fbpx

EternalBlue Exploit Trafugato alla NSA – Come Usarlo!

Come già detto nell’articolo dei nostri amici di Tech-Hardware circa :

“WannaCry tutto quello da sapere: come proteggersi e come (non) risolvere

Cito:
“WannaCry ha iniziato a mietere vittime il 12 maggio 2017. Il suo funzionamento è basato su l’exploit (codice che sfrutta falle di sistema) EternalBlue che colpisce tutte le versioni di Windows da XP in poi.”

Ecco partiamo proprio da qui. EternalBlue è un Exploit dell’NSA trafugato dall’hacking group Shadow Brokers, ormai di dominio pubblico. E’ stato usato di recente per attaccare oltre 200Mila Macchine Windows nel mondo, a scopo di riscatto (ransomware WannaCry). Quello di cui vogliamo parlare oggi è come individuare PC potenzialmente vulnerabili ad EternalBlue e come utilizzare EternalBlue!

EternalBlue sfutta una falla presente in tutte le versioni SMB v1 sulla porta 445. I nostri obiettivi li cercheremo in Shodan (quale miglior motore per questo tipo di ricerche).

Per cui la query di Shodan sarà:

port:445 “SMB Version: 1” os:Windows !product:Samba

Ed otterremo un elenco di quasi Un Milione di dispositivi!!!

Ora scegliamo un obiettivo ed accertiamoci che sia online. Quindi eseguire un ping sul Target per essere certi che sia attivo. Non guasterebbe eseguire un port Scan con NMAP. Ma noi ci siamo limitati ad un semplice ping.

A questo punto verifichiamo se è presente la Vulnerabilità prima di lanciare l’Exploit vero e proprio.

Apriamo il nostro msfconsole e poi diamo il comando:

use auxiliary/scanner/smb/smb_ms17_010

A seguire: “show options” per capire i settaggi.

Questo modulo sostanzialmente verifica se è stata installata la Patch MS17-010.

Se la Patch non è stata installata, vale la pena di provare…  Quindi, questo a seguire è EternalBlue:

use exploit/windows/smb/ms17_010_eternalblue

Come prima: “show options

Come avrete notato, noi non abbiamo testato per davvero EternalBlue contro il Target reperito in Shodan. Ci siamo limitati a mostrarvi le opzioni di settaggio ed abbiamo illustrato i passaggi (tra cui come individuare macchine Vulnerabili da Shodan).

Su Kali Linux 2017 EternalBlue è preinstallato, se cosi non fosse fate un UpGrade generale e ve lo trovate nel search di MSF.

In Ogni caso tutto l’occorrente lo trovate su Rapid7 qui:

https://www.rapid7.com/db/modules/exploit/windows/smb/ms17_010_eternalblue

Nei Test condotti contro i Nostri PC Win7 abbiamo notato che EternalBlue non funziona su tutte le macchine apparentemente vulnerabili. In un test eseguito la macchina vittima, al comando “exploit” (dell’attaccante) a presentato una schermata blu (error blue screen) e si é riavviata. Dal msf dell’ attaccante, la macchina risultava exploitata, ma nessuna sessione di meterpreter é stata creata proprio a causa di questo riavvio imprevisto. In altri Test invece a funzionato !!!

Test con esito ERROR_BLUE_SCREEN

Test con esito SODDISFACENTE !

Abbiamo così effettuato una ricerca in internet ed abbiamo notato che la stessa problematica si è verificata anche agli autori dell’attacco WannaCry, dove nella peggiore delle ipotesi l’attacco generava lo stesso errore “Blue Screen”.

la fonte del nostro approfondimento è la CyberSecurity  “Kryptos”

Fonte: https://blog.kryptoslogic.com/malware/2017/05/30/two-weeks-later.html

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *