中原標準時間2017年4月14日,shadow brokers再次洩露出一份震驚世界的機密文檔,其中包含了多個 windows 遠端漏洞利用工具,可以覆寫全球 70% 的 windows 伺服器,影響程度非常巨大。除microsoft windows以外,受影響的産品還有: ibm lotus notes,mdaemon, epichero avaya call server,imail。
事件時間軸
在2016 年 8 月有一個 “shadow brokers” 的黑客組織号稱入侵了方程式組織竊取了大量機密檔案,并将部分檔案公開到了網際網路上,方程式(equation group)據稱是 nsa(美國國家安全局)下屬的黑客組織,有着極高的技術手段。這部分被公開的檔案包括不少隐蔽的地下的黑客工具。另外 “shadow brokers” 還保留了部分檔案,打算以公開拍賣的形式出售給出價最高的競價者,“shadow brokers” 預期的價格是 100 萬比特币(價值接近5億美元)。而“shadow brokers” 的工具一直沒賣出去。
中原標準時間 2017 年 4 月 8 日,“shadow brokers” 公布了保留部分的解壓縮密碼,有人将其解壓縮後的上傳到github網站提供下載下傳。
中原標準時間 2017 年 4 月 14 日晚,繼上一次公開解壓密碼後,“shadow brokers” ,在推特上放出了第二波保留的部分檔案,下載下傳位址為https://yadi.sk/d/njqzpqo_3gxza4,解壓密碼是 “reeeeeeeeeeeeeee”。 此次發現其中包括新的23個黑客工具。具體請參考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing
這些黑客工具被命名為oddjob,easybee,eternalromance,fuzzbunch,educatedscholar,eskimoroll,eclipsedwing,esteemaudit,englishmansdentist,mofconfig,erraticgopher,emphasismine,emeraldthread,eternalsynergy,ewokfrenzy,zippybeer,explodingcan,doublepulsar等。
漏洞影響
根據fofa系統統計顯示,全球對外可能受到影響的超過750萬台,中國可能有超過133萬受到影響。其中全球約有542萬的rdp服務和約有208萬的smb協定服務運作在windows上(僅為分布情況,非實際漏洞影響),其中,中國地區超過101萬rdp服務對外開放,smb協定超過32萬。根據白帽彙測試,從windows 2000到windows2008都受到這工具包中影響,成功率非常之高。另外,内部網絡中也大多開啟445端口和139端口,也将會成為黑客滲透内網的大殺器。
【rdp服務全球分布情況(僅為分布情況,非實際漏洞影響)】
【rdp服務中國地區分布情況(僅為分布情況,非實際漏洞影響)】
【windows系統上smb服務全球分布情況(僅為分布情況,非實際漏洞影響)】
【windows系統上smb服務中國分布情況(僅為分布情況,非實際漏洞影響)】
主要攻擊工具
檔案夾清單
這次的檔案有三個目錄,分别為
windows檔案夾,包含windows 利用工具,植入和payload;
swift檔案夾,包含攻擊銀行的作業系統;
oddjob檔案夾,有關于oddjob後門的文檔。
windows檔案夾
包含對windows作業系統的許多黑客工具,但主要針對的是較舊版本的windows(windows xp中)和server 2003,也有針對ibm lotus notes,mdaemon, epichero avaya call server,imail。
其中“eternalblue是一個0day rce漏洞利用,影響最新的windows 2008 r2 server via smb和nbt!”。
【eternalblue檔案夾内容】
oddjob檔案夾
包含基于windows的植入軟體,并包括所指定的配置檔案和有效載荷。雖然目前這種植入軟體的細節很少,但oddjob适用于windows server 2003 enterprise(甚至windows xp professional)。
【oddjob檔案夾結構】
swift檔案夾
swift(全球銀行間電信協會)是一個全球性的金融資訊系統,全球數千家銀行群組織每天都在轉移數十億美元。
此檔案夾包含powerpoint示範文稿,證據,憑證和eastnets的内部架構(eastnets是中東最大的swift服務商之一)。
該檔案夾包括從oracle資料庫查詢資訊的sql腳本,可查詢資料庫使用者清單和swift消息。
【swift檔案夾檔案清單】
洩露的資料還顯示方程式攻擊了部分銀行或機構:ai quds bank for development & investment,qatar foundation,natexis bank,united bank,ai hilal islamic bank,warba bank,kuwait petroleum corp。
【swift檔案夾中的excel檔案内容】
漏洞利用
eternalblue漏洞利用子產品,windows7 sp1 64位版本和windows 2003 sp2 32版本測試成功截圖。
【windows 7 利用成功并反彈shell】
【windows xp 利用成功】
修複建議
1. 更新到微軟提供支援的windows版本,并安裝更新檔:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
2. 安裝相關的防護措施,如緩沖區溢出防禦軟體,防毒軟體。
3. 無更新檔的windows版本,臨時關閉135、137、445端口和3389遠端登入。
白帽彙會持續對該漏洞進行跟進。請關注nosec威脅情報欄目https://nosec.org/my/threats/1495
參考:
[1] https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/
[2] https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/
[3] https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/
[4] https://github.com/x0rz/eqgrp_lost_in_translation
雷鋒網注:本文由白帽彙授權雷鋒網宅客頻道聯合釋出