吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 26963|回复: 51
收起左侧

[PC样本分析] 2017-04-25带样本,黑客利用0day漏洞来获取服务器最高管理权限

  [复制链接]
NULL-Xcode 发表于 2017-4-26 08:22
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 NULL-Xcode 于 2017-4-26 08:31 编辑

昨天,在我账户名下的好几台服务器都同一时间被这个漏洞给黑掉了。
具体表现为调用winlogon.exe进程令CPU占用率上涨到100%,在Windows文件夹下多了一个system文件夹,里面的msinfo.exe就是被黑客注入的文件(贴里附带了样本,求大神继续深入分析)
msinfo.jpg

然后就是网络状态服务被禁用

服务器的DNS被改为了223.5.5.5或223.6.6.6,8.8.8.8导致服务器无法和内网监测服务器进行连接


用户组上多出了这个叫IUSR_Servs的账户,并被添加进了Administrator组(由于我的服务器上有防护软件,所以被添加进了这个组实际上并没有生效)




查询日志几乎都是被暴力破解的痕迹
1.jpg

下面这里是被成功破解,并创建了账户及修改用户组
2.jpg

然后就被安全工具拦截了
3.jpg

以上就是漏洞的全部行为,写的有点匆忙,不足之处希望指出!


我的解决方法是在任务管理器上先结束msinfo.exe这个进程再结束掉winlogon.exe这个进程,如果先结束了winlogon.exe这个高CPU占用率的进程就会马上自动恢复启动。
然后到windows下,把system这个目录给删除掉(这个并非真正的系统目录,是攻击者伪装的)。删不掉的可以用文件粉碎机强制删除。
然后在用户组中把恶意账户移除Administrator组,再删除恶意账户(IUSR_Servs)
把被停用的网络服务重启(必须进行了第一步骤才能重启,不然是无法启动的)
在注册表中删除与msinfo.exe有关的各种项。
然后重启系统,完成
因为我的系统装有各种环境,不方便重装系统,但我还是推荐重装一下,其他的情况有待观察

下面是主机商给出的回复原话。

国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大

目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列)
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0

为保证您在马赛克上的业务安全,请您务必及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:

【风险等级】
  高风险

【漏洞风险】
  黑客可以通过发布的工具远程攻击服务器。

【影响服务】
  主要影响SMB和RDP服务

【漏洞验证】
确定服务器是否对外开启了137、139、445端口
测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。

【漏洞修复建议】
1、推荐方案:更新官方补丁
截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:
工具名称解决措施
“EternalBlue”Addressed by MS17-010
“EmeraldThread”Addressed by MS10-061
EternalChampionAddressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”Addressed prior  to the release of Windows Vista
“EsikmoRoll”Addressed by MS14-068
“EternalRomance”Addressed by MS17-010
“EducatedScholar”Addressed by MS09-050
“EternalSynergy”Addressed by MS17-010
“EclipsedWing”Addressed by MS08-067



为了保证系统的安全性,我们建议您关闭【TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】,另外限制远程登录源IP地址,一般端口默认为:3389。


针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下:
a:未修复之前截图如下:


b:修复操作如下:禁止windows共享,卸载下图两个组件此操作的目的是禁止445端口

(实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)

c:禁止netbios此操作的目的是禁止137,139端口

重启后我们看到137,139,445端口全部关闭。

2017-4-16 00:35 上传下载附件[size=0.83em]



d:关闭远程智能卡此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用

msinfo.part1.rar

980 KB, 下载次数: 78, 下载积分: 吾爱币 -1 CB

msinfo.part2.rar

980 KB, 下载次数: 39, 下载积分: 吾爱币 -1 CB

msinfo.part3.rar

930.04 KB, 下载次数: 47, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 19吾爱币 +19 热心值 +16 收起 理由
Ocean333 + 1 + 1 谢谢@Thanks!
我说耐你 + 1 + 1 我很赞同!
sxwn007 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
西门市场 + 1 + 1 神贴
雫Hao洋洋 + 1 + 1 谢谢@Thanks!
丝袜打我的手 + 1 + 1 已答复!
Night_月殇 + 1 + 1 我很赞同!
AI-Compare + 1 感谢您的宝贵建议,我们会努力争取做得更好!
z79097397 + 1 + 1 用心讨论,共获提升!
baixingjian8 + 1 + 1 支持楼主继续发类似好帖子。
星痕之痛 + 1 好像我的也被黑了,提交了工单
稻米 + 1 + 1 用心讨论,共获提升!
____小忆 + 1 + 1 热心回复!
试试去爱你 + 1 + 1 及时的解决方法!对于入门的人来说很有帮助!感谢你为吾爱做出的贡献!拿好
只为牵挂你 + 1 + 1 用心讨论,共获提升!
md5 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
江南高手 + 1 FBI专用程序,网上可以下载到。危害极大
榻榻米 + 1 + 1 吓得我赶紧去服务器看看有没有msinfo.exe这个进程。。
皇甫小杰 + 1 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

w2010d 发表于 2017-4-26 19:16
这个NSA的全套工具一周前就开始传开了,现在被黑产团队二次开发利用很正常,现在微软已经推出了相关的漏洞补丁,并且某数字公司专门开发了一款针对这批漏洞的检测工具,很显然你没有重视这个漏洞并及时打补丁啊,还有就是你的样本最多可以分析出该程序的行为,除非你能贴出系统日志文件和相关的信息,否则分析不出什么。而且NSA的工具最初有两个版本,一个是python另一个是jar,用着确实不错,基本上对存在漏洞的机器指哪打哪,现在除了前面说的,还有Metasploit框架也可以利用该漏洞,拿到机器的反弹shell并加以利用。
 楼主| NULL-Xcode 发表于 2017-4-26 09:45 来自手机
珂あ凤谕 发表于 2017-4-26 09:38
→_→楼主,你说的那些端口我都封掉了,顺便问一下360联网云查杀的端口是多少喵≥﹏≤它总提示被ipsec策略 ...

你可以在本地计算机上运行云查杀,然后用自带的联网防火墙来查看进程对应的端口
联盟少侠 发表于 2017-4-26 08:36
说来我也该学习学习如何防卫了,整天提心吊胆
小其 发表于 2017-4-26 08:36
666666666666666,好像很厉害的样子 ,有EXP吗
wsc303 发表于 2017-4-26 08:40
很专业 向你学习
chen4321 发表于 2017-4-26 08:40 来自手机
好高深,这是逼着用户升级bug10 ?
emsAron 发表于 2017-4-26 08:45
有点意思
kyowjw01 发表于 2017-4-26 08:46
不是很懂,路过瞧一瞧
头像被屏蔽
ssa10086 发表于 2017-4-26 08:46
提示: 作者被禁止或删除 内容自动屏蔽
氵哥来找妹子灬 发表于 2017-4-26 08:47
兄弟,你这样的需要直接私信论坛大神,这样发的话很难被看到的!
堕落ぁ狼 发表于 2017-4-26 08:49
昨天开始服务器就有点异常

刚才看了眼日志卧槽也被肛了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表