Windows管理共享在横向移动中常被用于勒索软件和加密货币挖矿程序等恶意软件的传播、攻击工具的复制以及在窃取数据后外传到特定主机,也可结合PsExec、CSExec、Impacket wmiexec等工具使用。其中,被广泛利用且影响严重的为基于SMB协议的永恒之蓝漏洞及其衍生出来的永恒之蓝勒索病毒和挖矿程序等。Red Canary的2020威胁检测报告也指出,Windows Admin Shares(T1077, 新版本ATT&CK框架中对应的技术为T1021.002)在2019年的威胁排名已经从2018年的第十快速上升到第三,威胁数量几乎是之前的五倍,主要归因于永恒之蓝漏洞利用的增加。
永恒之蓝漏洞自2017年出现,被不断反复利用,影响上百个国家上千企业及公共组织,影响广泛的有MsraMiner挖矿僵尸网络、WannaMine挖矿僵尸网络、Satan勒索病毒等,近期新出现的有Tellyouthepass勒索病毒和NSAGluptebaMiner挖矿僵尸网络。
1. 永恒之蓝漏洞利用
1) 利用过程
nmap扫描端口
msf扫描漏洞
进行漏洞利用
2) SIEM威胁检测
在日志易威胁检测、分析与响应平台看到异常445端口流量、永恒之蓝漏洞利用和SMB-DS IPC$共享访问告警。
异常445端口流量
10分钟内连接445端口77次,异常连接。
永恒之蓝特征规则检测
通过SMB协议发起payload攻击
IPC$共享访问
连接主机的IPC$共享
查看攻击链如下图:
2. 文件共享利用
1) 利用过程:
新建共享
命令1: net share test=C:/test /unlimited /grant:Everyone,full
命令2:cmd.exe /Q /c hostname 1> \\127.0.0.1\test\output.txt 2>&1
可通过命令1创建开启共享,命令2将内容输出到指定的共享文件夹。
主机A开启文件共享并将需要共享的文件输出到共享目录下。
主机B可通过共享文件夹获取文件。
利用默认管理共享
命令:cmd.exe /Q /c hostname 1> \\127.0.0.1\ADMIN$\malware.exe 2>&1
2) SIEM威胁检测:
监控新建共享命令和默认共享的使用,如下图,在日志易威胁检测、分析和响应平台看到管理共享相关告警。
具体告警日志如下:
3. 建议:
如不使用,关闭默认共享,“net share 默认共享名 /delete”命令将对应的默认共享关闭,或者编辑注册表中的 HKEY_LOCAL_MACHINE_System_CurrentControlSetServices_LanmanServerParameters, 将LanmanServerParameters子项中的 AutoShareServer和AutoShareWks数值配置为1。
关闭445、3389等不必要的敏感端口。
部署日志易威胁检测、分析与响应平台监控异常日志和流量,及时分析与响应。