2017-04-25带样本,黑客利用0day漏洞来获取服务器最高管理权限
本帖最后由 NULL-Xcode 于 2017-4-26 08:31 编辑昨天,在我账户名下的好几台服务器都同一时间被这个漏洞给黑掉了。
具体表现为调用winlogon.exe进程令CPU占用率上涨到100%,在Windows文件夹下多了一个system文件夹,里面的msinfo.exe就是被黑客注入的文件(贴里附带了样本,求大神继续深入分析)
然后就是网络状态服务被禁用
https://buy.qcloud.com/cgi/workorder?action=download&csrfCode=1938214909&uin=1115788122&t=1493164650160&cosVersion=3.0&attachFilename=1115788122_199074_1493117224391.png
服务器的DNS被改为了223.5.5.5或223.6.6.6,8.8.8.8导致服务器无法和内网监测服务器进行连接
用户组上多出了这个叫IUSR_Servs的账户,并被添加进了Administrator组(由于我的服务器上有防护软件,所以被添加进了这个组实际上并没有生效)
https://buy.qcloud.com/cgi/workorder?action=download&csrfCode=1938214909&uin=1115788122&t=1493164650160&cosVersion=3.0&attachFilename=1115788122_199063_1493116899295.png
https://buy.qcloud.com/cgi/workorder?action=download&csrfCode=1938214909&uin=1115788122&t=1493164650160&cosVersion=3.0&attachFilename=1115788122_199067_1493116962694.png
查询日志几乎都是被暴力破解的痕迹
下面这里是被成功破解,并创建了账户及修改用户组
然后就被安全工具拦截了
以上就是漏洞的全部行为,写的有点匆忙,不足之处希望指出!
我的解决方法是在任务管理器上先结束msinfo.exe这个进程再结束掉winlogon.exe这个进程,如果先结束了winlogon.exe这个高CPU占用率的进程就会马上自动恢复启动。
然后到windows下,把system这个目录给删除掉(这个并非真正的系统目录,是攻击者伪装的)。删不掉的可以用文件粉碎机强制删除。
然后在用户组中把恶意账户移除Administrator组,再删除恶意账户(IUSR_Servs)
把被停用的网络服务重启(必须进行了第一步骤才能重启,不然是无法启动的)
在注册表中删除与msinfo.exe有关的各种项。
然后重启系统,完成
因为我的系统装有各种环境,不方便重装系统,但我还是推荐重装一下,其他的情况有待观察
下面是主机商给出的回复原话。
国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具,外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大。
目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列):
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0
为保证您在马赛克上的业务安全,请您务必及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:
【风险等级】
高风险
【漏洞风险】
黑客可以通过发布的工具远程攻击服务器。
【影响服务】
主要影响SMB和RDP服务
【漏洞验证】确定服务器是否对外开启了137、139、445端口测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。
【漏洞修复建议】1、推荐方案:更新官方补丁截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:
工具名称解决措施
“EternalBlue”Addressed by MS17-010
“EmeraldThread”Addressed by MS10-061
“EternalChampion”Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”Addressed priorto the release of Windows Vista
“EsikmoRoll”Addressed by MS14-068
“EternalRomance”Addressed by MS17-010
“EducatedScholar”Addressed by MS09-050
“EternalSynergy”Addressed by MS17-010
“EclipsedWing”Addressed by MS08-067
为了保证系统的安全性,我们建议您关闭【TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】,另外限制远程登录源IP地址,一般端口默认为:3389。
针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下:a:未修复之前截图如下:http://shp.qpic.cn/txdiscuz_pic/0/_bbs_qcloud_com_forum_201704_16_003349jmty8p84ndllaaya.png/0
b:修复操作如下:禁止windows共享,卸载下图两个组件(此操作的目的是禁止445端口)http://shp.qpic.cn/txdiscuz_pic/0/_bbs_qcloud_com_forum_201704_16_003419m4wyq5ococpwodvy.png/0
(实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)
c:禁止netbios(此操作的目的是禁止137,139端口)http://shp.qpic.cn/txdiscuz_pic/0/_bbs_qcloud_com_forum_201704_16_003442mpk72ikpha2yp4al.png/0
重启后我们看到137,139,445端口全部关闭。http://shp.qpic.cn/txdiscuz_pic/0/_bbs_qcloud_com_forum_201704_16_003500kj7zkwdrh9plk7dw.png/0
2017-4-16 00:35 上传下载附件
d:关闭远程智能卡(此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用)http://shp.qpic.cn/txdiscuz_pic/0/_bbs_qcloud_com_forum_201704_16_003510u55llcsl8nsy8cyw.png/0 这个NSA的全套工具一周前就开始传开了,现在被黑产团队二次开发利用很正常,现在微软已经推出了相关的漏洞补丁,并且某数字公司专门开发了一款针对这批漏洞的检测工具,很显然你没有重视这个漏洞并及时打补丁啊,还有就是你的样本最多可以分析出该程序的行为,除非你能贴出系统日志文件和相关的信息,否则分析不出什么。而且NSA的工具最初有两个版本,一个是python另一个是jar,用着确实不错,基本上对存在漏洞的机器指哪打哪,现在除了前面说的,还有Metasploit框架也可以利用该漏洞,拿到机器的反弹shell并加以利用。 珂あ凤谕 发表于 2017-4-26 09:38
→_→楼主,你说的那些端口我都封掉了,顺便问一下360联网云查杀的端口是多少喵≥﹏≤它总提示被ipsec策略 ...
你可以在本地计算机上运行云查杀,然后用自带的联网防火墙来查看进程对应的端口 说来我也该学习学习如何防卫了,整天提心吊胆 666666666666666,好像很厉害的样子 ,有EXP吗 很专业 向你学习 好高深,这是逼着用户升级bug10 ? 有点意思 不是很懂,路过瞧一瞧{:1_885:} 兄弟,你这样的需要直接私信论坛大神,这样发的话很难被看到的! 昨天开始服务器就有点异常
刚才看了眼日志卧槽也被肛了{:301_995:}