企业网管启示录之SMB 0day的内网渗透和防御

admin

这个smb 0day漏洞出了很久了，由于包子工作实在是太忙，一直没有花心思关注它。该漏洞影响vista、windows7和windows 2008，EXP现在想必大家手上该有的也有了，有人测试过可以很好的攻击vista和2008。
先说说内网渗透吧。在渗透的过程里，第一个需要面对的问题就是：我们如何快速定位到windows 2008、windows7和vista。我这里提供两个思路：
1、扫描windows SMB的版本，例如windows7就是6.1（如下图），工具大家自己去找找吧；为了和谐，包子就不透露可以扫SMB版本的程序名称了。

2、如果你找不到SMB版本扫描器，你可以尝试扫描IIS的版本。这个方法相对简单也准确，80的扫描器多了去了。
顺带提醒一下，大范围扫描很容易触发警报，特别是在这个特殊的时期，说不定是安全工作者放长线钓大鱼的时候，一扫就被发现了。我相信渗透经验丰富的你一定可以通过非扫描的途径发现网络里啥机器是可以动的 ：）
至于防御思路很简单也很复杂：封135-139,445端口。
封这几个端口方法也很多，大概说说其中利弊：
1、通过路由交换设备封。长处是不需要操作终端，不容易出问题，终端用户也无法修改策略；短处是封堵颗粒太大，无法做到全PC到PC的访问控制。还有如果有例外的用户，操作和审计起来也相当麻烦。如果你可以强制下发此策略，并且安全容忍度高，这个是最优选择。
2、通过本机的防火墙来封堵，例如SEP、MCAFEE等。长处是可以统一下发策略，例外用户也好控制；短处是系统有可能需要为此付出性能代价。
3、通过activex控制ipsec策略封堵。长处是统一下发、例外灵活、控制点细致、控制力度强、对系统影响小；短处是用户有可能关闭IPSEC服务，但这个短处是可以很好的规避的：初次安装自动开启ipsec服务，定期通过外部扫描或者OA系统上调用activex检查和开启ipsec服务。当然，如果你有域的话，也可以通过域来实现。

寒江

沙发~支持楼主