ShadowBroker放大招-多种Windows零日利用工具公布

简介:
   北京时间2017年4月14日,Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,影响程度非常巨大。除Microsoft Windows以外,受影响的产品还有: IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。

事件时间轴

  • 在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美元)。而“Shadow Brokers” 的工具一直没卖出去。

  • 北京时间 2017 年 4 月 8 日,“Shadow Brokers” 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。

  • 北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,“Shadow Brokers” ,在推特上放出了第二波保留的部分文件,下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4,解压密码是 “Reeeeeeeeeeeeeee”。 此次发现其中包括新的23个黑客工具。具体请参考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing 

这些黑客工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。

漏洞影响

根据FOFA系统统计显示,全球对外可能受到影响的超过750万台,中国可能有超过133万受到影响。其中全球约有542万的RDP服务和约有208万的SMB协议服务运行在windows上(仅为分布情况,非实际漏洞影响),其中,中国地区超过101万RDP服务对外开放,SMB协议超过32万。根据白帽汇测试,从windows 2000到Windows2008都受到这工具包中影响,成功率非常之高。另外,内部网络中也大多开启445端口和139端口,也将会成为黑客渗透内网的大杀器。

ShadowBroker放大招-多种Windows零日利用工具公布

【RDP服务全球分布情况(仅为分布情况,非实际漏洞影响)】

ShadowBroker放大招-多种Windows零日利用工具公布

【RDP服务中国地区分布情况(仅为分布情况,非实际漏洞影响)】

ShadowBroker放大招-多种Windows零日利用工具公布

【Windows系统上SMB服务全球分布情况(仅为分布情况,非实际漏洞影响)】

ShadowBroker放大招-多种Windows零日利用工具公布

【Windows系统上SMB服务中国分布情况(仅为分布情况,非实际漏洞影响)】

主要攻击工具

ShadowBroker放大招-多种Windows零日利用工具公布

ShadowBroker放大招-多种Windows零日利用工具公布

文件夹列表

这次的文件有三个目录,分别为

  • windows文件夹,包含windows 利用工具,植入和payload;

  • swift文件夹,包含攻击银行的操作系统;

  • OddJob文件夹,有关于OddJob后门的文档。

Windows文件夹

包含对Windows操作系统的许多黑客工具,但主要针对的是较旧版本的Windows(Windows XP中)和Server 2003,也有针对IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。

其中“ETERNALBLUE是一个0day RCE漏洞利用,影响最新的Windows 2008 R2 SERVER VIA SMB和NBT!”。

ShadowBroker放大招-多种Windows零日利用工具公布

【ETERNALBLUE文件夹内容】

OddJob文件夹

包含基于Windows的植入软件,并包括所指定的配置文件和有效载荷。虽然目前这种植入软件的细节很少,但OddJob适用于Windows Server 2003 Enterprise(甚至Windows XP Professional)。

ShadowBroker放大招-多种Windows零日利用工具公布

【OddJob文件夹结构】

SWIFT文件夹

SWIFT(全球银行间电信协会)是一个全球性的金融信息系统,全球数千家银行和组织每天都在转移数十亿美元。

此文件夹包含PowerPoint演示文稿,证据,凭证和EastNets的内部架构(EastNets是中东最大的SWIFT服务商之一)。

该文件夹包括从Oracle数据库查询信息的SQL脚本,可查询数据库用户列表和SWIFT消息。

ShadowBroker放大招-多种Windows零日利用工具公布

【SWIFT文件夹文件清单】

泄露的数据还显示方程式攻击了部分银行或机构:AI Quds Bank for Development & Investment,Qatar Foundation,Natexis Bank,United Bank,AI Hilal Islamic Bank,Warba Bank,Kuwait Petroleum Corp。

ShadowBroker放大招-多种Windows零日利用工具公布

【SWIFT文件夹中的Excel文件内容】

漏洞利用

ETERNALBLUE漏洞利用模块,windows7 sp1 64位版本和windows 2003 sp2 32版本测试成功截图。

ShadowBroker放大招-多种Windows零日利用工具公布

【Windows 7 利用成功并反弹shell】

ShadowBroker放大招-多种Windows零日利用工具公布

【Windows xp 利用成功】

修复建议

1. 升级到微软提供支持的Windows版本,并安装补丁:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. 安装相关的防护措施,如缓冲区溢出防御软件,杀毒软件。

3. 无补丁的Windows版本,临时关闭135、137、445端口和3389远程登录。

白帽汇会持续对该漏洞进行跟进。请关注NOSEC威胁情报栏目https://nosec.org/my/threats/1495

参考:

[1] https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

[2] https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

[3] https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[4] https://github.com/x0rz/EQGRP_Lost_in_Translation

雷锋网注:本文由白帽汇授权雷锋网宅客频道联合发布



  本文作者: 实习小苏

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
8月前
|
自然语言处理 C# Windows
C#开源免费的Windows右键菜单管理工具
C#开源免费的Windows右键菜单管理工具
116 5
|
8月前
|
监控 Windows
Windows系统中Wireshark抓包工具的安装使用
Windows系统中Wireshark抓包工具的安装使用
268 0
|
16天前
|
Web App开发 C# Windows
一款.NET开源的Windows资源管理器标签页工具
一款.NET开源的Windows资源管理器标签页工具
|
2月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
84 32
|
2月前
|
监控 安全 网络安全
使用EventLog Analyzer日志分析工具监测 Windows Server 安全威胁
Windows服务器面临多重威胁,包括勒索软件、DoS攻击、内部威胁、恶意软件感染、网络钓鱼、暴力破解、漏洞利用、Web应用攻击及配置错误等。这些威胁严重威胁服务器安全与业务连续性。EventLog Analyzer通过日志管理和威胁分析,有效检测并应对上述威胁,提升服务器安全性,确保服务稳定运行。
|
3月前
|
XML 网络安全 数据格式
Kali渗透测试:Windows事件管理工具wevtutil的使用方法(一)
Kali渗透测试:Windows事件管理工具wevtutil的使用方法(一)
98 2
|
4月前
|
存储 JavaScript 前端开发
Node 版本控制工具 NVM 的安装和使用(Windows)
本文介绍了NVM(Node Version Manager)的Windows版本——NVM for Windows的安装和使用方法,包括如何安装Node.js的特定版本、列出已安装版本、切换使用不同版本的Node.js,以及其他常用命令,以实现在Windows系统上对Node.js版本的便捷管理。
Node 版本控制工具 NVM 的安装和使用(Windows)
|
5月前
|
Web App开发 SQL 存储
警惕可能对Windows网络带来风险的工具
警惕可能对Windows网络带来风险的工具
警惕可能对Windows网络带来风险的工具
|
3月前
|
XML 网络安全 数据格式
Kali渗透测试:Windows事件管理工具wevtutil的使用方法(二)
Kali渗透测试:Windows事件管理工具wevtutil的使用方法(二)
51 0
|
5月前
|
网络安全 Windows
windows电脑如何打开telnet工具
这篇文章提供了在Windows电脑上启用Telnet客户端工具的详细步骤,包括通过控制面板启用Telnet功能,并展示了启用前后的效果对比。
windows电脑如何打开telnet工具