2017年即将过去,纵观在这一年的网络安全事件中,勒索病毒可谓不得不提。当人们以为内网物理隔离能做到“绝对安全”的时候,WannaCry事件给了大家一个深刻的教训。然而事件过去了,很多人似乎对病毒怎么在局域网自动传播还是不大了解,故本文将结合今年两个特别著名的漏洞做讲解。

依据经验,病毒的内网传播攻击方式大致可分为两种,一种是主动式攻击传播,一种是被动式攻击传播。主动式攻击即病毒尝试主动将自身拷贝到远程主机并执行,然后再以同样方式攻击局域网中内其他主机,俗称蠕虫。被动式攻击即病毒自身并不主动进行诸如拷贝自身到远程主机的操作,而是使用户在某些看似正常的操作中触发某些条件从而进行传播感染的操作。以下将分别通过今年爆出的EternalRomance和LNK快捷方式漏洞展示病毒在内网中的主动式攻击和被动式攻击手法,希望能够使读者对内网攻击的手法有所了解,对内网的安全意识有所提升。

一、通过MS17-010中EternalRomance为例展示内网主动式攻击思路:

利用EternalRomance漏洞进行局域网传播的样本有一个攻击前提是局域网其他主机有使用SMB文件共享服务,且用于共享的账户和密码属于弱口令能够被爆破方式枚举出来。因此利用该漏洞的样本一般内部都有一个简单的字典用于枚举其他主机共享服务的弱口令。枚举成功后就拷贝自身到对方共享目录下并利用EternalRomance漏洞远程执行该文件。以下将通过手工方式模拟上述病毒感染步骤:
  1. 使用nmap扫描内网存活主机模拟病毒的扫描行为
  2. 通过EternalRomance漏洞将病毒自身拷贝至该主机并执行该病毒文件,通过远程注册服务执行恶意程序
  3. 最终通过触发漏洞执行以上的远程操作成功在目标主机C盘根目录下生成病毒示例文件并注册了相关服务,以SYSTEM用户启动该服务并运行示例程序展示操作结果
以上通过EternalRomance攻击内网的思路其实也就是勒索软件BadRabbit攻击内网的大体方式,在类似的恶意样本感染内网主机后便会主动去获取局域网内其他主机SMB共享的账户密码,并利用EternalRomance漏洞拷贝自身相关的恶意软件到目标的共享目录下,并远程执行该文件,实现对局域网的主动感染。针对此漏洞只要在SMB共享时设置一个安全性较高的密码并打上相应补丁即可防止此类攻击,但对于其他危险性更高的主动式攻击措施还需要通过及时打上相关补丁进行防治。

通过CVE-2017-8464漏洞为例展示内网被动式攻击思路

被动式攻击的特点是在平时并不会表现出任何异常行为,在内网中不会形成恶意流量,通过网络监控方式不会发现异常,因此其隐藏性较高,而一旦外部在触发某些条件后该类病毒便会进行感染,在新的主机上完成感染后便又会进入“安静”状态,因此追踪难度较高。
CVE-2017-8464漏洞存在于Windows处理LNK文件的环节,攻击文件包含恶意的LNK文件和关联的恶意二进制,文件可以存放在可移动磁盘或远程共享中,当用户用Windows资源管理器或任何其他能够解析LNK文件的文件打开此驱动器(或远程共享)时即会触发此漏洞,恶意文件就会在目标系统上执行攻击者的代码。以下通过此漏洞模拟被动式内网攻击手法:
通过某些手法(U盘带入或网络传播感染)使此类病毒感染内网某台主机后,病毒首先会在当前感染主机布置自身运行环境,并将触发此漏洞的相关文件拷贝到共享文件夹和插入此计算机的U盘的根目录中,此后每当有未打补丁的用户访问此共享文件夹或插入该感染的U盘则会重复此感染步骤,达到对局域网的被动式攻击目的。
内网被动式攻击性病毒具有隐藏性高,破坏性强的特点,更容易被用于APT攻击,例如著名的震网事件。而平常状态下在局域网内不会产生大量的恶意流量,因此不易被监控识别,仅在满足某些特定条件下才会进行感染攻击,并执行荷载样本进行恶意行为。且利用该漏洞的样本可以利用U盘进行传播,绕过了内外网隔绝的措施,可以利用社工等方法直接攻入内网,针对此漏洞的防护可以关闭驱动器的自动播放功能并打上相应补丁。

小结

对于之前的网络安全人们往往是把主要精力投放在对外的网络防护中,认为只要对外的网络防护做好就能高枕无忧,但随着网络安全概念的进一步加深以及攻击者们攻击手法的不断创新,使得内网的安全不得不引起大家的重视,特别是某些特殊场合的局域网安全更是需要安装专业的安全防护软件预防某些恶意软件在内网中利用相关漏洞进行大面积感染,只有不断加强内网的安全防护能力才能防止出现下一个”WannaCry“和”震网病毒“。
最后修改:2021 年 04 月 10 日

感谢看完,可以点个赞~请作者喝杯咖啡~ヾ(◍°∇°◍)ノ゙❤