NSA武器库Esteemaudit技术解析

一、导语

继2017年5月12号肆虐全球的WannaCry勒索病毒攻击后,安全专家向正在使用Windows XP和Windows Server 2003的用户发出了安全警告,提防利用名为“Esteemaudit”的黑客工具进行的第二波网络攻击。“Esteemaudit”黑客工具,同WannaCry勒索病毒利用的“EternalBlue”黑客工具一样,是 Shadow Brokers”近期泄露的NSA旗下的黑客团队 “Equation Group”的众多漏洞利用工具之一。

“Esteemaudit”是RDP(Remote Desktop Protocol) 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。黑客们利用它可以对电脑进行远程控制、加密勒索等攻击。

二、漏洞分析

1. 漏洞环境

Windows XP或Windows Server 2003系统、域控环境、开启远程桌面。

2. 漏洞概述

(攻击示意图)

Windows 2000系统的一项新特性是支持Smart Card认证。Windows server 2003在处理来自Smart Card的远程登录过程中存在一个越界写漏洞和一个逻辑不正确漏洞,POC通过模拟出一个Gemplus GemSAFE Card硬件设备来与服务器进行远程桌面通信,通信协议则采用的是RDP。通过伪造一系列Smart Card登录认证所需要的数据包来触发漏洞并最终实现远程代码执行。具体漏洞分析参见[1]。

3. 现场分析

复现“Esteemaudit”黑客工具的方法参见文档[2][3]

本次实验环境:

IP 系统信息 用途
192.168.1.100 Windows Server 2003 DC主机
192.168.1.110 Windows XP 受害机、域用户
192.168.1.120 Win7 攻击机、控制机

在攻击机192.168.1.120使用“Esteemaudit”工具对受害机192.168.1.110进行攻击。

1) 模拟Smart Card登录

首先“Esteemaudit”工具会使用开源的RDP协议,模拟Smart Card硬件设备来与受害机进行远程桌面通信:

(RDP通信)

2) 发送shellcode数据

在通信过程中,会将构造好的shellcode数据通过数据包发送到受害机上,用于完成漏洞攻击,并反弹shell回连攻击机,接收攻击机的后续指令:

(发送shellcode数据)

(shellcode数据流量包)

3) 反弹shellcode

可以看到,受害机主动连接了攻击机:

(反弹shell)

(受害机成功建立反弹shell)

至此,攻击完成整个攻击阶段,等待接收攻击机的远控指令,可以对受害机进行远程控制、加密勒索等形式的攻击。

三、防御建议

Ø 关闭远程桌面,退出域环境。

Ø 因业务需求而不能关闭远程桌面的,可以开启防火墙,加强对3389端口的审计。

Ø 不排除微软会提供漏洞补丁,及时打补丁。

Ø 安装开启杀毒引擎,防患于未然。

四、参考文献

[1] http://slab.qq.com/news/tech/1570.html

[2] http://www.freebuf.com/articles/system/132171.html

[3] http://paper.seebug.org/306/

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: