Immunity Canvas“军工级”武器库泄露，大幅降低攻击门槛，企业宜早做防范

长按二维码关注

腾讯安全威胁情报中心

---

国外安全研究人员说，“我的天啦……”

2021年3月2日，有国外安全研究人员在社交媒体称，Immunity Canvas 7.26工具的源码遭到泄露，里面包含959个漏洞利用工具（已做排重处理）。值得注意的是，2018年公开的英特尔"幽灵"漏洞的利用工具也在泄露的武器库中。

Immunity Canvas是什么？

CANVAS是Immunity公司开发的专业安全工具包，为全球渗透测试人员和安全专业人员提供数百种漏洞利用，是一个自动化的漏洞利用系统以及一个全面、可靠的漏洞利用开发框架。不法黑客可能利用已泄露的工具包在未经用户许可的情况下，对其感兴趣的目标进行检测、渗透活动，该事件已引起安全行业的广泛关注。

该工具包的售价高达数万美元/年：

事实上，有研究人员表示，至少自2020年12月开始，CANVAS 7.26的破解版本已经泄漏并在网上进行交易。

坏消息：攻击门槛降低了

Immunity Canvas工具包有集成化、自动化、简单化的特点，大幅降低了攻击门槛。本次泄露包含该工具的源码，会有更专业的黑客根据个人喜好添加新武器、新功能。

集成化：针对Windows、Linux、MACOS操作系统，涉及扫描、探测、入侵方方面面的各类工具，数量多以百计；

自动化：攻击流程自动化、攻击操作傻瓜化，有一定基础的安全爱好者，点点鼠标就能完成一个攻击。

腾讯安全团队对已泄露的工具包做了简单分析，判断这是个功能完整的红队工具包。本次泄露包括该工具的源码，可以直接在windows和linux直接安装。根据Changelog.txt文件可以看到当前泄露的Immunity CANVAS 7.26大概是2020年9月份的版本：

从目录看，泄露的Immunity CANVAS 7.26版工具包包含：漏洞利用程序、WINDOWSLINUXMACOS系统后门、Fuzz、代理、Rootkit等：

下图为使用Immunity CANVAS控制台使用永恒之蓝漏洞进行攻击:

好消息：泄露的工具包相对老旧，暂未发现0day

不过，我们将工具包中的CVE进行排重分类，发现其中老漏洞比较多，新漏洞比较少，从有CVE标示的漏洞插件来看，2019年和2020的漏洞占比<5%，暂时未发现本次泄露的武器库中存在0day漏洞。

工具包内包含的漏洞利用脚本大多已被公开：

漏洞公开时间到工具集成时间对比：

模块名	漏洞编号	漏洞公告时间
SMBHOST	CVE-2020-0796	2020年3月
Smbghost_lpe	CVE-2020-0796	2020年3月
ssrs_viewstate_rce	CVE-2020-0618	2020年2月
owa_rce	CVE-2020-0688	2020年2月
menu_confusion_lpe	CVE-2019-0859	2019年4月

几个重量级攻击武器

即便如此，工具包中仍然有几个重量级高危漏洞攻击组件需要引起注意（虽然这些漏洞都已经得到修补并发布了补丁，但仍然有许多企业内部依然未更新组件和打补丁）。

spectre_file_leak (CVE-2017-5753)：
2018年引发轰动的“幽灵”、熔断两个CPU 漏洞之一，利用Spectre（幽灵）漏洞， 当用户通过浏览器访问包含恶意利用的网站时，帐号、密码、邮箱等个人隐私信息可能会被泄漏。

漏洞源于CPU厂商为了提高CPU性能而引入的新特性。不管是台式机、笔记本电脑、云服务器以及智能手机等硬件产品，还是Windows、Linux、Mac OS、IOS、Android等操作系统，都受到这两个CPU漏洞的影响。

参考链接：https://s.tencent.com/research/bsafe/360.html

SMBGHOST (CVE-2020-0796)：
曾引发轰动的SMBGhost漏洞，攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限。有大量恶意软件利用此漏洞攻击传播。
参考链接：https://s.tencent.com/research/bsafe/908.html

BLUEKEEP (CVE-2019-0708)：
Windows远程桌面服务漏洞，攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作。该漏洞为网络黑产使用最广泛的攻击工具之一。

参考链接：https://s.tencent.com/research/bsafe/720.html

“军工级”黑产武器泄露多次发生，影响深远

Immunity Canvas攻击武器库源码被泄露，并非军工级武器库首次遭到泄露，同时也不会是最后一次，类似事件还包括：

2015年7月，意大利安全公司Hacking Team被黑客入侵，泄露超过400GB数据，包括该公司的黑客工具包及该公司的商业文件，泄露的攻击软件包含一些高危0day漏洞。该公司因与多国政府、甚至某些极端组织交易网络攻击工具包监视受害者而饱受批评。
 
2016年，影子经纪人黑客组织入侵了方程式黑客组织，窃取了该组织使用的大量网络攻击工具包并公之于众，其中泄露的永恒之蓝系列工具之后造成了巨大影响力，数不清的勒索病毒团伙、挖矿木马团伙利用这些工具大肆入侵。
 
2020年，美国知名安全公司Fireeye遭遇黑客入侵，该公司使用的红队工具泄露，所幸本次泄露的工具包多是已知漏洞工具，未能造成严重破坏。
 
腾讯安全专家判断，近期会有网络黑产人员使用泄露的Immunity Canvas工具包对政企机构网络资产进行各种扫描、探测、渗透活动。建议用户对正在运行的业务进行安全检查，及时扫描修复包括个人电脑 、企业服务器在内的各种安全漏洞，降低黑客入侵风险。腾讯安全已将该工具包的恶意程序加入威胁情报失陷指标（IOCs），如果入侵者试图使用这些工具进行攻击，会触发安全告警。

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心

本文始发于微信公众号（腾讯安全威胁情报中心）：Immunity Canvas“军工级”武器库泄露，大幅降低攻击门槛，企业宜早做防范