ShadowBroker是这样放大招的:Windows零日利用工具更多数据呈现

北京时间2017年4月14日,Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,影响程度非常巨大。除Microsoft Windows以外,受影响的产品还有: IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。

事件时间轴

1.在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美元)。而“Shadow Brokers” 的工具一直没卖出去。 2.北京时间 2017 年 4 月 8 日,“Shadow Brokers” 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。 3.北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,“Shadow Brokers” ,在推特上放出了第二波保留的部分文件,下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4,解压密码是 “Reeeeeeeeeeeeeee”。 此次发现其中包括新的23个黑客工具。具体请参考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing

这些黑客工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。

漏洞影响

根据FOFA系统统计显示,全球对外可能受到影响的超过750万台,中国可能有超过133万受到影响。其中全球约有542万的RDP服务和约有208万的SMB协议服务运行在windows上(仅为分布情况,非实际漏洞影响),其中,中国地区超过101万RDP服务对外开放,SMB协议超过32万。根据白帽汇测试,从windows 2000到Windows2008都受到这工具包中影响,成功率非常之高。另外,内部网络中也大多开启445端口和139端口,也将会成为黑客渗透内网的大杀器。

RDP服务全球分布情况(仅为分布情况,非实际漏洞影响)

RDP服务中国地区分布情况(仅为分布情况,非实际漏洞影响)

Windows系统上SMB服务全球分布情况(仅为分布情况,非实际漏洞影响)

Windows系统上SMB服务中国分布情况(仅为分布情况,非实际漏洞影响)

主要攻击工具

主要攻击工具清单2

文件夹列表

这次的文件有三个目录,分别为

1. windows文件夹,包含windows 利用工具,植入和payload; 2. swift文件夹,包含攻击银行的操作系统; 3. OddJob文件夹,有关于OddJob后门的文档。

Windows文件夹

包含对Windows操作系统的许多黑客工具,但主要针对的是较旧版本的Windows(Windows XP中)和Server 2003,也有针对IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。

其中“ETERNALBLUE是一个0day RCE漏洞利用,影响最新的Windows 2008 R2 SERVER VIA SMB和NBT!”。

ETERNALBLUE文件夹内容

OddJob文件夹

包含基于Windows的植入软件,并包括所指定的配置文件和有效载荷。虽然目前这种植入软件的细节很少,但OddJob适用于Windows Server 2003 Enterprise(甚至Windows XP Professional)。

OddJob文件夹结构

SWIFT文件夹

SWIFT(全球银行间电信协会)是一个全球性的金融信息系统,全球数千家银行和组织每天都在转移数十亿美元。

此文件夹包含PowerPoint演示文稿,证据,凭证和EastNets的内部架构(EastNets是中东最大的SWIFT服务商之一)。

该文件夹包括从Oracle数据库查询信息的SQL脚本,可查询数据库用户列表和SWIFT消息。

SWIFT文件夹文件清单

泄露的数据还显示方程式攻击了部分银行或机构:AI Quds Bank for Development & Investment,Qatar Foundation,Natexis Bank,United Bank,AI Hilal Islamic Bank,Warba Bank,Kuwait Petroleum Corp。

SWIFT文件夹中的Excel文件内容

漏洞利用

ETERNALBLUE漏洞利用模块,windows7 sp1 64位版本和windows 2003 sp2 32版本测试成功截图。

Windows 7 利用成功并反弹shell

Windows XP 利用成功

修复建议

1. 升级到微软提供支持的Windows版本,并安装补丁:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/ 2. 安装相关的防护措施,如缓冲区溢出防御软件,杀毒软件。 3. 无补丁的Windows版本,临时关闭135、137、445端口和3389远程登录。 白帽汇会持续对该漏洞进行跟进。请关注NOSEC威胁情报栏目

参考

https://nosec.org/my/threats/1495

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

https://github.com/x0rz/EQGRP_Lost_in_Translation

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Seebug漏洞平台

BlackOasis APT 和利用 0day 漏洞的新目标攻击

原文地址:https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-z...

33550
来自专栏FreeBuf

流氓会武功 | 这款勒索软件不仅能勒索,还能DDoS

一款名为 FireCrypt 的勒索软件正悄然来袭。它不仅具备一般勒索软件的特性,会将受感染的系统文件恶意加密。还会试图利用受感染者机器,向其源码中硬编码的 U...

27150
来自专栏FreeBuf

新加坡新保集团(SingHealth)网络攻击事件的可疑线索分析

近期,安全公司 Trustwave 旗下 SpiderLabs 实验室发现了可能与新加坡新保集团(SingHealth)网络攻击相关的一些信息线索,在前一篇文章...

9820
来自专栏北京马哥教育

记录一次被服务器电源模块坑成狗的案例

事由 今天开始,逐步把硬件运维过程中遇到的坑整理成公众号文章,以便踩到坑的人共勉,也给还没踩到坑的人一个提醒。至于这款电源模块,反正我已经被这款电源模块(这里...

37350
来自专栏FreeBuf

SYNPROXY:最廉价的抗DoS攻击方案

对于防御Dos攻击来说,我这辈子都不一定能见到完美的解决方案。虽然,有成吨的商用防火墙,可以有效的防御Dos攻击,但是他们都太贵了。作为一个学术型人才,我倾向于...

32880
来自专栏FreeBuf

【突发新闻】“血雨腥风”将至?方程式组织黑客工具包再曝光,大量针对Windows系统严重0day泄露

上周末,Shadow Brokers公布了一批美国国家安全局所使用的黑客工具,而这周我们又迎来了Shadow Brokers的“每周武器推送”,新公布的文件能够...

21860
来自专栏腾讯云安全的专栏

云服务首要威胁分析:用户如何保护自己的资产?

随着云计算技术的逐渐成熟,云服务凭借高效的管理模式、便捷的使用方式和灵活的付费方式受到了企业、政府、个人用户的青睐。然而,巨大的市场背后也对云服务商的运营、...

20020
来自专栏逸鹏说道

Android 5.0屏幕录制漏洞(CVE-2015-3878)威胁预警

0x00 摘要 低技术门槛的漏洞利用或木马制作隐藏着极大的安全威胁,当这种安全威胁遇上手机用户的低安全意识时可能导致Android平台恶意软件的大规模爆发。36...

38760
来自专栏SAP最佳业务实践

SAP最佳业务实践:外委生产(249)-6委外采购发票校验

MIRO转包 PO 的发票收据 在该活动中完成发票校验。 后勤®物料管理®采购®采购订单®后继功能®后勤发票校验 1. 如果弹出输入公司代码 对话框,输入 公司...

31090
来自专栏FreeBuf

WanaCrypt0r“想哭”勒索蠕虫数据恢复可行性分析报告

目录 第一章 前言… 第二章 加密文件核心流程分析… 第三章 数据恢复可行性分析… 第四章 总结… 第一章 前言 近日,360互联网安全中心发现全球多个国家和地...

22460

扫码关注云+社区

领取腾讯云代金券