永恒之蓝

NSA武器库知识整理 https://www.cnblogs.com/FrostDeng/p/7120812.html 美国国家安全局(NSA)旗下的“方程式黑客组织”（shadow brokers）使用的部分网络武器被公开，其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。 其中，有十款工具最容易影响Windows个人用户，包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子无需任何操作，只要联网就可以入侵电脑，就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。 （摘自KDNET凯迪社区） Shadow Brokers事件爆发后，微软安全应急响应中心MSRC已经在当天发出公告，MSRC表示会对披露的漏洞进行了彻底调查，并且表明就本次遭到披露的漏洞而言，大多数都已经被修复。以下是部分公告内容： 当潜在漏洞经内部或外部来源上报给微软时，微软安全应急响应中心（Microsoft Security Response Center,缩写为MSRC）会立即进行彻底的调查。我们致力于迅速验证上报信息，确保置客户于风险中的真实、未解决的漏洞得到修复。一旦得到验证，工程团队会尽快修复被上报的问题。修复问题所需的时间会同受影响的产品、服务以及版本直接相关。同时，分析对用户的潜在威胁，以及漏洞被利用的可能性

猫宁！！！ 参考： https://www.anquanke.com/post/id/86245 https://xz.aliyun.com/t/2536 https://www.cnblogs.com/backlion/p/9484949.html https://www.jianshu.com/p/91588e284fe8 “永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限，危害极大。 微软的漏洞2个漏洞公告 https://support.microsoft.com/zh-cn/help/4012598/title https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010?redirectedfrom=MSDN windows 2008R2镜像从itellme站点获取，种类齐全，比较干净。 https://msdn.itellyou.cn/ 记得进行新建，建立系统保留分区哦，用于存放系统引导文件，类似于centos7的/boot分区，可以避免系统无法正常启动。 虚拟机中的Windows 2008 R2一定要设置为网卡桥接模式 ip是192.168.100.27，先用nmap扫描一下有没有永恒之蓝漏洞存在，扫描脚本在/usr/share/nmap

Ŀ¼ 一、原理及目的 windows7进行控制利用，掌握Metaploit工具的使用，知道永恒之蓝的漏洞利用原理。永恒之蓝Windows的SMB服务处理SMB v1请求时发生的漏洞，这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。 二、实验环境 攻击机 靶机 windows7x64未打永恒之蓝补丁且关闭防火墙） 三、测试过程及总结 1.进入metaploit工具使用命令：msfconsole，可以看出下面有总共有六个模块，一定要知道对应模块的功能，才知道如何进行运用，这应该是该工具的核心功能模块。 辅助模块(auxiliary)、渗透攻击模块（exploits）、后渗透攻击模块(post)、攻击载荷模块(payloads)、空指令模块nops）、编码器模块(encoders)msf为总模块，其他均为分支模块。Metaploit的版本号为metasploit v4.17.3-dev 2.要利用永恒之蓝漏洞，那么就要使用其中的渗透攻击（exploit）模块，对其进行渗透攻击，利用ms17_010_eternalblue漏洞 3.设置攻击主机、靶机地址，确定攻击端口 a. b. 3.确定端口开放、版本 一定注意： 1

https://weibo.com/ttarticle/p/show?id=2309404344350225132710 背景 腾讯安全御见威胁情报中心于2019年2月25日发现曾利用驱动人生公司升级渠道发起供应链攻击的永恒之蓝下载器木马再次更新。此次更新仍然在攻击模块，在此前新增MS SQL爆破攻击的基础上，更新爆破密码字典，然后将使用mimiktaz搜集登录密码并添加到字典，并利用该字典进行SMB爆破攻击、MS SQL爆破攻击。同添加了永恒之蓝漏洞攻击后木马启动代码、攻击进程执行状态检查代码，并尝试对木马文件添加签名认证。 这个“永恒之蓝”木马下载器黑产团伙自供应链攻击得手之后，一直很活跃，期间不断更新调整木马攻击方式，蠕虫式传播的特点不断增强。 以下是该团伙主要活动情况的时间线： 2018年12月14日 利用“驱动人生”系列软件升级通道下发，利用“永恒之蓝”漏洞攻击传播。 2018年12月19日 下发之后的木马新增PowerShell后门安装。 2019年1月09日 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 2019年1月24日 木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装PowerShell后门。 2019年2月10日 将攻击模块打包方式改为Pyinstaller. 2019年2月20日 更新矿机组件，下载释放XMRig矿机

在渗透过程中，MSF漏洞利用神器是不可或缺的。更何况它是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。是信息收集、漏洞扫描、权限提升、内网渗透等集成的工具。 前不久MSF从4.7升级到MSF5.0,其中改进了数据库的处理逻辑，优化了msfconsole终端操作，并将PostgreSQL作为一个RESTful服务单独运行。此外还加入一个Web服务框架，新的免杀模块，优化了控制功能等。 下面小白总结了一下在渗透测试中，使用频率较多的MSF命令，分为以下几块来讲。 信息收集 发现目标网段的存活主机: 我们可以利用auxiliary这个模块来获取目标网端的信息，包括端口开放情况、主机存活情况。 auxiliary/scanner/discovery/arp_sweep auxiliary/scancer/smb/smb_version 存活的445主机 auxiliary/scanner/portscan/syn 端口扫描 auxiliary/scanner/telnet/telnet_version telent服务扫描 auxiliary/scanner/rdp/rdp_scanner 远程桌面服务扫描 auxiliary/scanner/ssh/ssh_version ssh主机扫描 。。。。。。

永恒之蓝exp 2017年，影响于全世界 SMB ripid7官网获取ms17-010的exp信息 Rapid7: https://www.rapid7.com/db/modules/exploit/windows/smb/ms17_010_eternalblue Scanner: https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/smb/smb_ms17_010.rb Doublepulsar exploit: https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit 来源： https://www.cnblogs.com/sec875/p/11386454.html

整理来自： （1）WannaMine来了？警惕“永恒之蓝”挖矿长期潜伏 http://www.freebuf.com/articles/network/164869.html （2）NrsMiner：一个构造精密的挖矿僵尸网络 http://www.freebuf.com/articles/system/162874.html （3）MsraMiner 被曝光后72小时内的更新 https://paper.tuisec.win/detail/aa6e84f6133184d （4）MsraMiner: 潜伏已久的挖矿僵尸网络 http://blog.netlab.360.com/msraminer-qian-fu-yi-jiu-de-wa-kuang-jiang-shi-wang-luo/ （5）深信服报道 http://www.sangfor.com.cn/about/source-news-product-news/1034.html （一）WannaMine 病毒文件： hash/hash64：为32位/64位挖矿程序，会被重命名为TrueServiceHost.exe。 spoolsv/spoolsv64：为32位/64位***母体，会被重命名为spoolsv.exe。 srv/srv64：为32位/64位为主服务，***入口点，会被重命名为tpmagentservice