Lab 5: Vulnerability Analysis

# Khai thác lỗ hổng MS17-010 bằng Metasploit ## Mục tiêu bài lab - Khai thác lỗ hổng MS17-010 bằng Metasploit - Thực hiện các hành vi độc hại lên máy mục tiêu - Cách thức phòng chống, nhận biết hành vi tấn công khai thác lỗ hổng. ## Thực hiện bài lab Đầu tiên ta phải nhận biết được server của Microsoft đang chay thông qua 3 port điển hình là 135, 139, 445 ![image](https://hackmd.io/_uploads/SkIZo6pgye.png) Ta có 3 cách để phát hiện rằng lỗ hổng MS170-010. Đầu tiên là sử dụng kỹ năng search. Sau khi biết được version của máy chủ là gì ta sẽ xem ở version đó nó có lỗ hổng nào có sẵn không ![image](https://hackmd.io/_uploads/Sksu6ppxJl.png) ![image](https://hackmd.io/_uploads/SyrG9VWbye.png) Cách thứ 2 chính là sử dụng các script có sẵn của nmap để scan lỗ hổng đó bằng option `--script vuln` ![image](https://hackmd.io/_uploads/rkZ4Appe1l.png) Cách cuối cùng đó chính là dùng metasploit, nó có 1 option hỗ trợ scan lỗ hổng ![image](https://hackmd.io/_uploads/B1RqKaplyl.png) Sau khi xác định được chính xác nó là lỗ hổng rồi, ta sẽ tiếp tục dùng metasploit để tiến hành khai thác lỗ hổng này ![image](https://hackmd.io/_uploads/HJX0YpTeJx.png) Trình meterpreter xuất hiện sau khi thực hiện khai thác để chứng tỏ khai thác thành công, đồng thời, ta sẽ gọi được shell ![image](https://hackmd.io/_uploads/rySBJA6x1e.png) Với lệnh xác định được người dùng hiện tại của mình là `nt authority system` là quyền cao nhất. Ta có thể thao tác bất cứ thứ gì mình muốn mà không cần phải leo quyền nữa. Dưới đây là một vài thao tác. Đọc file config ![image](https://hackmd.io/_uploads/SkuBQC6eke.png) Dump password ![image](https://hackmd.io/_uploads/S1B-EATxJl.png) ![image](https://hackmd.io/_uploads/HJJA4AaeJx.png) ## Cách thức phòng chống, nhận biết hành vi tấn công khai thác lỗ hổng. ### Nhận biết hành vi tấn công - Giám sát lưu lượng SMB bất thường: Lỗ hổng MS17-010 thường kèm theo các yêu cầu SMB bất thường. SOC có thể dùng các công cụ như IDS/IPS (Intrusion Detection/Prevention Systems) để phát hiện lưu lượng SMB khả nghi, đặc biệt là các yêu cầu mã hóa (suspicious encrypted requests). - Các event id 4688 (Creation process) sẽ xuất hiện ### Cách thức phòng chống - Khai thác lỗ hổng MS17-010 cần truy cập vào cổng 445, nơi dịch vụ SMB hoạt động. Nếu cổng này bị chặn từ bên ngoài (bởi tường lửa hoặc chính sách mạng), kẻ tấn công sẽ khó có thể tiếp cận để khai thác. - Vô hiệu hóa SMBv1: Nếu không cần SMBv1, việc vô hiệu hóa nó có thể bảo vệ hệ thống của bạn. - Sao lưu giữ liệu an toàn thường xuyên và có phiên bản để riêng trên thiết bị lưu trữ không nối mạng. Với lưu trữ đám mây hãy chắc chắn lấy được dữ liệu sạch từ phiên bản cũ hơn nếu chẳng may các file trên mây bị dịch vụ đồng bộ tập tin ghi đè file mã hóa từ ổ cứng. - Vá hệ thống của bạn: Áp dụng bản vá MS17–010 của Microsoft để vá lỗ hổng bảo mật.