一、安全巡检
正在写着代码,我的电脑火绒软件提示有内网攻击,关于一个古老的漏洞:“永恒之蓝”。瞬间来了兴趣,不会现在仍然有电脑中这病毒吧,打开绿盟安全管理平台。根据IP查询记录,果然有很多漏洞。
发起程序:System
攻击方式:Exploit/EternalBlue
远程地址:192.168.XX.XX:64727
本地地址:192.168.XX.XX:445
防御结果:已阻止
二、扫描测试
端口扫描,发现开了很多高危端口。
先按照绿盟提示的“永恒之蓝漏洞NSA工具攻击事件”,结合当前主机系统版本是 win7 sp1,很可能是应为MS17-010漏洞导致被攻击。先检测下是否存在该漏洞,结果一查不但存在漏洞,还被植入了 DoublePulsar 后门。由此判断绿盟没有误报。DoublePulsar 是 NSA武器库的一种,专门利用windows 重量级漏洞进行攻击,然后远程控制主机。
根据IP地址段分析,不能准确确定该IP是哪个地方的主机,应该是子公司的电脑。赶紧汇报讨论后,决定远程渗透测试找出这台电脑。
用kali 执行渗透测试,成功。
竟然没有设置密码:
截取一张平面截图看看,通过该平面软件的信息定位到部门,是某系统工控机。
杀毒软件就是摆设,只报不杀,应该是没升级吧:
查看下目录,发现疑似使用第三方激活工具:
三、分析与处理
根据渗透测试,分析有以下几种情况可能该系统被攻击:
1、操作系统版本低,win7 sp1 出现高危漏洞,未及时升级打补丁;
2、使用了带病毒的激活工具,根据文件目录判断有使用第三方激活工具;
3、系统未设置密码,并且开启了135、139、445等危险端口;
4、杀毒软件未起到保护作用。
联系对方人员,确认了该主机是 某部门主机,并且没有设置密码。处理方式:
1、断网,避免该主机攻击其他电脑;
2、让相关人员联系厂家,对该电脑杀毒,并对操作系统升级,关闭高危端口;
3、我们通过绿盟继续重点观察该电脑网络活动。
