-
Eternalblue-Doublepulsar exploitNetwork 2021. 7. 2. 22:03
*접근을 허가받지 않은 대상에 해킹을 시도하는 것은 불법입니다. 본 글을 악의적인 목적으로 사용하지 마세요.
뉴스를 둘러보던 중 다음과 같은 기사를 확인했다.
https://www.boannews.com/media/view.asp?idx=98777
NSA의 이터널블루, 4년 전이나 지금이나 여전한 위력 발휘해
NSA가 개발한 것으로 알려진 이터널블루(EternalBlue) 익스플로잇은, 이미 4년 전 패치된 SMB 취약점을 공략하는 도구인데 여전히 위력을 발휘하고 있다. 불과 얼마 전에도 새로운 SMB 웜이 발견됐는데
www.boannews.com
NSA(미국 국가 안보국)에서 발견된 이 취약점은 2017년 5월 12일 등장했던 워너크라이 랜섬웨어와 함께 사용되어 천문학적인 피해를 입혔다. 그리고 기사에 따르면 해당 취약점은 4년이 지난 지금까지도 각종 해킹 공격에 빈번하게 사용되고있다. 오늘은 워너크라이에 사용되었던 이터널블루를 통해 SMB 프로토콜의 취약점을 공격하는 실습을 진행한다.
1. Configuration
Attack : Kali (192.168.0.138)
-metasploit
Victim : Windows XP (192.168.0.133)
2. Exploit
Windows XP Victim은 SMB서비스를 사용중이다. (방화벽 X)
eternalblue-doublepulsar를 metasploit으로 이동시킨다.
https://github.com/Telefonica/Eternalblue-Doublepulsar-Metasploit
eternalblue-doublepulsar가 metasploit에 추가된 모습이다.
이후 설정해야 할 option을 확인한다
rhost에 victim의 ip를 추가하고 target을 xp로 변경한다.
이후 공격을 실행했지만 다음과 같은 오류가 발생했다.
32bit용으로 빌드된 파일의 실행을 위해 multiarch활성화 이후 wine32를 설치해야 한다고 한다.
wine은 windows aplication을 linux나 mac과 같은 환경에서 실행하기 위해서 필요한 소프트웨어다.
우선 deps파일을 /root/Eternalblue-Doublepulsar-Metasploit/로 이동하거나 set DOUBLEPULSARPATH와 set ETERNALBLUEPATH를 통해 deps파일의 위치를 이동시켜준다.
그리고 dpkg --add-architecture i386 && apt-get update && apt-get install wine32 명령어를 통해 필요한 패키지를 설치한다.
다시 공격을 실행한다.
meterpreter session이 열렸다.
3. Mitigation
이는 smb 기능을 해제하거나 방화벽을 통해 포트들을 제한함으로써 대응이 가능하다.
https://post.naver.com/viewer/postView.nhn?volumeNo=7686955&memberNo=3326308
윈도우 버전별 SMB 차단방법 - Windows XP&Windows Server 2003
[BY 한국인터넷진흥원] * 해당 취약점을 해결하기 위해서 아래 2개 방법 중 한 가지만 수행하면 됩니다....
m.post.naver.com
smb 기능 해제 
공격에 실패한 모습 참고
https://github.com/Telefonica/Eternalblue-Doublepulsar-Metasploit
https://www.yeahhub.com/exploitation-eternalblue-doublepulsar-windows-7-64bit-metasploit-framework/
728x90'Network' 카테고리의 다른 글
TCP connection based DoS 실습 (0) 2021.06.02
