ShadowBroker是這樣放大招的:Windows零日利用工具更多數據呈現
北京時間2017年4月14日,Shadow Brokers再次泄露出一份震驚世界的機密文檔,其中包含了多個 Windows 遠程漏洞利用工具,可以覆蓋全球 70% 的 Windows 伺服器,影響程度非常巨大。除Microsoft Windows以外,受影響的產品還有: IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。
事件時間軸
1.在2016 年 8 月有一個 「Shadow Brokers」 的黑客組織號稱入侵了方程式組織竊取了大量機密文件,並將部分文件公開到了互聯網上,方程式(Equation Group)據稱是 NSA(美國國家安全局)下屬的黑客組織,有著極高的技術手段。這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 「Shadow Brokers」 還保留了部分文件,打算以公開拍賣的形式出售給出價最高的競價者,「Shadow Brokers」 預期的價格是 100 萬比特幣(價值接近5億美元)。而「Shadow Brokers」 的工具一直沒賣出去。
2.北京時間 2017 年 4 月 8 日,「Shadow Brokers」 公布了保留部分的解壓縮密碼,有人將其解壓縮後的上傳到Github網站提供下載。
3.北京時間 2017 年 4 月 14 日晚,繼上一次公開解壓密碼後,「Shadow Brokers」 ,在推特上放出了第二波保留的部分文件,下載地址為
https://yadi.sk/d/NJqzpqo_3GxZA4
,解壓密碼是 「Reeeeeeeeeeeeeee」。 此次發現其中包括新的23個黑客工具。具體請參考:
https://github.com/misterch0c/shadowbroker/blob/master/file-listing
這些黑客工具被命名為OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。
漏洞影響
根據FOFA系統統計顯示,全球對外可能受到影響的超過750萬台,中國可能有超過133萬受到影響。其中全球約有542萬的RDP服務和約有208萬的SMB協議服務運行在windows上(僅為分布情況,非實際漏洞影響),其中,中國地區超過101萬RDP服務對外開放,SMB協議超過32萬。根據白帽匯測試,從windows 2000到Windows2008都受到這工具包中影響,成功率非常之高。另外,內部網路中也大多開啟445埠和139埠,也將會成為黑客滲透內網的大殺器。
RDP服務全球分布情況(僅為分布情況,非實際漏洞影響)
RDP服務中國地區分布情況(僅為分布情況,非實際漏洞影響)
Windows系統上SMB服務全球分布情況(僅為分布情況,非實際漏洞影響)
Windows系統上SMB服務中國分布情況(僅為分布情況,非實際漏洞影響)
主要攻擊工具
主要攻擊工具清單2
文件夾列表
這次的文件有三個目錄,分別為
1. windows文件夾,包含windows 利用工具,植入和payload;
2. swift文件夾,包含攻擊銀行的操作系統;
3. OddJob文件夾,有關於OddJob後門的文檔。
Windows文件夾
包含對Windows操作系統的許多黑客工具,但主要針對的是較舊版本的Windows(Windows XP中)和Server 2003,也有針對IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。
其中「ETERNALBLUE是一個0day RCE漏洞利用,影響最新的Windows 2008 R2 SERVER VIA SMB和NBT!」。
ETERNALBLUE文件夾內容
OddJob文件夾
包含基於Windows的植入軟體,並包括所指定的配置文件和有效載荷。雖然目前這種植入軟體的細節很少,但OddJob適用於Windows Server 2003 Enterprise(甚至Windows XP Professional)。
OddJob文件夾結構
SWIFT文件夾
SWIFT(全球銀行間電信協會)是一個全球性的金融信息系統,全球數千家銀行和組織每天都在轉移數十億美元。
此文件夾包含PowerPoint演示文稿,證據,憑證和EastNets的內部架構(EastNets是中東最大的SWIFT服務商之一)。
該文件夾包括從Oracle資料庫查詢信息的SQL腳本,可查詢資料庫用戶列表和SWIFT消息。
SWIFT文件夾文件清單
泄露的數據還顯示方程式攻擊了部分銀行或機構:AI Quds Bank for Development & Investment,Qatar Foundation,Natexis Bank,United Bank,AI Hilal Islamic Bank,Warba Bank,Kuwait Petroleum Corp。
SWIFT文件夾中的Excel文件內容
漏洞利用
ETERNALBLUE漏洞利用模塊,windows7 sp1 64位版本和windows 2003 sp2 32版本測試成功截圖。
Windows 7 利用成功並反彈shell
Windows XP 利用成功
修復建議
1. 升級到微軟提供支持的Windows版本,並安裝補丁:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
2. 安裝相關的防護措施,如緩衝區溢出防禦軟體,殺毒軟體。
3. 無補丁的Windows版本,臨時關閉135、137、445埠和3389遠程登錄。
白帽匯會持續對該漏洞進行跟進。請關注NOSEC威脅情報欄目
參考
https://nosec.org/my/threats/1495
https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/
https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/
https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/
https://github.com/x0rz/EQGRP_Lost_in_Translation
* 本文作者:白帽匯(企業帳號),轉載請註明來自FreeBuf.COM
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※2017 OWASP Top 10十大安全漏洞候選出爐,你怎麼看?
※【FB TV】一周「BUF大事件」:NSA方程式有更多黑客工具下載了;Word曝0day漏洞
※CIA Vault7泄露文檔第五波:多平台入侵植入和管理控制工具HIVE
※什麼是集中管控式大數據安全架構?
※基於ArduinoLeonardo板子的BadUSB攻擊實戰
TAG:FreeBuf |
※Android端運行Tensorflow的demo去分類自己的數據集
※Google Search Console開始提供關於Web Light呈現搜索結果的數據
※Python使用pandas讀取Excel文件多個WorkSheet的數據並繪製柱狀圖和熱力圖
※大數據競爭對手Cloudera和Hortonworks宣布合併
※這些Chrome擴展程序和Android應用程序會收集你的Facebook數據
※因竊取用戶數據 Stylish從Firefox與Chrome下架
※Airbnb Head of Data Science:一文帶你看懂數據科學
※Nike Training Club應用為Apple Watch打通運動數據!
※如何在本地數據中心安裝Service Fabric for Windows集群
※Microsoft Graph:連接每個應用都需要的基礎數據
※奇簡 Terark:數據壓縮存儲方面,我們幹掉了 Facebook、Google|創業
※全球3大軟體公司Microsoft、SAP和Adobe宣布開放數據計劃 Salesforce你怎麼看?
※spring-boot 之 使員Druid 整合Mybatis 最簡配置多數據源
※奇簡 Terark:數據壓縮存儲方面,我們幹掉了 Facebook、Google
※《Pokémon Quest》已經正式登陸iOS和Android平台,但與Switch平台數據不通
※mybatis使用load data local infile實現導入數據到mysql資料庫
※solr 數據導入中unable to read:dataimport.properties的解決
※如何將 Scikit-learn Python 庫用於數據科學項目
※獨家:Coinbase挖來Linkedin前數據科學負責人Michael Li擔任VP
※Oculus上線My Privacy Center,公開收集哪些隱私數據