如何加強(qiáng)計(jì)算機(jī)系統(tǒng)安全防護(hù)

魯先志 柏海龍 董文豪

【摘要】本文分析了永恒之藍(lán)漏洞的原理，利用Metaploit工具演示了永恒之藍(lán)漏洞利用的過程，并介紹了防范該漏洞的方法，進(jìn)一步加強(qiáng)計(jì)算機(jī)系統(tǒng)安全防護(hù)。

【關(guān)鍵詞】永恒之藍(lán);漏洞;滲透測試

永恒之藍(lán)工具的泄露是重大網(wǎng)絡(luò)安全事件之一，這對(duì)全球的網(wǎng)絡(luò)安全工作造成了深遠(yuǎn)意義的影響。永恒之藍(lán)（Eternal Blue）爆發(fā)于2017年，是一種利用Windows系統(tǒng)的SMB協(xié)議漏洞來獲取系統(tǒng)的最高權(quán)限，以此來控制被入侵的計(jì)算機(jī)。wannacry勒索病毒就是利用永恒之藍(lán)漏洞對(duì)受害者的電腦發(fā)起攻擊，并以“病毒”傳播的方式感染了全球部分windows操作系統(tǒng)的，這些安全事件給全球的相關(guān)公司和個(gè)人造成了重大的經(jīng)濟(jì)損失，給網(wǎng)絡(luò)安全行業(yè)提出了嚴(yán)峻的挑戰(zhàn)。

1. 什么是永恒之藍(lán)漏洞

永恒之藍(lán)是美國國家安全局開發(fā)的漏洞利用程序，于2017年4月14日被黑客組織影子掮客泄漏。永恒之藍(lán)利用微軟操作系統(tǒng)的445/TCP端口的文件分享協(xié)議漏洞進(jìn)行攻擊的。微軟于2017年3月14日已經(jīng)發(fā)布過Microsoft Windows補(bǔ)丁修補(bǔ)了這個(gè)漏洞，由于很多用戶沒有及時(shí)修補(bǔ)該漏洞， WannaCry勒索病毒還利用這個(gè)漏洞在全球范圍內(nèi)大規(guī)模傳播。永恒之藍(lán)適用于網(wǎng)絡(luò)環(huán)境傳播， 傳播能力強(qiáng)、爆發(fā)速度快。當(dāng)某臺(tái)電腦被感染后，該臺(tái)電腦會(huì)被病毒控制成為肉機(jī)，向網(wǎng)絡(luò)中的其他電腦傳播，這種超強(qiáng)的自主傳播能力，能夠在數(shù)小時(shí)內(nèi)感染一個(gè)系統(tǒng)內(nèi)的全部電腦。并且無需用戶任何操作。

2. 永恒之藍(lán)利用實(shí)踐

本次實(shí)驗(yàn)主要是利用目標(biāo)機(jī)器windows7操作系統(tǒng)上存在的永恒之藍(lán)漏洞，通過Metaploit工具對(duì)目標(biāo)機(jī)進(jìn)行滲透測試。永恒之藍(lán)是在Windows的SMB服務(wù)處理SMB請(qǐng)求時(shí)存在安全漏洞，這個(gè)漏洞的會(huì)被惡意利用并獲得到目標(biāo)服務(wù)器的管理員權(quán)限。存在永恒之藍(lán)漏洞的電腦會(huì)開放445文件共享端口，惡意滲透者不需要誘騙用戶進(jìn)行任何操作，只要開機(jī)系統(tǒng)開機(jī)并連接網(wǎng)絡(luò)，惡意攻擊者就能通過網(wǎng)絡(luò)在目標(biāo)主機(jī)勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

2.1 利用Metaploit工具掃描存在永恒之藍(lán)利用漏洞的主機(jī)

打開Metasploit，使用命令搜索永恒之藍(lán)模塊search ms17，然后使用永恒之藍(lán)掃描模塊對(duì)目標(biāo)網(wǎng)段進(jìn)行漏洞掃描。

配置完成后，開始執(zhí)行Metasploit 的掃描模塊（run或exploit均可），數(shù)分鐘后發(fā)現(xiàn)網(wǎng)絡(luò)中一臺(tái)可能存在永恒之藍(lán)利用漏洞的主機(jī)。

2.2 使用永恒之藍(lán)攻擊模塊對(duì)目標(biāo)主機(jī)進(jìn)行攻擊

加載永恒之藍(lán)攻擊模塊，完成后加載攻擊載荷payload，首先利用show payloads命令查看set payload windows/x64/meterpreter/reverse_tcp。由于目標(biāo)機(jī)為windows64位主機(jī)，所以用到的payload為windows x64。

設(shè)置目標(biāo)主機(jī)set rhost 192.168.1.199設(shè)置payload監(jiān)聽主機(jī)（這里為本機(jī)）set lhost 192.168.1.127確認(rèn)無誤后，開始執(zhí)行攻擊程序。如圖所示，攻擊成功目標(biāo)主機(jī)成功上線。

2.3 使用Metasploit工具對(duì)目標(biāo)主機(jī)進(jìn)行后滲透操作

使用getuid查看目前主機(jī)操作系統(tǒng)中所有的用戶。

2.4 破解用戶的登錄密碼

獲得系統(tǒng)的系統(tǒng)管理員權(quán)限后，就可以利用mimikatz工具通過讀取操作系統(tǒng)的內(nèi)存信息來破解系統(tǒng)的管理員用戶登錄密碼。使用命令load mimikatz 命令加載mimikatz組件，命令載入成功后使用kerberos命令破解用戶的登錄密碼。

至此，一個(gè)完整的利用永恒之藍(lán)漏洞對(duì)目標(biāo)主機(jī)進(jìn)行滲透攻擊的案例演示完成。

3. 如何防范永恒之藍(lán)攻擊

3.1 及時(shí)更新操作系統(tǒng)，安裝操作系統(tǒng)補(bǔ)丁。

由于永恒之藍(lán)漏洞是操作系統(tǒng)本身的一個(gè)軟件缺陷，防范該漏洞的最好方法是在被惡意攻擊之前及時(shí)修補(bǔ)該漏洞。微軟公司會(huì)及時(shí)發(fā)現(xiàn)操作系統(tǒng)的漏洞并在官方網(wǎng)站發(fā)布漏洞的補(bǔ)丁。用戶需要及時(shí)關(guān)注微軟官方的漏洞補(bǔ)丁發(fā)布信息，及時(shí)對(duì)自己操作系統(tǒng)的漏洞打補(bǔ)丁。

3.2 對(duì)自己重要的文件和系統(tǒng)配置做好備份

目前的網(wǎng)絡(luò)環(huán)境下惡意攻擊系統(tǒng)的目的大部分是要獲取經(jīng)濟(jì)利益，編寫病毒，利用用戶操作系統(tǒng)的漏洞進(jìn)行傳播，病毒進(jìn)入系統(tǒng)的電腦內(nèi)會(huì)加密用戶電腦的數(shù)據(jù)文件和系統(tǒng)的關(guān)鍵配置文件，讓用戶無法正常工作。用戶平時(shí)及時(shí)做好數(shù)據(jù)備份工作，當(dāng)受到病毒攻擊時(shí)，能及時(shí)將自己被破壞的數(shù)據(jù)恢復(fù)，讓攻擊者的影響降到到最小，這種也是一個(gè)很好的防御病毒的方式。

參考文獻(xiàn)：

[1]https：//zh.wikipedia.org/zhhans/%E6%B0%B8%E6%81%92%E4%B9%8B%E8%93%9D

[2]陳興躍.網(wǎng)絡(luò)安全能力建設(shè)：意識(shí)、管理和技術(shù)的協(xié)同[J]信息安全研究.2017（08），765-768

[3]苗松娟等.由永恒之藍(lán)談網(wǎng)絡(luò)安全[J].電腦知識(shí)與技術(shù).2017（13），52-54

[4]張德政，王娜娜等.永恒之藍(lán)變種挖礦蠕蟲WannaMine的安全技術(shù)防護(hù)研究[J]信息安全研究.2019（02），135-144

作者簡介：魯先志，河南濮陽人，碩士，副教授，專業(yè)：計(jì)算機(jī)軟件與理論;主要研究方向?yàn)槁殬I(yè)教育和網(wǎng)絡(luò)安全。