NSA武器库Esteemaudit技术解析

admin 2021年8月20日04:48:30评论118 views字数 1465阅读4分53秒阅读模式
点击上方蓝字可以订阅哦

一、导语

继2017年5月12号肆虐全球的WannaCry勒索病毒攻击后,安全专家向正在使用Windows XP和Windows Server 2003的用户发出了安全警告,提防利用名为“Esteemaudit”的黑客工具进行的第二波网络攻击。“Esteemaudit”黑客工具,同WannaCry勒索病毒利用的“EternalBlue”黑客工具一样,是 Shadow Brokers”近期泄露的NSA旗下的黑客团队 “Equation Group”的众多漏洞利用工具之一。

“Esteemaudit”是RDP(Remote Desktop Protocol) 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。黑客们利用它可以对电脑进行远程控制、加密勒索等攻击。

腾讯安全反病毒实验室对“Esteemaudit”黑客工具进行复现,同时给出了该漏洞的防御方法。

二、漏洞分析

1. 漏洞环境

Windows XP或Windows Server 2003系统、域控环境、开启远程桌面。

2. 漏洞概述

NSA武器库Esteemaudit技术解析 

(攻击示意图)

Windows 2000系统的一项新特性是支持Smart Card认证。Windows server 2003在处理来自Smart Card的远程登录过程中存在一个越界写漏洞和一个逻辑不正确漏洞,POC通过模拟出一个Gemplus GemSAFE Card硬件设备来与服务器进行远程桌面通信,通信协议则采用的是RDP。通过伪造一系列Smart Card登录认证所需要的数据包来触发漏洞并最终实现远程代码执行。具体漏洞分析参见[1]。

3. 现场分析

复现“Esteemaudit”黑客工具的方法参见文档[2][3]

本次实验环境:

IP 系统信息 用途
192.168.1.100 Windows Server 2003 DC主机
192.168.1.110 Windows XP 受害机、域用户
192.168.1.120 Win7 攻击机、控制机

在攻击机192.168.1.120使用“Esteemaudit”工具对受害机192.168.1.110进行攻击。

1) 模拟Smart Card登录

首先“Esteemaudit”工具会使用开源的RDP协议,模拟Smart Card硬件设备来与受害机进行远程桌面通信:

NSA武器库Esteemaudit技术解析 

(RDP通信)

2) 发送shellcode数据

在通信过程中,会将构造好的shellcode数据通过数据包发送到受害机上,用于完成漏洞攻击,并反弹shell回连攻击机,接收攻击机的后续指令:

NSA武器库Esteemaudit技术解析 

(发送shellcode数据)

NSA武器库Esteemaudit技术解析 

(shellcode数据流量包)

3) 反弹shellcode

可以看到,受害机主动连接了攻击机:

NSA武器库Esteemaudit技术解析 

(反弹shell)

NSA武器库Esteemaudit技术解析 

(受害机成功建立反弹shell)

至此,攻击完成整个攻击阶段,等待接收攻击机的远控指令,可以对受害机进行远程控制、加密勒索等形式的攻击。

三、防御建议

Ø 关闭远程桌面,退出域环境。

Ø 因业务需求而不能关闭远程桌面的,可以开启防火墙,加强对3389端口的审计。

Ø 不排除微软会提供漏洞补丁,及时打补丁。

Ø 安装开启杀毒引擎,防患于未然。

四、参考文献

[1] http://slab.qq.com/news/tech/1570.html

[2] http://www.freebuf.com/articles/system/132171.html

[3] http://paper.seebug.org/306/

NSA武器库Esteemaudit技术解析


本文始发于微信公众号(零组攻防实验室):NSA武器库Esteemaudit技术解析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年8月20日04:48:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NSA武器库Esteemaudit技术解析http://cn-sec.com/archives/357185.html

发表评论

匿名网友 填写信息