Các lỗ hổng và cách khai thác đặc biệt xuất hiện và tạo ra các tiêu đề với những cái tên hấp dẫn. Eternal Blue là một trong số đó. Ban đầu liên quan đến nsa, lỗ hổng này khai thác một lỗ hổng trong giao thức smb, ảnh hưởng đến nhiều máy windows và tàn phá khắp nơi. Ở đây sẽ sử dụng màu xanh vĩnh cửu để khai thác smb thông qua metasploit.
Eternal Blue là gì?
foreverblue là phương thức khai thác có nhiều khả năng được phát triển bởi nsa. Nó được phát hành vào năm 2017 bởi Shadow Brokers, một nhóm tin tặc nổi tiếng với những vụ rò rỉ và khai thác được sử dụng bởi Equation Group có liên quan đến Bộ phận Điều hành Truy cập Trận đấu của NSA.
foreverblue, còn được gọi là ms17-010, là một lỗ hổng trong giao thức microsoft smb (khối tin nhắn máy chủ). smb cho phép các hệ thống chia sẻ quyền truy cập vào tệp, máy in và các tài nguyên khác trên mạng. Lỗ hổng này được cho phép vì các phiên bản trước của smb có lỗ hổng cho phép kẻ tấn công thiết lập kết nối null-session thông qua đăng nhập ẩn danh. Sau đó, kẻ tấn công có thể gửi các gói tin không đúng định dạng và cuối cùng thực hiện các lệnh tùy ý trên mục tiêu.
foreverblue chịu trách nhiệm chính cho sự bùng phát của ransomware, notpetya và badrmus, cũng như sâu đá vĩnh cửu.
Tùy chọn 1 Sử dụng metasploit để khai thác EternalBlue
Chúng tôi sẽ sử dụng bản sao chưa vá lỗi của windows server 2008 r2 làm mục tiêu cho phần đầu tiên của hướng dẫn này. Các bài đánh giá có thể được tải xuống từ Microsoft để theo dõi tốt hơn.
Bước đầu tiên là tìm mô-đun để sử dụng
Điều đầu tiên chúng ta cần làm là mở một thiết bị đầu cuối và bắt đầu metasploit. Nhập khởi động dịch vụ postgresql để khởi tạo cơ sở dữ liệu postgresql hoặc msfconsole nếu nó chưa chạy.
Tiếp theo, sử dụng lệnh search trong metasploit để tìm đúng mô-đun cần sử dụng.
Chúng tôi có thể chạy một máy quét thứ cấp để xác định xem mục tiêu có dễ bị tấn công bởi ms17-010 hay không. Luôn luôn là một ý kiến hay khi thực hiện những công việc do thám cần thiết như thế này. Mặt khác, nếu mục tiêu thậm chí không dễ bị tấn công, bạn có thể sẽ lãng phí rất nhiều thời gian.
Khi chúng tôi xác định rằng mục tiêu của chúng tôi thực sự dễ bị tấn công bởi EternalBlue, chúng tôi có thể sử dụng mô-đun khai thác sau từ tìm kiếm mà chúng tôi vừa thực hiện.
Bạn nên bắt đầu nếu thấy lời nhắc “mining (windows / smb / ms17_010_eternalblue)”.
Bước thứ hai là chạy mô-đun
Chúng tôi có thể xem cài đặt hiện tại bằng lệnh tùy chọn .
Đầu tiên, chúng ta cần xác định địa chỉ ip của mục tiêu.
Tiếp theo, chúng tôi có thể tải trình bao reverse_tcp đáng tin cậy làm trọng tải.
Cuối cùng, đặt máy chủ lắng nghe thành địa chỉ ip của máy cục bộ của chúng tôi.
Cổng lắng nghe số phù hợp.
Đây là tất cả mọi thứ, vì vậy tất cả những gì còn lại cần làm là bắt đầu khai thác. Sử dụng lệnh Run để bắn.
Chúng tôi thấy điều gì đó đang xảy ra ở đây, chẳng hạn như kết nối smb được thiết lập và một gói tấn công được gửi đi. Cuối cùng, chúng tôi thấy “chiến thắng” và một phiên đồng hồ được mở. Đôi khi việc khai thác không hoàn thành thành công trong lần đầu tiên, vì vậy nếu nó không thử lại thì nó sẽ hoàn thành.
Bước 3 Xác minh mục tiêu bị nhiễm
Chúng tôi có thể xác minh rằng chúng tôi đã xâm phạm mục tiêu bằng cách chạy lệnh như sysinfo để lấy thông tin hệ điều hành.
và getuid để lấy tên người dùng hiện tại.
Lỗ hổng này không hoạt động tốt trên các hệ thống mới hơn và trong một số trường hợp, nó có thể làm hỏng máy mục tiêu. Tiếp theo, chúng ta sẽ khám phá một lỗ hổng tương tự đáng tin cậy hơn nhưng cũng gây chết người hơn.
Lựa chọn 2 Lãng mạn vĩnh cửu / Sức mạnh vĩnh cửu / Nhà vô địch vĩnh cửu
Như thể EternalBlue không đủ sức hủy diệt, ba cách khai thác tương tự sau đó đã được phát triển. Eternal Romance và Eternal Synergy khai thác một sự hỗn loạn (cve-2017-0143), trong khi Eternal Champion và Eternal Synergy khai thác một điều kiện chủng tộc (cve-2017-0146).
Chúng được kết hợp thành một mô-đun metasploit cũng sử dụng tải trọng psexec cổ điển. Nó được coi là đáng tin cậy hơn so với màu xanh vĩnh cửu, ít có khả năng gặp sự cố trên mục tiêu và hoạt động trên tất cả các phiên bản windows chưa được vá gần đây cho đến máy chủ 2016 và windows 10.
Cảnh báo duy nhất là việc khai thác này yêu cầu một đường ống được đặt tên. Các đường ống được đặt tên cung cấp một cách để các quy trình đang chạy giao tiếp với nhau, thường ở dạng tệp, để các quy trình khác gắn vào. Mô-đun metasploit tự động kiểm tra các đường ống được đặt tên và nó rất đơn giản để sử dụng miễn là các đường ống được đặt tên tồn tại trên mục tiêu.
Bước đầu tiên là tìm mục tiêu dễ bị tấn công
Chúng tôi có thể sử dụng nmap thay thế cho máy quét metasploit để khám phá xem mục tiêu có dễ bị tấn công bởi EternalBlue hay không. Công cụ tập lệnh nmap là một tính năng mạnh mẽ của công cụ cốt lõi cho phép chạy các tập lệnh khác nhau chống lại các mục tiêu.
Tại đây, chúng tôi sẽ sử dụng tập lệnh smb-vuln-ms17-010 để kiểm tra lỗ hổng bảo mật. Mục tiêu của chúng tôi sẽ là một bản sao chưa từng có của Windows Server 2016 Datacenter Edition. Bạn có thể tải xuống bản sao đánh giá từ Microsoft để bạn có thể theo dõi khi cần.
Chúng tôi có thể sử dụng tùy chọn -script cùng với cờ -v để chỉ định độ chi tiết và địa chỉ ip của một tập lệnh duy nhất để chạy mục tiêu của chúng tôi. Đầu tiên, hãy thay đổi các thư mục trong trường hợp bạn vẫn đang chạy metasploit.
nmap sẽ bắt đầu chạy và không mất quá nhiều thời gian vì chúng tôi chỉ chạy một tập lệnh. Ở cuối đầu ra, chúng ta sẽ tìm thấy kết quả.
Chúng tôi có thể thấy rằng nó liệt kê mục tiêu là dễ bị tấn công, cùng với thông tin bổ sung như các yếu tố rủi ro và liên kết cve.
Bước thứ hai là tìm mô-đun để sử dụng
Bây giờ chúng tôi biết mục tiêu dễ bị tấn công, chúng tôi có thể quay lại metasploit và tìm cách khai thác phù hợp.
Và sử dụng use để tải mô-đun vào metasploit.
Nếu bạn thấy lời nhắc “khai thác (windows / smb / ms17_010_psexec)”, bạn biết rằng bạn ổn.
Bước thứ ba là chạy mô-đun
Xem các tùy chọn của chúng tôi:
Có vẻ như cách khai thác này khai thác danh sách các đường ống được đặt tên để kiểm tra và kết nối với một lượt chia sẻ. Bây giờ chúng ta có thể để tất cả những thứ này làm mặc định, nhưng chúng ta cần thiết lập máy chủ từ xa.
Và tải ngược lại vỏ.
và localhost
và cổng địa phương.
Chúng ta nên đi ngay bây giờ. Nhập run để bắt đầu khai thác.
Chúng tôi có thể thấy rằng tải đã thực hiện thành công và chúng tôi đã hoàn tất phiên đồng hồ.
Bước 4 Xác minh mục tiêu bị nhiễm
Một lần nữa, chúng tôi có thể sử dụng lệnh như sysinfo để xác minh rằng chúng tôi đã tấn công hệ thống.
và getuid .
Phòng ngừa và Trạng thái
Bất chấp tất cả thiệt hại do EternalBlue gây ra, có một cách chắc chắn để ngăn chặn những kiểu tấn công này: vá hệ thống của bạn! Tại thời điểm này, đã gần hai năm kể từ khi những lỗ hổng này được tiết lộ và thực sự không có lý do gì để có một hệ điều hành chưa được vá.
foreverblue vẫn còn là một vấn đề và trong khi hậu quả là rất nghiêm trọng, rất tiếc là một số tổ chức vẫn đang chạy các hệ thống chưa được vá. Điều này, kết hợp với các cửa sổ vi phạm bản quyền, khiến EternalBlue trở thành mối đe dọa đáng kể như ngày nay.
Cryptojacking (khai thác bí mật tiền điện tử bằng máy tính của nạn nhân) là một vectơ đe dọa khác sử dụng các cuộc tấn công do EternalBlue điều khiển. Wanmine là một trong những bệnh dịch máy tính xảy ra trên toàn thế giới vào năm 2018.