ShadowBroker放大招－多種Windows零日利用工具公布

雷鋒網註：本文由白帽匯授權雷鋒網宅客頻道聯合發布

北京時間2017年4月14日，Shadow Brokers再次泄露出一份震驚世界的機密文檔，其中包含了多個 Windows 遠程漏洞利用工具，可以覆蓋全球 70% 的 Windows 伺服器，影響程度非常巨大。除Microsoft Windows以外，受影響的產品還有： IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

事件時間軸

• 在2016 年 8 月有一個 「Shadow Brokers」 的黑客組織號稱入侵了方程式組織竊取了大量機密文件，並將部分文件公開到了互聯網上，方程式（Equation Group）據稱是 NSA（美國國家安全局）下屬的黑客組織，有著極高的技術手段。這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 「Shadow Brokers」 還保留了部分文件，打算以公開拍賣的形式出售給出價最高的競價者，「Shadow Brokers」 預期的價格是 100 萬比特幣（價值接近5億美元）。而「Shadow Brokers」 的工具一直沒賣出去。

• 北京時間 2017 年 4 月 8 日，「Shadow Brokers」 公布了保留部分的解壓縮密碼，有人將其解壓縮後的上傳到Github網站提供下載。

• 北京時間 2017 年 4 月 14 日晚，繼上一次公開解壓密碼後，「Shadow Brokers」 ，在推特上放出了第二波保留的部分文件，下載地址為https://yadi.sk/d/NJqzpqo_3GxZA4，解壓密碼是 「Reeeeeeeeeeeeeee」。 此次發現其中包括新的23個黑客工具。具體請參考：https://github.com/misterch0c/shadowbroker/blob/master/file-listing

這些黑客工具被命名為OddJob，EasyBee，EternalRomance，FuzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

漏洞影響

根據FOFA系統統計顯示，全球對外可能受到影響的超過750萬台,中國可能有超過133萬受到影響。其中全球約有542萬的RDP服務和約有208萬的SMB協議服務運行在windows上（僅為分布情況，非實際漏洞影響），其中，中國地區超過101萬RDP服務對外開放，SMB協議超過32萬。根據白帽匯測試，從windows 2000到Windows2008都受到這工具包中影響，成功率非常之高。另外，內部網路中也大多開啟445埠和139埠，也將會成為黑客滲透內網的大殺器。

【RDP服務全球分布情況（僅為分布情況，非實際漏洞影響）】

【RDP服務中國地區分布情況（僅為分布情況，非實際漏洞影響）】

【Windows系統上SMB服務全球分布情況（僅為分布情況，非實際漏洞影響）】

【Windows系統上SMB服務中國分布情況（僅為分布情況，非實際漏洞影響）】

主要攻擊工具

文件夾列表

這次的文件有三個目錄，分別為

• windows文件夾，包含windows 利用工具，植入和payload；

• swift文件夾，包含攻擊銀行的操作系統；

• OddJob文件夾，有關於OddJob後門的文檔。

Windows文件夾

包含對Windows操作系統的許多黑客工具，但主要針對的是較舊版本的Windows（Windows XP中）和Server 2003，也有針對IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

其中「ETERNALBLUE是一個0day RCE漏洞利用，影響最新的Windows 2008 R2 SERVER VIA SMB和NBT！」。

【ETERNALBLUE文件夾內容】

OddJob文件夾

包含基於Windows的植入軟體，並包括所指定的配置文件和有效載荷。雖然目前這種植入軟體的細節很少，但OddJob適用於Windows Server 2003 Enterprise（甚至Windows XP Professional）。

【OddJob文件夾結構】

SWIFT文件夾

SWIFT（全球銀行間電信協會）是一個全球性的金融信息系統，全球數千家銀行和組織每天都在轉移數十億美元。

此文件夾包含PowerPoint演示文稿，證據，憑證和EastNets的內部架構（EastNets是中東最大的SWIFT服務商之一）。

該文件夾包括從Oracle資料庫查詢信息的SQL腳本，可查詢資料庫用戶列表和SWIFT消息。

【SWIFT文件夾文件清單】

泄露的數據還顯示方程式攻擊了部分銀行或機構：AI Quds Bank for Development & Investment，Qatar Foundation，Natexis Bank，United Bank，AI Hilal Islamic Bank，Warba Bank，Kuwait Petroleum Corp。

【SWIFT文件夾中的Excel文件內容】

漏洞利用

ETERNALBLUE漏洞利用模塊，windows7 sp1 64位版本和windows 2003 sp2 32版本測試成功截圖。

【Windows 7 利用成功並反彈shell】

【Windows xp 利用成功】

修復建議

1. 升級到微軟提供支持的Windows版本，並安裝補丁：https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. 安裝相關的防護措施，如緩衝區溢出防禦軟體，殺毒軟體。

3. 無補丁的Windows版本，臨時關閉135、137、445埠和3389遠程登錄。

白帽匯會持續對該漏洞進行跟進。請關注NOSEC威脅情報欄目https://nosec.org/my/threats/1495

參考：

[1] https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

[2] https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

[3] https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[4] https://github.com/x0rz/EQGRP_Lost_in_Translation

雷鋒網註：本文由白帽匯授權雷鋒網宅客頻道聯合發布