一、导语

继2017年5月12号肆虐全球的WannaCry勒索病毒攻击后，安全专家向正在使用Windows XP和Windows Server 2003的用户发出了安全警告，提防利用名为“Esteemaudit”的黑客工具进行的第二波网络攻击。“Esteemaudit”黑客工具，同WannaCry勒索病毒利用的“EternalBlue”黑客工具一样，是 Shadow Brokers”近期泄露的NSA旗下的黑客团队 “Equation Group”的众多漏洞利用工具之一。

“Esteemaudit”是RDP(Remote Desktop Protocol) 服务的远程漏洞利用工具，可以攻击开放了3389 端口的 Windows 机器。黑客们利用它可以对电脑进行远程控制、加密勒索等攻击。

二、漏洞分析

1. 漏洞环境

Windows XP或Windows Server 2003系统、域控环境、开启远程桌面。

2. 漏洞概述

（攻击示意图）

Windows 2000系统的一项新特性是支持Smart Card认证。Windows server 2003在处理来自Smart Card的远程登录过程中存在一个越界写漏洞和一个逻辑不正确漏洞，POC通过模拟出一个Gemplus GemSAFE Card硬件设备来与服务器进行远程桌面通信，通信协议则采用的是RDP。通过伪造一系列Smart Card登录认证所需要的数据包来触发漏洞并最终实现远程代码执行。具体漏洞分析参见[1]。

3. 现场分析

复现“Esteemaudit”黑客工具的方法参见文档[2][3]

本次实验环境：

在攻击机192.168.1.120使用“Esteemaudit”工具对受害机192.168.1.110进行攻击。

1) 模拟Smart Card登录

首先“Esteemaudit”工具会使用开源的RDP协议，模拟Smart Card硬件设备来与受害机进行远程桌面通信：

（RDP通信）

2) 发送shellcode数据

在通信过程中，会将构造好的shellcode数据通过数据包发送到受害机上，用于完成漏洞攻击，并反弹shell回连攻击机，接收攻击机的后续指令：

（发送shellcode数据）

（shellcode数据流量包）

3) 反弹shellcode

可以看到，受害机主动连接了攻击机：

（反弹shell）

（受害机成功建立反弹shell）

至此，攻击完成整个攻击阶段，等待接收攻击机的远控指令，可以对受害机进行远程控制、加密勒索等形式的攻击。

三、防御建议

Ø 关闭远程桌面，退出域环境。

Ø 因业务需求而不能关闭远程桌面的，可以开启防火墙，加强对3389端口的审计。

Ø 不排除微软会提供漏洞补丁，及时打补丁。

Ø 安装开启杀毒引擎，防患于未然。

四、参考文献

[1] http://slab.qq.com/news/tech/1570.html

[2] http://www.freebuf.com/articles/system/132171.html

[3] http://paper.seebug.org/306/