# 病毒通過445端口自我橫向蔓延的實例分析
## 引言
近年來,隨著網絡攻擊技術的演進,利用系統開放端口進行橫向傳播的病毒已成為企業網絡安全的重要威脅。其中,**445端口**(SMB協議默認端口)因關聯文件共享和遠程管理功能,成為惡意程序傳播的高頻目標。本文將通過一個真實攻擊案例,剖析病毒如何利用445端口實現自我橫向蔓延,并探討防御策略。
---
## 一、445端口的技術背景
445端口是Windows系統用于**Server Message Block (SMB)**協議的通信端口,主要功能包括:
- 網絡文件共享
- 打印機服務
- 遠程進程管理
由于SMB協議在設計初期未充分考慮安全性(如永恒之藍漏洞CVE-2017-0144),攻擊者常通過該端口實施以下攻擊:
1. **未授權訪問**:弱口令或空口令直接登錄
2. **漏洞利用**:利用SMB協議棧漏洞執行任意代碼
3. **蠕蟲傳播**:自動化掃描內網并復制自身
---
## 二、病毒傳播實例分析
### 案例背景
2023年某制造企業內網爆發大規模感染事件,病毒通過445端口在10分鐘內感染超過200臺終端。經溯源分析,病毒行為如下:
#### 1. 初始入侵階段
- **攻擊入口**:釣魚郵件攜帶的惡意文檔(宏代碼觸發)
- **本地提權**:利用CVE-2021-34527漏洞獲取SYSTEM權限
#### 2. 橫向蔓延階段
病毒激活后執行以下操作:
1. **端口掃描**:調用`nmap`掃描內網存活主機的445端口(IP段:192.168.1.1-254)
2. **暴力破解**:使用內置字典嘗試弱口令(如Admin/123456)
3. **漏洞利用**:對未打補丁的主機發送惡意SMB數據包(模仿永恒之藍攻擊鏈)
4. **文件復制**:通過`\192.168.1.X\C$\Windows\Temp`寫入病毒本體
5. **持久化**:創建計劃任務每30分鐘重復掃描
#### 關鍵代碼片段(模擬)
```python
import socket
def smb_exploit(target_ip):
payload = construct_malicious_packet() # 構造漏洞利用載荷
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect((target_ip, 445))
sock.send(payload)
if check_vulnerable(sock): # 檢測漏洞存在
upload_virus(target_ip) # 上傳病毒文件
病毒利用SMB的合法功能實現惡意操作:
- IPC$共享:匿名連接后獲取系統信息
- 遠程服務管理:通過sc命令創建惡意服務
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
alert tcp any any -> any 445 (msg:"SMB Exploit Attempt";
content:"|FF|SMB|A0|"; depth:4;
byte_test:1,&,0x80,0,relative; sid:1000001;)
