NSA武器庫Esteemaudit黑客工具復現
一、
導語
繼2017年5月12號肆虐全球的WannaCry勒索病毒攻擊後,安全專家向正在使用Windows XP和Windows Server 2003的用戶發出了安全警告,提防利用名為「Esteemaudit」的黑客工具進行的第二波網路攻擊。「Esteemaudit」黑客工具,同WannaCry勒索病毒利用的「EternalBlue」黑客工具一樣,是 Shadow Brokers」近期泄露的NSA旗下的黑客團隊 「Equation Group」的眾多漏洞利用工具之一。
「Esteemaudit」是RDP(Remote Desktop Protocol) 服務的遠程漏洞利用工具,可以攻擊開放了3389 埠的 Windows 機器。黑客們利用它可以對電腦進行遠程控制、加密勒索等攻擊。
騰訊安全反病毒實驗室
對「Esteemaudit」黑客工具進行復現,同時給出了該漏洞的防禦方法。
二、
漏洞分析
1.
漏洞環境
Windows XP或Windows Server 2003系統、域控環境、開啟遠程桌面。
2.
漏洞概述
(攻擊示意圖)
Windows 2000系統的一項新特性是支持Smart Card認證。Windows server 2003在處理來自Smart Card的遠程登錄過程中存在一個越界寫漏洞和一個邏輯不正確漏洞,POC通過模擬出一個Gemplus GemSAFE Card硬體設備來與伺服器進行遠程桌面通信,通信協議則採用的是RDP。通過偽造一系列Smart Card登錄認證所需要的數據包來觸發漏洞並最終實現遠程代碼執行。具體漏洞分析參見[1]。
3.
現場分析
復現「Esteemaudit」黑客工具的方法參見文檔[2][3]
本次實驗環境:
IP | 系統信息 | 用途 |
---|---|---|
192.168.1.100 | Windows Server 2003 | DC主機 |
192.168.1.110 | Windows XP | 受害機、域用戶 |
192.168.1.120 | Win7 | 攻擊機、控制機 |
在攻擊機192.168.1.120使用「Esteemaudit」工具對受害機192.168.1.110進行攻擊。
1)
模擬Smart Card登錄
首先「Esteemaudit」工具會使用開源的RDP協議,模擬Smart Card硬體設備來與受害機進行遠程桌面通信:
(RDP通信)
2)
發送shellcode數據
在通信過程中,會將構造好的shellcode數據通過數據包發送到受害機上,用於完成漏洞攻擊,並反彈shell回連攻擊機,接收攻擊機的後續指令:
(發送shellcode數據)
(shellcode數據流量包)
3)
反彈shellcode
可以看到,受害機主動連接了攻擊機:
(反彈shell)
(受害機成功建立反彈shell)
至此,攻擊完成整個攻擊階段,等待接收攻擊機的遠控指令,可以對受害機進行遠程控制、加密勒索等形式的攻擊。
三、
防禦建議
? 關閉遠程桌面,退出域環境。
? 因業務需求而不能關閉遠程桌面的,可以開啟防火牆,加強對3389埠的審計。
? 不排除微軟會提供漏洞補丁,及時打補丁。
? 安裝開啟殺毒引擎,防患於未然。
四、
參考文獻
[1]
http://slab.qq.com/news/tech/1570.html
[2]
http://www.freebuf.com/articles/system/132171.html
[3] http://paper.seebug.org/306/
*本文作者:騰訊電腦管家,轉載請註明FreeBuf.COM
※2017年上半年重大黑客事件盤點
※思科和IBM宣布達成歷史性的網路安全領域合作夥伴關係
※這可能是史上最大規模Google Play惡意程序活動
※騰訊TCTF決賽首日:賽場內爭先恐後,賽場外如火如荼 | FreeBuf現場報道
※Verisign發布2017年Q1全球DDoS攻擊趨勢報告
TAG:FreeBuf |
※NSA網路武器DoublePulsar升級,Windows Embedded也淪陷了
※Mohammed Arif Ansari加入Market.space團隊
※用 OpenStack Designate 構建一個 DNS 即服務(DNSaaS)
※瑞典執法部門Piketen&Nationella insatsstyrkan
※Pansar手錶登陸Kickstarter平台推出AR應用Showroom
※還有這種操作?3D列印巨頭BigRep聯手阿聯酋Immensa Technology Labs打造智能照明牆
※SAP Fiori實施之Transactional Apps實施全過程
※J Am Acad Orthop Surg:NSAIDs對骨癒合率的影響
※你的Oracle 12C Transaction Guard已到賬
※機智!NSA工具已被移植到 Metasploit 平台
※spring的Transactional註解詳細用法
※蘋果 iOS 應用 TeenSafe 泄露數千用戶 Apple ID 信息
※The Unreliable Sensation 不可靠的覺受
※現貨|Stylmartin義大利 Kansas(堪薩斯)城市系騎行鞋
※iOS應用TeenSafe或泄露上萬名用戶Apple ID信息
※VRCHAT殺手?《Sansar》登陸Steam
※系列野餐回顧 Quinsay x Weekend
※NSA 向 Coreboot 項目貢獻代碼
※NSA威脅檢測Sharkseer計劃即將轉移
※七鑫易維眼球追蹤系統助北大學者研究成果登上IEEE Transactions