永恒之蓝:一次网络攻击的深度解析
在网络安全史上,永恒之蓝漏洞无疑是令人记忆犹新的一页。
它源于2017年的一次黑客事件,通过Windows系统中的SMB漏洞,威胁了全球无数网络环境。
让我们一起揭开这个漏洞的神秘面纱,了解其原理和利用方法。
1.永恒之蓝的起源与影响
永恒之蓝漏洞的出现,源自黑客团体ShadowBrokers泄露的一批攻击工具。
其中,利用Windows系统SMB(ServerMessageBlock)服务的漏洞,黑客能够轻松获取系统的最高权限。
五月十二日,这一漏洞被恶意利用,催生了全球范围内的大规模勒索病毒——wannacry。
无数高校、企业及政府部门的网络系统遭受重创,文件被加密锁定,造成了严重的经济损失和数据安全危机。
2.深入理解SMB协议
SMB,全称ServerMessageBlock,是一种文件共享协议,支持在不同计算机间共享文件、打印机等资源。
它工作在应用层和会话层,通过TCP139和445端口进行通信。
在日常中,如网上邻居的实现,就是SMB协议在起作用。
3.漏洞原理与攻击步骤
攻击者利用永恒之蓝漏洞的过程,主要包括:客户端发送SMBnegport请求,服务器确认可用协议;客户端进行用户认证,服务器响应或拒绝;接着,客户端请求连接特定资源,服务器确认或拒绝;最后,成功连接后,攻击者可以读写文件或执行恶意操作。
4.实验环境搭建
为了演示,我们将使用KaliLinux作为攻击机,目标是Windows7旗舰版的未知靶机,两者需在同一网络。
首先,获取Kali的IP地址,然后使用Nessus进行漏洞扫描。
在确认存在永恒之蓝漏洞后,我们通过Metasploit(msf)进行利用和攻击。
5.漏洞利用实战
在msfconsole中,通过auxiliary/scanner/smb/smb_ms17_010模块确认漏洞,随后利用exploit/windows/smb/ms17_010_eternalblue攻击模块发起攻击。
设置目标主机和监听器,成功连接后,可以获取shell控制,进一步执行诸如创建用户、修改系统设置等操作。
总结,永恒之蓝漏洞的利用展示了网络攻击的强大威力,提醒我们始终保持系统的安全更新,以防止类似的威胁。
随着技术的发展,新的漏洞不断浮现,网络安全防范必须时刻紧绷神经,以应对不断变化的威胁形势。
一、起因
据英国卫报报道,在英国,大规模的袭击事件袭击了整个地区的多家医院,迫使医务人员将紧急病人转送到该地区的其他医院。
恶意软件利用午餐时间在NHS医院爆发,通过初始电子邮件发送给员工,随之电子邮件服务器遇到困难,其次是临床和病人系统故障。
然后,员工电脑屏幕上出现赎金票据,要求在三天内支付300美元的比特币,否则赎金将翻番。
据报道,如果七天后没有付款,那么这些文件将永远丢失。
据卡巴斯基实验室的统计,NHS发出警报,并确认了16个医疗中心受到打击。
二、发展
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。
受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。
三、攻击手段
如今黑客入门的第一课都是利用ms17_010漏洞进行渗透攻击
1.由于永恒之蓝利用工具会扫描开放445文件共享端口的Windows机器,所以如果用户开启445端口并且系统未打MS17-010补丁就会在无感状态下被不法分子向系统植入恶意代码。
WannaCry事件中,不法分子用永恒之蓝攻陷一台机器后会向该机器继续下发并运行永恒之蓝利用工具,让被攻陷的机器继续去扫描其他开放445端口的机器的同时下发并运行勒索病毒,加密用户系统中的文件,达到蠕虫式的传播,从而对全球上百个国家造成巨大影响。
什么是SMB协议?SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
所谓的“永恒之蓝”,其实就是利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。
现如今基本上电脑都装有ms17_010的补丁,更新后系统自带的防火墙都可以拦截。
只有一些少数低版本的电脑没有打ms17_010这个补丁。
如有侵权,请联系
复制本文链接攻略资讯文章为拓城游所有,未经允许不得转载。
