Windows管理共享在横向移动中常被用于勒索软件和加密货币挖矿程序等恶意软件的传播、攻击工具的复制以及在窃取数据后外传到特定主机 ， 也可结合PsExec、CSExec、Impacket wmiexec等工具使用 。 其中 ， 被广泛利用且影响严重的为基于SMB协议的永恒之蓝漏洞及其衍生出来的永恒之蓝勒索病毒和挖矿程序等 。 Red Canary的2020威胁检测报告也指出 ， Windows Admin Shares（T1077, 新版本ATT&CK框架中对应的技术为T1021.002）在2019年的威胁排名已经从2018年的第十快速上升到第三 ， 威胁数量几乎是之前的五倍 ， 主要归因于永恒之蓝漏洞利用的增加 。
文章插图
永恒之蓝漏洞自2017年出现 ， 被不断反复利用 ， 影响上百个国家上千企业及公共组织 ， 影响广泛的有MsraMiner挖矿僵尸网络、WannaMine挖矿僵尸网络、Satan勒索病毒等 ， 近期新出现的有Tellyouthepass勒索病毒和NSAGluptebaMiner挖矿僵尸网络 。
1) 利用过程
nmap扫描端口
文章插图
msf扫描漏洞
文章插图
进行漏洞利用
文章插图
2) SIEM威胁检测
在日志易威胁检测、分析与响应平台看到异常445端口流量、永恒之蓝漏洞利用和SMB-DS IPC$共享访问告警 。
异常445端口流量
10分钟内连接445端口77次 ， 异常连接 。
文章插图
永恒之蓝特征规则检测
通过SMB协议发起payload攻击
文章插图
【MITRE ATT&CK系列文章之Windows管理共享风险检测】IPC$共享访问
连接主机的IPC$共享
文章插图
查看攻击链如下图：
文章插图
1） 利用过程：
新建共享
命令1: net share test=C:/test /unlimited /grant:Everyone,full
命令2:cmd.exe /Q /c hostname 1> \\127.0.0.1\test\output.txt 2>&1
可通过命令1创建开启共享 ， 命令2将内容输出到指定的共享文件夹 。
文章插图
主机A开启文件共享并将需要共享的文件输出到共享目录下 。
文章插图
主机B可通过共享文件夹获取文件 。
利用默认管理共享
命令：cmd.exe /Q /c hostname 1> \\127.0.0.1\ADMIN$\malware.exe 2>&1
文章插图
2） SIEM威胁检测：
监控新建共享命令和默认共享的使用 ， 如下图 ， 在日志易威胁检测、分析和响应平台看到管理共享相关告警 。
具体告警日志如下：
文章插图
文章插图
3. 建议：
如不使用 ， 关闭默认共享 ， “net share 默认共享名 /delete”命令将对应的默认共享关闭 ， 或者编辑注册表中的 HKEY_LOCAL_MACHINE_System_CurrentControlSetServices_LanmanServerParameters ，将LanmanServerParameters子项中的 AutoShareServer和AutoShareWks数值配置为1 。关闭445、3389等不必要的敏感端口 。
部署日志易威胁检测、分析与响应平台监控异常日志和流量 ， 及时分析与响应 。

• 示该站点|虾秘功能大揭秘之订单监测&广告概况
• 京东另类科学实验室之"5G来了"
• ICPC--1200:数组的距离时间限制&1201:众数问题
• "财富梦"AI外贸配方？国货搭载AI"火箭营销"？
• ICPC--1206: 字符串的修改&1207:字符排列问题
• ICPC--1204: 剔除相关数&1205: 你爱我么？
• 音乐平台"改头换面"，是新一轮社交平台，还是生活放松圈
• 极品"看片"神器！震撼来袭~手机端盒子端全部通用
• iPhone疯狂"跳楼价"效仿特斯拉？新能源厂商策略趋两极化
• 一加8T发布！"超级屏幕"旗舰机实锤，售价3399元