淘新聞

ShadowBroker放大招-多種Windows零日利用工具公佈

雷鋒網注:本文由白帽匯授權雷鋒網宅客頻道聯合發佈

北京時間2017年4月14日,Shadow Brokers再次洩露出一份震驚世界的機密文檔,其中包含了多個 Windows 遠端漏洞利用工具,可以覆蓋全球 70% 的 Windows 伺服器,影響程度非常巨大。除Microsoft Windows以外,受影響的產品還有: IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。

事件時間軸

在2016 年 8 月有一個 “Shadow Brokers” 的駭客組織號稱入侵了方程式組織竊取了大量機密檔,並將部分檔公開到了互聯網上,方程式(Equation Group)據稱是 NSA(美國國家安全局)下屬的駭客組織,有著極高的技術手段。這部分被公開的檔包括不少隱蔽的地下的駭客工具。另外 “Shadow Brokers” 還保留了部分檔,打算以公開拍賣的形式出售給出價最高的競價者,“Shadow Brokers” 預期的價格是 100 萬比特幣(價值接近5億美元)。而“Shadow Brokers” 的工具一直沒賣出去。

北京時間 2017 年 4 月 8 日,“Shadow Brokers” 公佈了保留部分的解壓縮密碼,有人將其解壓縮後的上傳到Github網站提供下載。

北京時間 2017 年 4 月 14 日晚,繼上一次公開解壓密碼後,“Shadow Brokers” ,在推特上放出了第二波保留的部分檔,下載位址為https://yadi.sk/d/NJqzpqo_3GxZA4,解壓密碼是 “Reeeeeeeeeeeeeee”。 此次發現其中包括新的23個駭客工具。具體請參考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing 

這些駭客工具被命名為

OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar

等。

漏洞影響

根據FOFA系統統計顯示,全球對外可能受到影響的超過750萬台,中國可能有超過133萬受到影響。其中全球約有542萬的RDP服務和約有208萬的SMB協定服務運行在windows上(僅為分佈情況,非實際漏洞影響),其中,中國地區超過101萬RDP服務對外開放,SMB協定超過32萬。根據白帽匯測試,從windows 2000到Windows2008都受到這工具包中影響,成功率非常之高。另外,內部網路中也大多開啟445埠和139埠,也將會成為駭客滲透內網的大殺器。

【RDP服務全球分佈情況(僅為分佈情況,非實際漏洞影響)】

【RDP服務中國地區分佈情況(僅為分佈情況,非實際漏洞影響)】

【Windows系統上SMB服務全球分佈情況(僅為分佈情況,非實際漏洞影響)】

【Windows系統上SMB服務中國分佈情況(僅為分佈情況,非實際漏洞影響)】

主要攻擊工具

資料夾清單

這次的檔有三個目錄,分別為

windows資料夾,包含windows 利用工具,植入和payload;

swift資料夾,包含攻擊銀行的作業系統;

OddJob資料夾,有關於OddJob後門的文檔。

Windows資料夾

包含對Windows作業系統的許多駭客工具,但主要針對的是較舊版本的Windows(Windows XP中)和Server 2003,也有針對IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。

其中“ETERNALBLUE是一個0day RCE漏洞利用,影響最新的Windows 2008 R2 SERVER VIA SMB和NBT!”。

【ETERNALBLUE資料夾內容】

OddJob資料夾

包含基於Windows的植入軟體,並包括所指定的設定檔和有效載荷。雖然目前這種植入軟體的細節很少,但OddJob適用於Windows Server 2003 Enterprise(甚至Windows XP Professional)。

【OddJob資料夾結構】

SWIFT資料夾

SWIFT(全球銀行間電信協會)是一個全球性的金融資訊系統,全球數千家銀行和組織每天都在轉移數十億美元。

此資料夾包含PowerPoint演示文稿,證據,憑證和EastNets的內部架構(EastNets是中東最大的SWIFT服務商之一)。

該資料夾包括從Oracle資料庫查詢資訊的SQL腳本,可查詢資料庫使用者清單和SWIFT消息。

【SWIFT資料夾檔清單】

洩露的資料還顯示方程式攻擊了部分銀行或機構:AI Quds Bank for Development & Investment,Qatar Foundation,Natexis Bank,United Bank,AI Hilal Islamic Bank,Warba Bank,Kuwait Petroleum Corp。

【SWIFT資料夾中的Excel檔內容】

漏洞利用

ETERNALBLUE漏洞利用模組,windows7 sp1 64位版本和windows 2003 sp2 32版本測試成功截圖。

【Windows 7 利用成功並反彈shell】

【Windows xp 利用成功】

修復建議

1. 升級到微軟提供支援的Windows版本,並安裝補丁:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. 安裝相關的防護措施,如緩衝區溢位防禦軟體,殺毒軟體。

3. 無補丁的Windows版本,臨時關閉135、137、445埠和3389遠端登入。

白帽匯會持續對該漏洞進行跟進。請關注NOSEC威脅情報欄目https://nosec.org/my/threats/1495

參考:

[1] https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

[2] https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

[3] https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[4] https://github.com/x0rz/EQGRP_Lost_in_Translation

雷鋒網注:本文由白帽匯授權雷鋒網宅客頻道聯合發佈