ShadowBroker是這樣放大招的：Windows零日利用工具更多數據呈現

北京時間2017年4月14日，Shadow Brokers再次泄露出一份震驚世界的機密文檔，其中包含了多個 Windows 遠程漏洞利用工具，可以覆蓋全球 70% 的 Windows 伺服器，影響程度非常巨大。除Microsoft Windows以外，受影響的產品還有： IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

事件時間軸

1.在2016 年 8 月有一個 「Shadow Brokers」 的黑客組織號稱入侵了方程式組織竊取了大量機密文件，並將部分文件公開到了互聯網上，方程式（Equation Group）據稱是 NSA（美國國家安全局）下屬的黑客組織，有著極高的技術手段。這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 「Shadow Brokers」 還保留了部分文件，打算以公開拍賣的形式出售給出價最高的競價者，「Shadow Brokers」 預期的價格是 100 萬比特幣（價值接近5億美元）。而「Shadow Brokers」 的工具一直沒賣出去。

2.北京時間 2017 年 4 月 8 日，「Shadow Brokers」 公布了保留部分的解壓縮密碼，有人將其解壓縮後的上傳到Github網站提供下載。

3.北京時間 2017 年 4 月 14 日晚，繼上一次公開解壓密碼後，「Shadow Brokers」 ，在推特上放出了第二波保留的部分文件，下載地址為

https://yadi.sk/d/NJqzpqo_3GxZA4

，解壓密碼是 「Reeeeeeeeeeeeeee」。 此次發現其中包括新的23個黑客工具。具體請參考：

https://github.com/misterch0c/shadowbroker/blob/master/file-listing

這些黑客工具被命名為OddJob，EasyBee，EternalRomance，FuzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

漏洞影響

根據FOFA系統統計顯示，全球對外可能受到影響的超過750萬台,中國可能有超過133萬受到影響。其中全球約有542萬的RDP服務和約有208萬的SMB協議服務運行在windows上（僅為分布情況，非實際漏洞影響），其中，中國地區超過101萬RDP服務對外開放，SMB協議超過32萬。根據白帽匯測試，從windows 2000到Windows2008都受到這工具包中影響，成功率非常之高。另外，內部網路中也大多開啟445埠和139埠，也將會成為黑客滲透內網的大殺器。

RDP服務全球分布情況（僅為分布情況，非實際漏洞影響）

RDP服務中國地區分布情況（僅為分布情況，非實際漏洞影響）

Windows系統上SMB服務全球分布情況（僅為分布情況，非實際漏洞影響）

Windows系統上SMB服務中國分布情況（僅為分布情況，非實際漏洞影響）

主要攻擊工具

主要攻擊工具清單2

文件夾列表

這次的文件有三個目錄，分別為

1. windows文件夾，包含windows 利用工具，植入和payload；

2. swift文件夾，包含攻擊銀行的操作系統；

3. OddJob文件夾，有關於OddJob後門的文檔。

Windows文件夾

包含對Windows操作系統的許多黑客工具，但主要針對的是較舊版本的Windows（Windows XP中）和Server 2003，也有針對IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

其中「ETERNALBLUE是一個0day RCE漏洞利用，影響最新的Windows 2008 R2 SERVER VIA SMB和NBT！」。

ETERNALBLUE文件夾內容

OddJob文件夾

包含基於Windows的植入軟體，並包括所指定的配置文件和有效載荷。雖然目前這種植入軟體的細節很少，但OddJob適用於Windows Server 2003 Enterprise（甚至Windows XP Professional）。

OddJob文件夾結構

SWIFT文件夾

SWIFT（全球銀行間電信協會）是一個全球性的金融信息系統，全球數千家銀行和組織每天都在轉移數十億美元。

此文件夾包含PowerPoint演示文稿，證據，憑證和EastNets的內部架構（EastNets是中東最大的SWIFT服務商之一）。

該文件夾包括從Oracle資料庫查詢信息的SQL腳本，可查詢資料庫用戶列表和SWIFT消息。

SWIFT文件夾文件清單

泄露的數據還顯示方程式攻擊了部分銀行或機構：AI Quds Bank for Development & Investment，Qatar Foundation，Natexis Bank，United Bank，AI Hilal Islamic Bank，Warba Bank，Kuwait Petroleum Corp。

SWIFT文件夾中的Excel文件內容

漏洞利用

ETERNALBLUE漏洞利用模塊，windows7 sp1 64位版本和windows 2003 sp2 32版本測試成功截圖。

Windows 7 利用成功並反彈shell

Windows XP 利用成功

修復建議

1. 升級到微軟提供支持的Windows版本，並安裝補丁：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. 安裝相關的防護措施，如緩衝區溢出防禦軟體，殺毒軟體。

3. 無補丁的Windows版本，臨時關閉135、137、445埠和3389遠程登錄。

白帽匯會持續對該漏洞進行跟進。請關注NOSEC威脅情報欄目

參考

https://nosec.org/my/threats/1495

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

https://github.com/x0rz/EQGRP_Lost_in_Translation

* 本文作者：白帽匯（企業帳號），轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！