雷鋒網(wǎng)注：本文由白帽匯授權(quán)雷鋒網(wǎng)宅客頻道聯(lián)合發(fā)布

北京時(shí)間2017年4月14日，Shadow Brokers再次泄露出一份震驚世界的機(jī)密文檔，其中包含了多個(gè) Windows 遠(yuǎn)程漏洞利用工具，可以覆蓋全球 70% 的 Windows 服務(wù)器，影響程度非常巨大。除Microsoft Windows以外，受影響的產(chǎn)品還有： IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

事件時(shí)間軸

• 在2016 年 8 月有一個(gè) “Shadow Brokers” 的黑客組織號(hào)稱入侵了方程式組織竊取了大量機(jī)密文件，并將部分文件公開到了互聯(lián)網(wǎng)上，方程式（Equation Group）據(jù)稱是 NSA（美國(guó)國(guó)家安全局）下屬的黑客組織，有著極高的技術(shù)手段。這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分文件，打算以公開拍賣的形式出售給出價(jià)最高的競(jìng)價(jià)者，“Shadow Brokers” 預(yù)期的價(jià)格是 100 萬(wàn)比特幣（價(jià)值接近5億美元）。而“Shadow Brokers” 的工具一直沒賣出去。

• 北京時(shí)間 2017 年 4 月 8 日，“Shadow Brokers” 公布了保留部分的解壓縮密碼，有人將其解壓縮后的上傳到Github網(wǎng)站提供下載。

• 北京時(shí)間 2017 年 4 月 14 日晚，繼上一次公開解壓密碼后，“Shadow Brokers” ，在推特上放出了第二波保留的部分文件，下載地址為https://yadi.sk/d/NJqzpqo_3GxZA4，解壓密碼是 “Reeeeeeeeeeeeeee”。 此次發(fā)現(xiàn)其中包括新的23個(gè)黑客工具。具體請(qǐng)參考：https://github.com/misterch0c/shadowbroker/blob/master/file-listing 

這些黑客工具被命名為OddJob，EasyBee，EternalRomance，F(xiàn)uzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

漏洞影響

根據(jù)FOFA系統(tǒng)統(tǒng)計(jì)顯示，全球?qū)ν饪赡苁艿接绊懙某^(guò)750萬(wàn)臺(tái),中國(guó)可能有超過(guò)133萬(wàn)受到影響。其中全球約有542萬(wàn)的RDP服務(wù)和約有208萬(wàn)的SMB協(xié)議服務(wù)運(yùn)行在windows上（僅為分布情況，非實(shí)際漏洞影響），其中，中國(guó)地區(qū)超過(guò)101萬(wàn)RDP服務(wù)對(duì)外開放，SMB協(xié)議超過(guò)32萬(wàn)。根據(jù)白帽匯測(cè)試，從windows 2000到Windows2008都受到這工具包中影響，成功率非常之高。另外，內(nèi)部網(wǎng)絡(luò)中也大多開啟445端口和139端口，也將會(huì)成為黑客滲透內(nèi)網(wǎng)的大殺器。

【RDP服務(wù)全球分布情況（僅為分布情況，非實(shí)際漏洞影響）】

【RDP服務(wù)中國(guó)地區(qū)分布情況（僅為分布情況，非實(shí)際漏洞影響）】

【W(wǎng)indows系統(tǒng)上SMB服務(wù)全球分布情況（僅為分布情況，非實(shí)際漏洞影響）】

【W(wǎng)indows系統(tǒng)上SMB服務(wù)中國(guó)分布情況（僅為分布情況，非實(shí)際漏洞影響）】

主要攻擊工具

文件夾列表

這次的文件有三個(gè)目錄，分別為

• windows文件夾，包含windows 利用工具，植入和payload；

• swift文件夾，包含攻擊銀行的操作系統(tǒng)；

• OddJob文件夾，有關(guān)于OddJob后門的文檔。

Windows文件夾

包含對(duì)Windows操作系統(tǒng)的許多黑客工具，但主要針對(duì)的是較舊版本的Windows（Windows XP中）和Server 2003，也有針對(duì)IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

其中“ETERNALBLUE是一個(gè)0day RCE漏洞利用，影響最新的Windows 2008 R2 SERVER VIA SMB和NBT！”。

【ETERNALBLUE文件夾內(nèi)容】

OddJob文件夾

包含基于Windows的植入軟件，并包括所指定的配置文件和有效載荷。雖然目前這種植入軟件的細(xì)節(jié)很少，但OddJob適用于Windows Server 2003 Enterprise（甚至Windows XP Professional）。

【OddJob文件夾結(jié)構(gòu)】

SWIFT文件夾

SWIFT（全球銀行間電信協(xié)會(huì)）是一個(gè)全球性的金融信息系統(tǒng)，全球數(shù)千家銀行和組織每天都在轉(zhuǎn)移數(shù)十億美元。

此文件夾包含PowerPoint演示文稿，證據(jù)，憑證和EastNets的內(nèi)部架構(gòu)（EastNets是中東最大的SWIFT服務(wù)商之一）。

該文件夾包括從Oracle數(shù)據(jù)庫(kù)查詢信息的SQL腳本，可查詢數(shù)據(jù)庫(kù)用戶列表和SWIFT消息。

【SWIFT文件夾文件清單】

泄露的數(shù)據(jù)還顯示方程式攻擊了部分銀行或機(jī)構(gòu)：AI Quds Bank for Development & Investment，Qatar Foundation，Natexis Bank，United Bank，AI Hilal Islamic Bank，Warba Bank，Kuwait Petroleum Corp。

【SWIFT文件夾中的Excel文件內(nèi)容】

漏洞利用

ETERNALBLUE漏洞利用模塊，windows7 sp1 64位版本和windows 2003 sp2 32版本測(cè)試成功截圖。

【W(wǎng)indows 7 利用成功并反彈shell】

【W(wǎng)indows xp 利用成功】

修復(fù)建議

1. 升級(jí)到微軟提供支持的Windows版本，并安裝補(bǔ)?。篽ttps://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. 安裝相關(guān)的防護(hù)措施，如緩沖區(qū)溢出防御軟件，殺毒軟件。

3. 無(wú)補(bǔ)丁的Windows版本，臨時(shí)關(guān)閉135、137、445端口和3389遠(yuǎn)程登錄。

白帽匯會(huì)持續(xù)對(duì)該漏洞進(jìn)行跟進(jìn)。請(qǐng)關(guān)注NOSEC威脅情報(bào)欄目https://nosec.org/my/threats/1495

參考：

[1] https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

[2] https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

[3] https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[4] https://github.com/x0rz/EQGRP_Lost_in_Translation

雷鋒網(wǎng)注：本文由白帽匯授權(quán)雷鋒網(wǎng)宅客頻道聯(lián)合發(fā)布

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。