NSA武器库Esteemaudit黑客工具复现

一、导语

继2017年5月12号肆虐全球的WannaCry勒索病毒攻击后，安全专家向正在使用Windows XP和Windows Server 2003的用户发出了安全警告，提防利用名为“Esteemaudit”的黑客工具进行的第二波网络攻击。“Esteemaudit”黑客工具，同WannaCry勒索病毒利用的“EternalBlue”黑客工具一样，是 Shadow Brokers”近期泄露的NSA旗下的黑客团队 “Equation Group”的众多漏洞利用工具之一。

“Esteemaudit”是RDP(Remote Desktop Protocol) 服务的远程漏洞利用工具，可以攻击开放了3389 端口的 Windows 机器。黑客们利用它可以对电脑进行远程控制、加密勒索等攻击。

腾讯安全反病毒实验室对“Esteemaudit”黑客工具进行复现，同时给出了该漏洞的防御方法。

二、漏洞分析

1. 漏洞环境

Windows XP或Windows Server 2003系统、域控环境、开启远程桌面。

2. 漏洞概述

（攻击示意图）

Windows 2000系统的一项新特性是支持Smart Card认证。Windows server 2003在处理来自Smart Card的远程登录过程中存在一个越界写漏洞和一个逻辑不正确漏洞，POC通过模拟出一个Gemplus GemSAFE Card硬件设备来与服务器进行远程桌面通信，通信协议则采用的是RDP。通过伪造一系列Smart Card登录认证所需要的数据包来触发漏洞并最终实现远程代码执行。具体漏洞分析参见[1]。

3. 现场分析

复现“Esteemaudit”黑客工具的方法参见文档[2][3]

本次实验环境：

在攻击机192.168.1.120使用“Esteemaudit”工具对受害机192.168.1.110进行攻击。

1) 模拟Smart Card登录

首先“Esteemaudit”工具会使用开源的RDP协议，模拟Smart Card硬件设备来与受害机进行远程桌面通信：

（RDP通信）

2) 发送shellcode数据

在通信过程中，会将构造好的shellcode数据通过数据包发送到受害机上，用于完成漏洞攻击，并反弹shell回连攻击机，接收攻击机的后续指令：

（发送shellcode数据）

（shellcode数据流量包）

3) 反弹shellcode

可以看到，受害机主动连接了攻击机：

（反弹shell）

（受害机成功建立反弹shell）

至此，攻击完成整个攻击阶段，等待接收攻击机的远控指令，可以对受害机进行远程控制、加密勒索等形式的攻击。

三、防御建议

Ø 关闭远程桌面，退出域环境。 Ø 因业务需求而不能关闭远程桌面的，可以开启防火墙，加强对3389端口的审计。 Ø 不排除微软会提供漏洞补丁，及时打补丁。 Ø 安装开启杀毒引擎，防患于未然。

四、参考文献

[1] http://slab.qq.com/news/tech/1570.html

[2] http://www.freebuf.com/articles/system/132171.html

[3] http://paper.seebug.org/306/