Shadow Brokers公布NSA黑客工具_包含众多Windows 0day漏洞

北京时间2017年4月14日，Shadow Brokers再次公布出一份震惊世界的机密文档，其中包含了多个 Windows 远程漏洞利用工具。由于有众多国内高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器。影响程度非常巨大。

目前已知受影响的 Windows 版本包括但不限于：Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

目前根据FOFA系统统计显示，全球对外可能受到影响的超过750万台,中国可能有超过133万受到影响。其中全球约有542万的RDP服务和约有208万的SMB协议服务运行在windows上（仅为分布情况，非实际漏洞影响），其中，中国地区超过101万RDP服务对外开放，SMB协议超过32万。根据白帽汇测试，从windows 2000到Windows2008都受到这工具包中影响，成功率非常之高。另外，内部网络中也大多开启445端口和139端口，也将会成为黑客渗透内网的大杀器。

RDP服务全球分布情况（仅为分布情况，非实际漏洞影响）

RDP服务中国地区分布情况（仅为分布情况，非实际漏洞影响）

Windows系统上SMB服务全球分布情况（仅为分布情况，非实际漏洞影响）

Windows系统上SMB服务中国分布情况（仅为分布情况，非实际漏洞影响）

事件时间轴

l  在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件，并将部分文件公开到了互联网上，方程式（Equation Group）据称是 NSA（美国国家安全局）下属的黑客组织，有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “ShadowBrokers” 还保留了部分文件，打算以公开拍卖的形式出售给出价最高的竞价者，“Shadow Brokers”预期的价格是 100 万比特币（价值接近5亿美元）。而“Shadow Brokers” 的工具一直没卖出去。

l  北京时间 2017 年 4 月 8 日，“Shadow Brokers”公布了保留部分的解压缩密码，有人将其解压缩后的上传到Github网站提供下载。

l  北京时间 2017 年 4 月 14 日晚，继上一次公开解压密码后，“Shadow Brokers”，在推特上放出了第二波保留的部分文件，下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4，解压密码是 “Reeeeeeeeeeeeeee”。 此次发现其中包括新的23个黑客工具。具体请参考：https://github.com/misterch0c/shadowbroker/blob/master/file-listing

这些黑客工具被命名为OddJob，EasyBee，EternalRomance，FuzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

工具列表

这次的文件有三个目录，分别为windows文件夹，包含windows 利用工具，植入和payload；swift文件夹，包含攻击银行的操作系统。Oddjob文件夹，有关于ODDJOB后门的文档。

Windows文件夹

包含对Windows操作系统的许多黑客工具，但主要针对的是较旧版本的Windows（Windows XP中）和Server 2003。

其中“ETERNALBLUE是一个0day RCE漏洞利用，影响最新的Windows 2008 R2SERVER VIA SMB和NBT！”。根据白帽汇安全研究人员测试，发现该利用工具成功成率非常高。

OddJob文件夹

包含基于Windows的植入软件，并包括所指定的配置文件和有效载荷。虽然目前这种植入软件的细节很少，但OddJob适用于Windows Server 2003 Enterprise（甚至Windows XP Professional）。

SWIFT文件夹

包含PowerPoint演示文稿，证据，凭证和EastNets的内部架构，注：EastNets是中东最大的SWIFT服务商之一。

SWIFT（全球银行间电信协会）是一个全球性的金融信息系统，全球数千家银行和组织每天都在转移数十亿美元。

该文件夹包括从Oracle数据库查询信息的SQL脚本，如查询数据库用户列表和SWIFT消息。

泄露的数据还显示方程式攻击了中东一些使用了 Swift 银行结算系统的银行。

此次泄露的包含一堆令人震撼的黑客工具，主要列表如下：

漏洞影响

据估计该目前互联网上70%的windows系统都受到影响。由于有众多国内高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器。影响程度非常巨大。

漏洞利用

ETERNALBLUE漏洞利用模块，windows7 sp1 64位版本和windows 2003 sp2 32版本测试成功截图。

Windows 7 利用成功，反弹shell

Windows xp 利用成功

修复建议

1、安装相关的防护措施，如缓冲区溢出防御软件，杀毒软件。

2、用户可以临时关闭135、139、445端口和3389远程登录。

白帽汇会持续对该漏洞进行跟进。

参考

[1] https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

[2]https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

[3] https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

[4] https://github.com/x0rz/EQGRP_Lost_in_Translation

北京白帽汇科技有限公司是一家专注于安全大数据、企业威胁情报，为企业提供尖端安全产品和服务的一家高科技互联网企业。 公司产品包括：EWSIS-企业web安全监控系统、ETSS-企业威胁感知系统、ANDERSEN-企业威胁感知平台（SAAS）、NOSEC-大数据安全协作平台。 可为企业提供：网站安全监控、企业资产收集、漏洞扫描、安全日志分析、员工邮箱泄露监测、企业威胁情报、应急响应、安全代维等解决方案和服务。