ランサムウェアの実証コードを魔改造版 Windows 2000で試してみた

副題: ランサムウェアで話題のMS17-010 と魔改造版 Windows 2000 その2

例の脆弱性調査プログラムのステータスコードが想定外なのでは?

と言う指摘を頂いたのでチェックしてみました

ランサムウェアで話題のMS17-010 と魔改造版 Windows 2000

logging.basicConfig(level=logging.DEBUG, format="%(message)s")

        nts =  0
        for i in nt_status:
         nts = nts / 256 + ord(i)*256*256*256
        log.info("nt_status = 0x%x" % ( nts) )

あんまり、Python よく知らないので、コード適当ですみません・ω・;

結果

Connecting to \\127.0.0.1\IPC$
server_component : 424d53ff
smb_command      : 75
error_class      : 2
error_code       : 01
flags            : 98
flags2           : 2001
process_id_high  : 00
signature        : 00000000
reserved2        : 00
tree_id          : 00
process_id       : 4b2f
user_id          : 800
multiplex_id     : 5ec5
generate peeknamedpipe request
server_component : 424d53ff
smb_command      : 25
error_class      : 2
error_code       : 05
flags            : 98
flags2           : 2801
process_id_high  : 00
signature        : 00000000
reserved2        : 00
tree_id          : 00
process_id       : 4b2f
user_id          : 800
multiplex_id     : 5ec5
nt_status = 0x50002
[-] [127.0.0.1] Unable to detect if this host is vulnerable

分かった!

この実証コード、匿名ファイルアクセスの共有リソースであるIPC$ を使ってるんだ!

つまり、魔改造版 Windows 2000は 共有リソースへのアクセスポリシーが変更されてるため、2つ目の処理でアクセスできなくてエラーになってる ・ω・

エラーコードは 0x00010002  STATUS_INVALID_SMB

エラーのまま処理をしてるため

0x00050002  STATUS_SMB_BAD_TID になってることが判明!

ちなみに、脆弱性のある Windows 7で同じことをやると

エラーコードは 0x00010002  STATUS_INVALID_SMB

→ 0x005B0002  STATUS_SMB_BAD_UID になるようだ

・ω・ セキュリティポリシーの設定は無駄じゃなかったようだ

でも、これ、ID と パスワード破られたら、ランサムウェアに感染するってことを意味してるから、何らかの対策が必要だね

※だいぶ前に書いたけど、XP用のやつWin2000に持ってきても動かないので、スタンドアロンで使ってて、怖い人はファイル共有OFF ( NET STOP SRV) すると安全。

おすすめ

6件のフィードバック

  1. RKT より:

    > ID と パスワード破られたら、ランサムウェアに感染
    Windows Server 2003を運用しているのですが、
    MSのパッチ当てた後でも共有フォルダにアクセス権限があれば感染するという理解でいいですか?

  2. RKT より:

    > ID と パスワード破られたら、ランサムウェアに感染
    Windows Server 2003を運用しているのですが、
    MSのパッチ当てた後でも共有フォルダにアクセス権限があれば感染するという理解でいいですか?

  3. 黒翼猫 より:

    パッチ未適用で、Vista より前のOSは共有フォルダのアクセス権があれば感染するという認識で。
    感染はしませんが、アクセス権があるとブルーとフォース攻撃ができるので、あまり好ましくないです。

  4. 黒翼猫 より:

    パッチ未適用で、Vista より前のOSは共有フォルダのアクセス権があれば感染するという認識で。
    感染はしませんが、アクセス権があるとブルーとフォース攻撃ができるので、あまり好ましくないです。

  5. AMD785g より:

    この機会に
    XPと7でファイル共用(ワークグループ)、ネットワーク経由プリンターを使用する場合(NTT光のルーター接続)しておいた方が良いセキュリティ対策等があれば
    教えてもらえれば嬉しいです。
    最新修正ファイルをあてるとかはウイルスソフトは当然として、
    個人的には匿名ログオンを制限 「RestrictAnonymousを1」にする。
    CLMCompatibilityLevel を5 にする
    Gustアカウントの無効化 Support_388945a0 HelpAssistantアカウントの削除
    Documents and SettingsフォルダーをDドライブに移動等をしています。
    パスワード間違いのロックアウトは20回にしています(酷い目に逢ったので…)
    また、
    Documents and Settingsを移動しているせいでしょうか?黒翼猫様のjava6.131をインストールしようとすると、コマンドコンソールでファイルが見つかりませんと怒られてしまいます。

  6. AMD785g より:

    この機会に
    XPと7でファイル共用(ワークグループ)、ネットワーク経由プリンターを使用する場合(NTT光のルーター接続)しておいた方が良いセキュリティ対策等があれば
    教えてもらえれば嬉しいです。
    最新修正ファイルをあてるとかはウイルスソフトは当然として、
    個人的には匿名ログオンを制限 「RestrictAnonymousを1」にする。
    CLMCompatibilityLevel を5 にする
    Gustアカウントの無効化 Support_388945a0 HelpAssistantアカウントの削除
    Documents and SettingsフォルダーをDドライブに移動等をしています。
    パスワード間違いのロックアウトは20回にしています(酷い目に逢ったので…)
    また、
    Documents and Settingsを移動しているせいでしょうか?黒翼猫様のjava6.131をインストールしようとすると、コマンドコンソールでファイルが見つかりませんと怒られてしまいます。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です