ShadowBroker放大招-多种Windows零日利用工具公布
小编注:本文由白帽汇授权小编()宅客频道联合发布 北京时间2017年4月14日,Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,影响程度非常巨大。除Microsoft Windows以外,受影响的产品还有: IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。 事件时间轴
这些黑客工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。 漏洞影响 根据FOFA系统统计显示,全球对外可能受到影响的超过750万台,中国可能有超过133万受到影响。其中全球约有542万的RDP服务和约有208万的SMB协议服务运行在windows上(仅为分布情况,非实际漏洞影响),其中,中国地区超过101万RDP服务对外开放,SMB协议超过32万。根据白帽汇测试,从windows 2000到Windows2008都受到这工具包中影响,成功率非常之高。另外,内部网络中也大多开启445端口和139端口,也将会成为黑客渗透内网的大杀器。 【RDP服务全球分布情况(仅为分布情况,非实际漏洞影响)】 【RDP服务中国地区分布情况(仅为分布情况,非实际漏洞影响)】 【Windows系统上SMB服务全球分布情况(仅为分布情况,非实际漏洞影响)】 【Windows系统上SMB服务中国分布情况(仅为分布情况,非实际漏洞影响)】 主要攻击工具 文件夹列表 这次的文件有三个目录,分别为
Windows文件夹 包含对Windows操作系统的许多黑客工具,但主要针对的是较旧版本的Windows(Windows XP中)和Server 2003,也有针对IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。 其中“ETERNALBLUE是一个0day RCE漏洞利用,影响最新的Windows 2008 R2 SERVER VIA SMB和NBT!”。 【ETERNALBLUE文件夹内容】 OddJob文件夹 包含基于Windows的植入软件,并包括所指定的配置文件和有效载荷。虽然目前这种植入软件的细节很少,但OddJob适用于Windows Server 2003 Enterprise(甚至Windows XP Professional)。 【OddJob文件夹结构】 SWIFT文件夹 SWIFT(全球银行间电信协会)是一个全球性的金融信息系统,全球数千家银行和组织每天都在转移数十亿美元。 此文件夹包含PowerPoint演示文稿,证据,凭证和EastNets的内部架构(EastNets是中东最大的SWIFT服务商之一)。 该文件夹包括从Oracle数据库查询信息的SQL脚本,可查询数据库用户列表和SWIFT消息。 【SWIFT文件夹文件清单】 泄露的数据还显示方程式攻击了部分银行或机构:AI Quds Bank for Development & Investment,Qatar Foundation,Natexis Bank,United Bank,AI Hilal Islamic Bank,Warba Bank,Kuwait Petroleum Corp。 【SWIFT文件夹中的Excel文件内容】 漏洞利用 ETERNALBLUE漏洞利用模块,windows7 sp1 64位版本和windows 2003 sp2 32版本测试成功截图。 【Windows 7 利用成功并反弹shell】 【Windows xp 利用成功】 修复建议 1.升级到微软提供支持的Windows版本,并安装补丁:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/ 2.安装相关的防护措施,如缓冲区溢出防御软件,杀毒软件。 3.无补丁的Windows版本,临时关闭135、137、445端口和3389远程登录。 白帽汇会持续对该漏洞进行跟进。请关注NOSEC威胁情报栏目https://nosec.org/my/threats/1495 参考: [1] https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/ [2] https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/ [3] https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/ [4] https://github.com/x0rz/EQGRP_Lost_in_Translation 小编注:本文由白帽汇授权我们联合发布 (编辑:ASP站长网) |