针对5.12大型比特币敲诈事件的漏洞分析及其预防方法

ChaMd5安全团队

发布于 2018-03-29 11:52:46

1.3K0

针对5.12大型比特币敲诈事件的漏洞分析及其预防方法

From ChaMd5安全团队核心成员逍遥自在

2017年4年14日，NSA组织爆出了一份震惊世界的机密文档，其中包含了多个Windows远程漏洞利用工具，其中影响最大的就是ms17_010。在之后几天中，整个安全界都在疯狂的复现这个漏洞，各大公司也出台了相应的措施。时隔一个月之后，一场大型的onion软件敲诈出现在中国安全最脆弱的教育体系中，山东、辽宁、黑龙江均有高校中毒，勒索者要求受害人支付高昂的解密费用才给解开。

据初步了解，这个漏洞就是NSA爆出的ms17_010漏洞为核心入侵受害主机，用现代密码学对整个硬盘的文档、视频等文件进行加密，并限定期限，否则就销毁文件。

对于这个病毒，在小编写这篇文章前尚未有任何办法，对于密码学稍有了解的小编在此提醒各位，除了大型安全公司或者国家公布的工具外，不要相信在论坛、贴吧随口说工具出来的人们，以免导致了文件的损失。

而交了比特币是否会给解密小编也不敢保证。所以，在此，小编带大家以模拟内网实战的方法走一遍这个漏洞的攻击方法，并给出如何预防的方法。

此次利用的SMB漏洞影响以下未自动更新的操作系统：

Windows XP／Windows 2000／Windows 2003Windows Vista／Windows Server 2008／Windows Server 2008 R2 Windows 7／Windows 8／Windows 10Windows Server 2012／Windows Server 2012 R2／Windows Server 2016

一、准备攻击

先把攻击机给配好，分别是

攻击机1（windows）:192.168.231.135，

攻击机2（kali）:192.168.231.131

(关于ms17_010漏洞的配置方法请自行百度）

二、开始渗透

1.扫描踩点

通过对内网一个/24段的扫描，发现有五台机器，其中两台windows，第一台这次没什么影响，第二个看到了开了445端口，看来有搞头，至此靶机定下192.168.231.143，os八成是win7/2008。

2.进行定点攻击

用方程式爆出的工具一步步设置、操作，可以发现代码写入的十分顺利

接下来用kali生成攻击dll，把dll传到攻击机1，再对kali进行相关设置，用攻击机1对靶机发动攻击。

此时攻击机2便可以获取到靶机的shell了

【漏洞分析】

1.危险分析：

这个漏洞攻击具有非常强的隐蔽性，不需要被攻击的人作出任何动作就可以入侵。可以直接获取到最高权限，属于严重危险的漏洞。

2.漏洞原理分析:

由于篇幅和能力原因，请移步这位大表哥的文章中：

http://bobao.360.cn/learning/detail/3738.html

三．检测和预防方法

1.检测：

对于专业的人士来说，可以自己扫描端口，自己自行测试，如果你是个电脑小白，那应该怎么办呢？在这里，我推荐大家使用360NSA检测工具（http://dl.360safe.com/nsa/nsatool.exe），根据提示打上补丁

【本文提供3种关闭445端口的解决方法】

2.在组策略中关闭445端口：

首先，Win+R打开运行，输入gpedit.msc进入组策略编辑器。然后进入计算机配置→windows设置→安全设置→应用程序控制策略中，在右边空白区新建一个安全策略，第一页起名字，第二页不选，第三页确定，开始编辑

接下来的所有操作均不使用添加向导

首先新建一个ip筛选器，起名字，添加一个熟悉，地址中目的地址选我的ip地址，协议选择TCP协议，最下面的到此端口填上445。之后再设置筛选器操作，选择安全方法为阻止。在ip地址筛选列表和筛选器操作列表前面分别点下，然后关闭。最后右击，选择分配，任务完成。

3.在注册表里关闭445端口：

WIN+R打开运行，输入regedit打开注册表，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters，在右面的窗口建立一个REG_DWord类型的，名为SMBDeviceEnabled，键值为0，这样就ok了。

4.在防火墙里关闭445端口：

4.1.打开控制面板→系统和安全→Windows防火墙，点击左侧“打开或关闭Windows防火墙”