自从2017年勒索病毒开始爆发以来,无数企业和个人都遭受了勒索病毒的侵袭和危害,造成的损失不计其数。今天向大家详细介绍勒索病毒的攻击和防御。
首先勒索病毒是一个会自动对感染病毒的计算机的数据文件进行高强度加密的程序,并且会自动传播扩散。但是我们都知道,传统的病毒是需要人为触发和运行的,但勒索病毒之所以能够这么快引起全球恐慌,就在于这个病毒能够自动利用系统漏洞去传播并自动触发。只需要第一台计算机触发了勒索病毒,病毒会马上自动传播到整个局域网,造成的危害非常大。
最著名的勒索病毒不外乎ONION和WNCRY两大家族,这2种病毒都是利用了 2017 年 Windows 著名的 “永恒之蓝” 漏洞来传播扩散的。
所谓永恒之蓝漏洞,是指远程用户可以利用 Windows 的文件夹共享服务(端口 TCP445),绕过身份验证,获取系统控制权的一个安全漏洞。勒索病毒只要触发后,就能自动利用该漏洞传播病毒至局域网中其它主机并自动执行病毒,从而很快就能感染整个内网。
下面我们演示一下如何手动利用永恒之蓝漏洞来植入勒索病毒。
实验环境
角色 操作系统 IP地址 需要工具
攻击机 Kali Linux 192.168.75.130 Wcry 勒索病毒样本、Metasploit
靶机 Windows Server 2008 X64 192.168.75.132 无
攻击流程
1.在 Kali Linux 中使用命令 msfconsole 运行 Metasploit,如图 1-1 所示
图 1-1
2.搜索 MS17-010 的相关攻击模块,如图 1-2 所示
图 1-2
3.首先使用 auxiliary/scanner/smb/smb_ms17_010 模块来扫描网络中哪些主机存在永恒之蓝漏洞,如图 1-3 所示
图 1-3
4.设置扫描目标为 192.168.75.0/24 网段,并设置扫描线程为 50,然后开始扫描,如图 1-4 所示
图 1-4
5.发现扫描结果中出现了靶机的 IP,说明靶机存在永恒之蓝漏洞,如图 1-5 所示
图 1-5
6.更换攻击模块为之前搜索结果中的 exploit/windows/smb/ms17_010_eternalblue,开始对目标靶机进行渗透,如图 1-6 所示
图 1-6
7.搜索可用攻击载荷,如图 1-7 所示
图 1-7
8.找到载荷 windows/x64/meterpreter/bind_tcp,并调用,如图 1-8,图 1-9 所示
图 1-8
图 1-9
9.设置攻击源为本机 IP,攻击目的为靶机 IP,并开始攻击,如图 1-10 所示
图 1-10
10.进入靶机系统后,上传本地的勒索病毒 Wcry.exe 至靶机磁盘,如图 1-11 所示
图 1-11
11.在靶机上执行勒索病毒,并测试效果,发现所有文件已被加密勒索,如图 1-12、图 1-13 所示
图 1-12
图 1-13
可以看到,整个过程非常简单,而且被攻击的用户完全无感知,直到数据被加密勒索。而且目前数据被勒索后,除了向黑客交付赎金,还没有加密破解的方法。
那我们如何对勒索病毒进行防御呢?首先勒索病毒针对 Windows 64位操作系统,在勒索病毒爆发后微软迅速推出了修补该漏洞的补丁,编号 MS17-010,我们只需为系统打上该补丁就可以防御勒索病毒的攻击。
另外,如果局域网中发现已经有计算机感染了勒索病毒,可以迅速使用防火墙封堵 TCP 445 端口的通讯,来防止勒索病毒进一步扩散。
本人作者:鸣人
13年以上IT从业经验,8年以上IT企业内训经验
中国建设银行武汉数据中心蓝海区网络安全负责人
湖北省国防科工办数据中心项目负责人
重庆市经信委数据中心项目负责人
讲授课程:
SCSA、SCSP、H3CNE、H3CSE、 H3CIE、RCNA、RCNP
项目经验:
湖北省国防科工办民用爆炸物品管理系统迁移及机房升级
重庆市经信委民用爆炸物品管理系统部署及网络搭建
宜昌市国贸集团虚拟化平台搭建部署
