NSA武器庫Esteemaudit黑客工具復現

一、

導語

繼2017年5月12號肆虐全球的WannaCry勒索病毒攻擊後，安全專家向正在使用Windows XP和Windows Server 2003的用戶發出了安全警告，提防利用名為「Esteemaudit」的黑客工具進行的第二波網路攻擊。「Esteemaudit」黑客工具，同WannaCry勒索病毒利用的「EternalBlue」黑客工具一樣，是 Shadow Brokers」近期泄露的NSA旗下的黑客團隊 「Equation Group」的眾多漏洞利用工具之一。

「Esteemaudit」是RDP(Remote Desktop Protocol) 服務的遠程漏洞利用工具，可以攻擊開放了3389 埠的 Windows 機器。黑客們利用它可以對電腦進行遠程控制、加密勒索等攻擊。

騰訊安全反病毒實驗室

對「Esteemaudit」黑客工具進行復現，同時給出了該漏洞的防禦方法。

二、

漏洞分析

1.

漏洞環境

Windows XP或Windows Server 2003系統、域控環境、開啟遠程桌面。

2.

漏洞概述

（攻擊示意圖）

Windows 2000系統的一項新特性是支持Smart Card認證。Windows server 2003在處理來自Smart Card的遠程登錄過程中存在一個越界寫漏洞和一個邏輯不正確漏洞，POC通過模擬出一個Gemplus GemSAFE Card硬體設備來與伺服器進行遠程桌面通信，通信協議則採用的是RDP。通過偽造一系列Smart Card登錄認證所需要的數據包來觸發漏洞並最終實現遠程代碼執行。具體漏洞分析參見[1]。

3.

現場分析

復現「Esteemaudit」黑客工具的方法參見文檔[2][3]

本次實驗環境：

在攻擊機192.168.1.120使用「Esteemaudit」工具對受害機192.168.1.110進行攻擊。

1)

模擬Smart Card登錄

首先「Esteemaudit」工具會使用開源的RDP協議，模擬Smart Card硬體設備來與受害機進行遠程桌面通信：

（RDP通信）

2)

發送shellcode數據

在通信過程中，會將構造好的shellcode數據通過數據包發送到受害機上，用於完成漏洞攻擊，並反彈shell回連攻擊機，接收攻擊機的後續指令：

（發送shellcode數據）

（shellcode數據流量包）

3)

反彈shellcode

可以看到，受害機主動連接了攻擊機：

（反彈shell）

（受害機成功建立反彈shell）

至此，攻擊完成整個攻擊階段，等待接收攻擊機的遠控指令，可以對受害機進行遠程控制、加密勒索等形式的攻擊。

三、

防禦建議

? 關閉遠程桌面，退出域環境。

? 因業務需求而不能關閉遠程桌面的，可以開啟防火牆，加強對3389埠的審計。

? 不排除微軟會提供漏洞補丁，及時打補丁。

? 安裝開啟殺毒引擎，防患於未然。

四、

參考文獻

[1]

http://slab.qq.com/news/tech/1570.html

[2]

http://www.freebuf.com/articles/system/132171.html

[3] http://paper.seebug.org/306/

*本文作者：騰訊電腦管家，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！