雷鋒網(wǎng)注：本文由白帽匯授權雷鋒網(wǎng)宅客頻道聯(lián)合發(fā)布

北京時間2017年4月14日，Shadow Brokers再次泄露出一份震驚世界的機密文檔，其中包含了多個 Windows 遠程漏洞利用工具，可以覆蓋全球 70% 的 Windows 服務器，影響程度非常巨大。除Microsoft Windows以外，受影響的產(chǎn)品還有： IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

事件時間軸

• 在2016 年 8 月有一個 “Shadow Brokers” 的黑客組織號稱入侵了方程式組織竊取了大量機密文件，并將部分文件公開到了互聯(lián)網(wǎng)上，方程式（Equation Group）據(jù)稱是 NSA（美國國家安全局）下屬的黑客組織，有著極高的技術手段。這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分文件，打算以公開拍賣的形式出售給出價最高的競價者，“Shadow Brokers” 預期的價格是 100 萬比特幣（價值接近5億美元）。而“Shadow Brokers” 的工具一直沒賣出去。

• 北京時間 2017 年 4 月 8 日，“Shadow Brokers” 公布了保留部分的解壓縮密碼，有人將其解壓縮后的上傳到Github網(wǎng)站提供下載。

• 北京時間 2017 年 4 月 14 日晚，繼上一次公開解壓密碼后，“Shadow Brokers” ，在推特上放出了第二波保留的部分文件，下載地址為https://yadi.sk/d/NJqzpqo_3GxZA4，解壓密碼是 “Reeeeeeeeeeeeeee”。 此次發(fā)現(xiàn)其中包括新的23個黑客工具。具體請參考：https://github.com/misterch0c/shadowbroker/blob/master/file-listing 

這些黑客工具被命名為OddJob，EasyBee，EternalRomance，F(xiàn)uzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

漏洞影響

根據(jù)FOFA系統(tǒng)統(tǒng)計顯示，全球?qū)ν饪赡苁艿接绊懙某^750萬臺,中國可能有超過133萬受到影響。其中全球約有542萬的RDP服務和約有208萬的SMB協(xié)議服務運行在windows上（僅為分布情況，非實際漏洞影響），其中，中國地區(qū)超過101萬RDP服務對外開放，SMB協(xié)議超過32萬。根據(jù)白帽匯測試，從windows 2000到Windows2008都受到這工具包中影響，成功率非常之高。另外，內(nèi)部網(wǎng)絡中也大多開啟445端口和139端口，也將會成為黑客滲透內(nèi)網(wǎng)的大殺器。

【RDP服務全球分布情況（僅為分布情況，非實際漏洞影響）】

【RDP服務中國地區(qū)分布情況（僅為分布情況，非實際漏洞影響）】

【W(wǎng)indows系統(tǒng)上SMB服務全球分布情況（僅為分布情況，非實際漏洞影響）】

【W(wǎng)indows系統(tǒng)上SMB服務中國分布情況（僅為分布情況，非實際漏洞影響）】

主要攻擊工具

文件夾列表

這次的文件有三個目錄，分別為

• windows文件夾，包含windows 利用工具，植入和payload；

• swift文件夾，包含攻擊銀行的操作系統(tǒng)；

• OddJob文件夾，有關于OddJob后門的文檔。

Windows文件夾

包含對Windows操作系統(tǒng)的許多黑客工具，但主要針對的是較舊版本的Windows（Windows XP中）和Server 2003，也有針對IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

其中“ETERNALBLUE是一個0day RCE漏洞利用，影響最新的Windows 2008 R2 SERVER VIA SMB和NBT！”。

【ETERNALBLUE文件夾內(nèi)容】

OddJob文件夾

包含基于Windows的植入軟件，并包括所指定的配置文件和有效載荷。雖然目前這種植入軟件的細節(jié)很少，但OddJob適用于Windows Server 2003 Enterprise（甚至Windows XP Professional）。

【OddJob文件夾結構】

SWIFT文件夾

SWIFT（全球銀行間電信協(xié)會）是一個全球性的金融信息系統(tǒng)，全球數(shù)千家銀行和組織每天都在轉移數(shù)十億美元。

此文件夾包含PowerPoint演示文稿，證據(jù)，憑證和EastNets的內(nèi)部架構（EastNets是中東最大的SWIFT服務商之一）。

該文件夾包括從Oracle數(shù)據(jù)庫查詢信息的SQL腳本，可查詢數(shù)據(jù)庫用戶列表和SWIFT消息。

【SWIFT文件夾文件清單】

泄露的數(shù)據(jù)還顯示方程式攻擊了部分銀行或機構：AI Quds Bank for Development & Investment，Qatar Foundation，Natexis Bank，United Bank，AI Hilal Islamic Bank，Warba Bank，Kuwait Petroleum Corp。

【SWIFT文件夾中的Excel文件內(nèi)容】

漏洞利用

ETERNALBLUE漏洞利用模塊，windows7 sp1 64位版本和windows 2003 sp2 32版本測試成功截圖。

【W(wǎng)indows 7 利用成功并反彈shell】

【W(wǎng)indows xp 利用成功】

修復建議

1. 升級到微軟提供支持的Windows版本，并安裝補?。篽ttps://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. 安裝相關的防護措施，如緩沖區(qū)溢出防御軟件，殺毒軟件。

3. 無補丁的Windows版本，臨時關閉135、137、445端口和3389遠程登錄。

白帽匯會持續(xù)對該漏洞進行跟進。請關注NOSEC威脅情報欄目https://nosec.org/my/threats/1495

參考：

[1] https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

[2] https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

[3] https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[4] https://github.com/x0rz/EQGRP_Lost_in_Translation

雷鋒網(wǎng)注：本文由白帽匯授權雷鋒網(wǎng)宅客頻道聯(lián)合發(fā)布

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。