當前位置:
首頁 > 新聞 > NSA武器庫Esteemaudit黑客工具復現

NSA武器庫Esteemaudit黑客工具復現

一、

導語



繼2017年5月12號肆虐全球的WannaCry勒索病毒攻擊後,安全專家向正在使用Windows XP和Windows Server 2003的用戶發出了安全警告,提防利用名為「Esteemaudit」的黑客工具進行的第二波網路攻擊。「Esteemaudit」黑客工具,同WannaCry勒索病毒利用的「EternalBlue」黑客工具一樣,是 Shadow Brokers」近期泄露的NSA旗下的黑客團隊 「Equation Group」的眾多漏洞利用工具之一。

「Esteemaudit」是RDP(Remote Desktop Protocol) 服務的遠程漏洞利用工具,可以攻擊開放了3389 埠的 Windows 機器。黑客們利用它可以對電腦進行遠程控制、加密勒索等攻擊。


騰訊安全反病毒實驗室

對「Esteemaudit」黑客工具進行復現,同時給出了該漏洞的防禦方法。


二、

漏洞分析


1.

漏洞環境


Windows XP或Windows Server 2003系統、域控環境、開啟遠程桌面。


2.

漏洞概述



(攻擊示意圖)


Windows 2000系統的一項新特性是支持Smart Card認證。Windows server 2003在處理來自Smart Card的遠程登錄過程中存在一個越界寫漏洞和一個邏輯不正確漏洞,POC通過模擬出一個Gemplus GemSAFE Card硬體設備來與伺服器進行遠程桌面通信,通信協議則採用的是RDP。通過偽造一系列Smart Card登錄認證所需要的數據包來觸發漏洞並最終實現遠程代碼執行。具體漏洞分析參見[1]。


3.

現場分析


復現「Esteemaudit」黑客工具的方法參見文檔[2][3]


本次實驗環境:












IP

系統信息

用途

192.168.1.100

Windows Server 2003

DC主機

192.168.1.110

Windows XP

受害機、域用戶

192.168.1.120

Win7

攻擊機、控制機


在攻擊機192.168.1.120使用「Esteemaudit」工具對受害機192.168.1.110進行攻擊。

1)

模擬Smart Card登錄


首先「Esteemaudit」工具會使用開源的RDP協議,模擬Smart Card硬體設備來與受害機進行遠程桌面通信:



(RDP通信)


2)

發送shellcode數據


在通信過程中,會將構造好的shellcode數據通過數據包發送到受害機上,用於完成漏洞攻擊,並反彈shell回連攻擊機,接收攻擊機的後續指令:



(發送shellcode數據)



(shellcode數據流量包)


3)

反彈shellcode

可以看到,受害機主動連接了攻擊機:



(反彈shell)



(受害機成功建立反彈shell)

至此,攻擊完成整個攻擊階段,等待接收攻擊機的遠控指令,可以對受害機進行遠程控制、加密勒索等形式的攻擊。


三、

防禦建議



? 關閉遠程桌面,退出域環境。


? 因業務需求而不能關閉遠程桌面的,可以開啟防火牆,加強對3389埠的審計。


? 不排除微軟會提供漏洞補丁,及時打補丁。


? 安裝開啟殺毒引擎,防患於未然。


四、

參考文獻


[1]

http://slab.qq.com/news/tech/1570.html


[2]

http://www.freebuf.com/articles/system/132171.html


[3] http://paper.seebug.org/306/


*本文作者:騰訊電腦管家,轉載請註明FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

2017年上半年重大黑客事件盤點
思科和IBM宣布達成歷史性的網路安全領域合作夥伴關係
這可能是史上最大規模Google Play惡意程序活動
騰訊TCTF決賽首日:賽場內爭先恐後,賽場外如火如荼 | FreeBuf現場報道
Verisign發布2017年Q1全球DDoS攻擊趨勢報告

TAG:FreeBuf |

您可能感興趣

NSA網路武器DoublePulsar升級,Windows Embedded也淪陷了
Mohammed Arif Ansari加入Market.space團隊
用 OpenStack Designate 構建一個 DNS 即服務(DNSaaS)
瑞典執法部門Piketen&Nationella insatsstyrkan
Pansar手錶登陸Kickstarter平台推出AR應用Showroom
還有這種操作?3D列印巨頭BigRep聯手阿聯酋Immensa Technology Labs打造智能照明牆
SAP Fiori實施之Transactional Apps實施全過程
J Am Acad Orthop Surg:NSAIDs對骨癒合率的影響
你的Oracle 12C Transaction Guard已到賬
機智!NSA工具已被移植到 Metasploit 平台
spring的Transactional註解詳細用法
蘋果 iOS 應用 TeenSafe 泄露數千用戶 Apple ID 信息
The Unreliable Sensation 不可靠的覺受
現貨|Stylmartin義大利 Kansas(堪薩斯)城市系騎行鞋
iOS應用TeenSafe或泄露上萬名用戶Apple ID信息
VRCHAT殺手?《Sansar》登陸Steam
系列野餐回顧 Quinsay x Weekend
NSA 向 Coreboot 項目貢獻代碼
NSA威脅檢測Sharkseer計劃即將轉移
七鑫易維眼球追蹤系統助北大學者研究成果登上IEEE Transactions