2017/05/15

WannaCry(MS17-010)対応を確認する方法

某日立製作所さんが感染して大騒ぎになっているWannaCryptですが、
偉い人から『自社はどうなんだ?』と聞かれて、
WSUSもないしMDMもないし金も人もないので知らんがな。
とは言えない悲しい管理者向けのエントリーです

言うまでもありませんが、ツールの悪用は厳禁です
管理者が社内の状況把握のためだけに使いましょう


良い子のお約束
ツールの特性上操作を誤ると重大なインシデントを発生させる恐れがあります
また、当エントリーの内容を実施したことによるあらゆる不具合、不都合が生じた場合については一切責任を負いません
何があっても自己責任で対処してください


仕組み

支店が遠隔地だったり、台数が多かったりして確認に時間がかかることが稀に起こり得ます
攻撃者向けのスキャンツールを使って一気に確認を行い、パッチ未適用のPCをあぶり出します


環境

VirtualBox 5.1.12
Kali linux 2017.1


準備

VirtualBoxのインストール
適当にググってやってください


Kali linuxのダウンロード

ISOからインストールするか、
ここから適当なものをダウンロードしてください
私はめんどくさかったので仮想イメージをダウンロードしました
SHA256とかの確認方法はググってください
やらなくても使えますがツールの特性上何か起きても責任は取れません

手順

Kali linuxのインポート

VirtualBoxを起動し ファイル → 仮装アプライアンスのインポート を選択



インポートしたKali linuxを起動

root / toor 


Guest Additionのインストール

ターミナルを起動(左上から2番目のアイコン)
GuestDiskを挿入
# cp /media/cdrom0/VBoxLinuxAdditions.run /root/
# ./VBoxLinuxAdditions.run 


再起動

metasploit framework 起動(左上から4番目のMのアイコン)
初回起動時はちょっと時間がかかります


スキャンツールの起動

msf > use auxiliary/scanner/smb/smb_ms17_010 


対象のホストを指定

msf auxiliary(smb_ms17_010) > set rhosts IPアドレス
IPアドレス固定でも、レンジ指定もできます
ex)
 set rhosts 10.10.10.200
 set rhosts 192.168.1.0/22


スレッド数の設定(やらなくてもいい)

msf auxiliary(smb_ms17_010) > set THREADS 8
スレッド数は多いと負荷高いです
IPレンジでスキャンするときは適度に調整してください


実行

msf auxiliary(smb_ms17_010) > run

問題がある=パッチが当たっていない端末は
[+] 192.168.1.111:445        - Host is likely VULNERABLE to MS17-010!  (Windows 10 Pro 14393)
[+] 192.168.2.199:445        - Host is likely VULNERABLE to MS17-010!  (Windows 7 Professional 7601 Service Pack 1)
などと表示されます

問題がない=パッチが当たっている端末は
[-] 10.1.0.36:445         - Host does NOT appear vulnerable.
と表示されます


対処

利用者を特定する

何らかの方法(当該IPに対してRDPしたり管理共有してみたり)で利用者を割り出しWindows Updateを促します
おそらく社内に周知メールは出ていると思いますが、やってないユーザに対して直接連絡することが効果的です


WSUSを立ててポリシーで管理する

当たり前ですがこれがシンプルかつベターです
WSUS無しで乗り切ろうとせず、こういう事態に備えて入れることを提案しましょう
セキュリティの重要性を理解できない会社は滅んでしまえ


0 件のコメント:

コメントを投稿