. В этом случае мы можем рассматривать данную атаку исключительно как способ повышения привилегий в системе, а не как способ получения доступа.

Уже упомянутый выше фаервол может блокировать действия эксплойта. В этом случае можно попробовать разные варианты — например, часто блокируется запуск reverse shell, но удаётся выполнить команды net и netsh, что позволит отключить фаервол, добавить пользователя, или же просто снять необходимые данные с помощью эксплойта.

Методы защиты от атаки логически вытекают из используемых для атаки методов.

Intrusion win ms17 010 o сетевая атака как устранить

Как защищаться от атаки вируса-шифровальщика «WannaCry»

Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.

Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру, Газета.ру, РБК.

Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать здесь и здесь.

Эта уязвимость относится к классу Remote code execution, что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ — локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.

Меры безопасности

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.

Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry тут.

Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.

Риск действительно большой!

UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.

Патч MS17-010 для исправления уязвимости Windows, используемой WannaCry и Petya

Обновление для системы безопасности MS17-010 устраняет уязвимость сервера SMB, используемую в атаке шифровальщика WannaCry и Petya.

Установка MS17-010 не требуется

Установка патча не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем:

Проверьте последние обновления системы в Центре обновления Windows:

• Для Windows Vista, 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите «Поиск обновлений».
• Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите «Проверка наличия обновлений».

Последние обновления для Windows 10 версии 1703 (Creators Update): KB4016871 (15063.296), для Windows 10 версии 1607 (Anniversary Update): KB4019472 (14393.1198)

Установка MS17-010 требуется

Поддерживаемые Microsoft системы

Установка патча требуется, если у вас отключено автоматическое обновление Windows, и вы не устанавливали обновления до 14 марта 2017 года для следующих операционных систем:

Неподдерживаемые Microsoft системы

Требуется установка обновления KB4012598, если у вас следующие операционные системы:

Постоянные IP атаки

Да конечно

Атака Intrusion.Win.MS17-010.* нацелена на компьютеры под управлением Windows и реализуется в попытке эксплуатировать уязвимости протокола SMB, которые были закрыты в бюллетене Microsoft Security Bulletin MS17-010 (https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010). Результатом успешной эксплуатации этих уязвимостей может стать удалённое выполнение кода на атакуемых компьютерах, что позволит злоумышленнику загрузить вредоносную программу и распространить её на другие уязвимые компьютеры в сети.

Нацеленные на уязвимости эксплойты, закрытые в бюллетене MS17-010, были использованы в атаках нашумевших вирусов-вымогателей WannaCry и ExPetr.

Для закрытия уязвимостей и решения проблемы установите все обновления для Windows, рекомендованные к установке в Центре обновлений Windows. Или же загрузите, как минимум, обновление, закрывающие вышеописанные уязвимости, вручную (ссылка выше).

Intrusion win ms17 010 o сетевая атака как устранить

Патч MS17-010 для исправления уязвимости Windows, используемой WannaCry и Petya

Обновление для системы безопасности MS17-010 устраняет уязвимость сервера SMB, используемую в атаке шифровальщика WannaCry и Petya.

Установка MS17-010 не требуется

Установка патча не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем:

Проверьте последние обновления системы в Центре обновления Windows:

• Для Windows Vista, 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите «Поиск обновлений».
• Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите «Проверка наличия обновлений».

Последние обновления для Windows 10 версии 1703 (Creators Update): KB4016871 (15063.296), для Windows 10 версии 1607 (Anniversary Update): KB4019472 (14393.1198)

Установка MS17-010 требуется

Поддерживаемые Microsoft системы

Установка патча требуется, если у вас отключено автоматическое обновление Windows, и вы не устанавливали обновления до 14 марта 2017 года для следующих операционных систем:

Неподдерживаемые Microsoft системы

Требуется установка обновления KB4012598, если у вас следующие операционные системы:

Intrusion win ms17 010 o сетевая атака как устранить

Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.

Патч MS17-010 для исправления уязвимости Windows, используемой WannaCry и Petya

Установка MS17-010 не требуется

• Для Windows Vista, 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите «Поиск обновлений».
• Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите «Проверка наличия обновлений».

Установка MS17-010 требуется

Да конечно

Как защищаться от атаки вируса-шифровальщика «WannaCry»

Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.

Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру, Газета.ру, РБК.

Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать здесь и здесь.

Эта уязвимость относится к классу Remote code execution, что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ — локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.

Меры безопасности

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.

Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry тут.

Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.

Риск действительно большой!

UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.

Русские Блоги

ms17-010 Уязвимость воспроизведения — в основном используется для обучения и общения

ms17-010 Воспроизведение уязвимостей — в основном используется для обучения коммуникации (32-битная система)

Справочник статей

ms17-010 Воспроизведение уязвимостей — в основном используется для обучения коммуникации (32-битная система)

1. Принцип уязвимости

1. Введение

• Вечная Уязвимость — цель организации формулы в структуре уязвимости эксплойта.SMB сервисУязвимость атаки, из-за которой злоумышленник оказался в целевой системеМожет выполнить произвольный код.
• Примечание: Роль службы SMB: эта служба создает мост между Windows и ОС серии Unix, так что ресурсы этих двух устройств могут взаимодействовать друг с другом.Нажмите, чтобы посмотреть

2. Подробное объяснение кода принципа уязвимости

В следующих двух статьях подробно анализируется принцип уязвимости из реального кода.

• http://blogs.360.cn/post/nsa-eternalblue-smb.html#toc-772
• https://blog.csdn.net/qq_27446553/article/details/73480807

2. Повторение

1. Целевой сбор информации

• С помощью скрипта Python

Напишите скрипт сканирования портов Python самостоятельно, сканируйте порт 445 для сбора целей

Я рекомендую свой собственный код сценария сканирования многопоточного порта

• Сканирование с помощью Nmap
  В msf вы также можете использовать nmap для сканирования сбора информации. Примеры следующие:
  Служба проверки версии

Если служба с возможными уязвимостями сканируется, вы можете выполнить поиск службы и просмотреть доступные модули атаки.
Исходя из собранной здесь информации, порт целевого хоста 445 открыт, вы можете попытаться использовать ms17-010 (вечный синий) для атаки

• Используйте скрипт nmap для поиска уязвимости ms17-010

2. Попытка атаки

2.1 Просмотр модуля поиска уязвимостей ms17-010

Вы можете видеть, что есть вспомогательный модуль и модуль эксплойта

2.2 Вы можете использовать вспомогательный модуль для сканирования и тестирования вспомогательных / scanner / smb / smb_ms17_010

Мы сканируем для целей между 192.168.242.100-140

Можно видеть, что 192.168.242.133 уязвим для атак ms17-010 и помогает нам определить версию операционной системы, чтобы облегчить последующий выбор целевых параметров операционной системы.

2.3 Используйте модуль атаки для атаки

Наша атака — 32-битная система. В настоящее время MSF не включает этот модуль атаки. Нам нужно скачать модуль атаки онлайн и скопировать его в соответствующее местоположение.

Скачать установочный модуль

Скачать проект githubадрес проектаИзмените имя загруженного Eternalblue-Doublepulsar-Metasploit-master на Eternalblue-Doublepulsar-Metasploit и скопируйте весь каталог после изменения имени в корневой каталог

Или скачать с помощью Git

Тогда скачай
eternalblue_doublepulsar.rb, скопируйте в каталог / usr / share / metasploit-framework / modules / exploits / windows / smb /
также может быть каталогом / opt / metasploit-framework / внедренный / framework / modules / exploits / windows / smb /

Может отсутствовать поддержка архитектуры, поэтому нам нужно установить поддержку нескольких архитектур, поэтому установите win32

Использовать модуль атаки

Примечание. Согласно введению в проект Github, если тест explorer.exe не пройден, вы можете использовать параметр processinject как lsass.exe и т. Д.

Если атака не удалась, взгляните на сводку проблемы, чтобы увидеть, есть ли у вас проблемы

3. Краткое изложение проблемы

Вопрос первый

Причина: поскольку каталог /root/.wine отсутствует, выполните следующую команду, чтобы создать каталог

Вопрос второй

Причина: во время использования wine появится графический интерфейс, для которого требуется, чтобы этот движок рендеринга, основанный на рендеринге Gecko в Mozilla, вручную установил требуемую версию wine-gecko. Сначала мы загружаем бинарный файл MSI, предоставленный Wine, пожалуйста, обратите внимание, чтобы загрузить 32-битную версию, потому что мы установили wine32

Или выполнить предыдущую команду

Вопрос третий

Причина: это вызвано переменными среды, нам нужно сбросить переменные среды, по умолчанию это 64-битная версия, измененная на 32-битную. Выполните следующую команду, чтобы установить переменные среды

Вопрос четвертый

Решение: после установки библиотеки wine-gecko во время установки эта ошибка не возникла, поэтому, если эта ошибка возникает, обратитесь к вопросу два

Вопрос 5 (основная проблема):

Причина: цель может быть недоступна, или брандмауэр может убить программное обеспечение

Вопрос шестой

Я не знаю, в чем проблема.

Примечание: [-] Обработчику не удалось привязаться к 192.168.242.131:4444:- -Этот вопрос состоит в том, чтобы проверить, является ли ваш IP неверным, занят ли порт, если он занят, просто измените порт прослушивания.

Вопрос 7

Если вы не можете найти файл dll, возможно, вы перетащили некоторые файлы внутрь при перетаскивании Eternalblue-Doublepulsar-Metasploit-master в kali. После перетаскивания вы должны сравнить его с исходным файлом.

Вопрос восьмой

Эта ситуация почти успешна, измените процесс или введите несколько раз, чтобы увидеть

4. Если вы используете этот модуль для атаки на win7x64, обратите внимание:

Если целевой машине 64, вам нужно установить другие конфигурации:

(1) В модуле эксплойт / windows / smb / eternalblue_doublepulsar

(2) Установите полезную нагрузку, потому что она 64-битная, поэтому вам нужно установить 64-битную, иначе вы не сможете получить отскок