机智！NSA工具已被移植到 Metasploit 平台

信息安全研究员Sean Dillon将三个与NSA有关的漏洞攻击程序EternalSynergy、EternalRomance、EternalChampion移植到Metasploit。

RiskSense的信息安全研究员Sean Dillon(@zerosum0x0)将从与NSA有关的方程式组织偷来的黑客工具移植到Rapid7的Metasploit上。

这位研究员修改了漏洞攻击程序使得他们也可以在最新的Windows版本上运作，并整合进Metasploit框架，这些攻击程序应该能在所有未修补的Windows操作系统x86与x64架构上运作。

这三个弱点利用攻击程序EternalSynergy、EternalRomance、EternalChampion是在2017年4月被黑客组织Shadow Brokers泄漏。

https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2018/02/Metasploit-exploits-NSA-EternalRomance.jpg?w=745

随后就被外面用来进行多次攻击，像是EternalRomance的弱点利用攻击程序就被用在Bad Rabbit的大量勒索软件攻击。

这些移植到Metasploit的版本可用来针对所有自Windows 2000以来的所有Windows版本。

https://twitter.com/zerosum0x0/status/957839430777057280

EternalChampion与EternalSynergy弱点利用攻击程序在进行转移请求时触发一个Race Condition(CVE-2017-0143)，是介于WriteAndX与转移请求之间的型态混淆。

专家解释这个工具可以用来执行System或阶段性Meterpreter的命令。

Dillon解释："你可以以SYSTEM权限执行任何命令，或是阶段性的Meterpreter。注意：不像EternalBlue，核心层的shellcode不是给阶段性的Meterpreter用的，所以你可能需要跳脱你的payload。"

"这个模块非常可靠，而且比EternalBlue更好用，任何匿名的登入身分都可以存取Named Pipe(一般来说，所有Vista之前的版本，而且相对常出现在网域计算机)"

这个Metasploit模块没有实作shellcode执行，相对的，它附写SMB联机session结构取代Admin/SYSTEM session。

专家写到："这个漏洞利用攻击炼大部分是从 @worawit 所释出的优秀 zzz_exploit，以1:1等比例调整过来的，相对原本的Eternal攻击程序有小幅度的改进。将shellcode执行的部分取而代之的是覆写SMB联机session结构来取得Admin/SYSTEM session。"

"这个MSF模块很精简(去除掉封包的统计和padding)，检查额外的name pipes、尽可能的随机零散，而且有了Metasploit的psexec DCERPC实作。最后一个原因是，Rex有使用而且不是RubySMB。"

更多 MS17-010 EternalSynergy/EternalRomance/EternalChampion aux+exploit模块的信息在GitHub上面有。