专栏首页FreeBufNSA武器库Esteemaudit黑客工具复现

NSA武器库Esteemaudit黑客工具复现

一、导语

继2017年5月12号肆虐全球的WannaCry勒索病毒攻击后,安全专家向正在使用Windows XP和Windows Server 2003的用户发出了安全警告,提防利用名为“Esteemaudit”的黑客工具进行的第二波网络攻击。“Esteemaudit”黑客工具,同WannaCry勒索病毒利用的“EternalBlue”黑客工具一样,是 Shadow Brokers”近期泄露的NSA旗下的黑客团队 “Equation Group”的众多漏洞利用工具之一。

“Esteemaudit”是RDP(Remote Desktop Protocol) 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。黑客们利用它可以对电脑进行远程控制、加密勒索等攻击。

腾讯安全反病毒实验室对“Esteemaudit”黑客工具进行复现,同时给出了该漏洞的防御方法。

二、漏洞分析

1. 漏洞环境

Windows XP或Windows Server 2003系统、域控环境、开启远程桌面。

2. 漏洞概述

(攻击示意图)

Windows 2000系统的一项新特性是支持Smart Card认证。Windows server 2003在处理来自Smart Card的远程登录过程中存在一个越界写漏洞和一个逻辑不正确漏洞,POC通过模拟出一个Gemplus GemSAFE Card硬件设备来与服务器进行远程桌面通信,通信协议则采用的是RDP。通过伪造一系列Smart Card登录认证所需要的数据包来触发漏洞并最终实现远程代码执行。具体漏洞分析参见[1]。

3. 现场分析

复现“Esteemaudit”黑客工具的方法参见文档[2][3]

本次实验环境:

IP

系统信息

用途

192.168.1.100

Windows Server 2003

DC主机

192.168.1.110

Windows XP

受害机、域用户

192.168.1.120

Win7

攻击机、控制机

在攻击机192.168.1.120使用“Esteemaudit”工具对受害机192.168.1.110进行攻击。

1) 模拟Smart Card登录

首先“Esteemaudit”工具会使用开源的RDP协议,模拟Smart Card硬件设备来与受害机进行远程桌面通信:

(RDP通信)

2) 发送shellcode数据

在通信过程中,会将构造好的shellcode数据通过数据包发送到受害机上,用于完成漏洞攻击,并反弹shell回连攻击机,接收攻击机的后续指令:

(发送shellcode数据)

(shellcode数据流量包)

3) 反弹shellcode

可以看到,受害机主动连接了攻击机:

(反弹shell)

(受害机成功建立反弹shell)

至此,攻击完成整个攻击阶段,等待接收攻击机的远控指令,可以对受害机进行远程控制、加密勒索等形式的攻击。

三、防御建议

Ø 关闭远程桌面,退出域环境。 Ø 因业务需求而不能关闭远程桌面的,可以开启防火墙,加强对3389端口的审计。 Ø 不排除微软会提供漏洞补丁,及时打补丁。 Ø 安装开启杀毒引擎,防患于未然。

四、参考文献

[1] http://slab.qq.com/news/tech/1570.html

[2] http://www.freebuf.com/articles/system/132171.html

[3] http://paper.seebug.org/306/

本文分享自微信公众号 - FreeBuf(freebuf),作者:腾讯电脑管家

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-06-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 最新Flash漏洞现已加入Nuclear漏洞利用工具包

    微信号:freebuf 趋势科技最新研究发现,Nuclear 漏洞利用(Exp)工具包的最新版本已加入了三月刚刚修复的Flash Player漏洞(CVE-20...

    FB客服
  • 死磕Meltdown和Spectre漏洞,应对方案汇总

    近日,针对 Google公司的 公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞。这次的漏洞分别起名Meltdown(崩...

    FB客服
  • 看我如何发现Facebook的$5000美金漏洞

    最近,我在参与一些漏洞众测项目,本文中我就来分享一个我发现的Facebook某服务器漏洞,该漏洞获得Facebook官方$5000美金奖励。

    FB客服
  • 分解单块系统

    接缝的概念:从接缝处可以抽取出相对独立的一部分代码,对这部分代码进行修改不会影响系统的其他部分。

    Vincent-yuan
  • 微软正致力于解决Win 10中Meltdown补丁绕过的问题

    研究人员在推特上表示,只有Windows 10版本的补丁受到影响。微软在周一发布的Windows 10 Redstone 4(v1803),也就是2018年4月...

    FB客服
  • Selenium系列(四) - 详细解读鼠标操作

    https://www.cnblogs.com/poloyy/category/1680176.html

    小菠萝测试笔记
  • 搞懂分布式技术17:浅析分布式事务

    本系列文章将整理到我在GitHub上的《Java面试指南》仓库,更多精彩内容请到我的仓库里查看

    Java技术江湖
  • 惊鸿一瞥之Kotlin

    看了Google开发者大会之后你啥感觉?一个是flutter真的可以入手啦,另一个就是Kotlin需要看看啦。为啥要看Kotlin呢?因为Google已经帮你想...

    大话swift
  • 技术人眼中的Facebook Libra

    拥有27亿全球用户的Facebook,联合100个行业巨头,携带数十亿互联网的流量,正如火如荼地建设一个全球范围的金融基础设施——Libra(天秤座)。作为技术...

    lambeta
  • 算法中描述复杂度的大O是什么意思?

    简介 算法是解决问题的方法,通常一个问题会有多种解决方法,就是有多种算法,那么我们如何决定哪个算法更好或者更高效呢? 为了描述一个算法的效率,就用到了这个大O,...

    dys

扫码关注云+社区

领取腾讯云代金券