当前位置:安全客 >> 资讯详情

方程式又一波大规模 0day 攻击泄漏,微软这次要血崩

2017-04-15 09:15:04 阅读:140796次 收藏 来源: Monster@长亭科技

http://p8.qhimg.com/t01d64cac392799fc34.png

一大早起床是不是觉得阳光明媚岁月静好?然而网络空间刚刚诞生了一波核弹级爆炸!Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个精美的 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。

目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

故事还要从一年前说起,2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿mei'y)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers” 的拍卖也因此一直没有成功。

北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。

http://p4.qhimg.com/t01e2c916f40ba1518d.png

这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):

EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具

ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。

除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。

ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。

FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。

ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。

ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具。

ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。

不放不要紧,放出来吓坏了一众小伙伴。这些文件包含多个 Windows 神洞的利用工具,只要 Windows 服务器开了135、445、3389 其中的端口之一,有很大概率可以直接被攻击,这相比于当年的 MS08-067 漏洞有过之而无不及啊,如此神洞已经好久没有再江湖上出现过了。

掏出 Exp 试了一波,果然是一打一个准,这些工具的截图如下:

http://p5.qhimg.com/t015439ebcc99615d65.png

http://p0.qhimg.com/t01efd4fde751e310cb.png

http://p6.qhimg.com/t01c05cfc92be5175e5.png

http://p2.qhimg.com/t0127315e4b0e331edc.png

除 Windows 以外,“Shadow Brokers” 泄露的数据还显示方程式攻击了中东一些使用了 Swift 银行结算系统的银行。

http://p5.qhimg.com/t012163b00114d52377.png


缓解措施


所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏过,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。

剩下的就是请稳定好情绪,坐等微软出补丁。


参考


Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks

The Shadow Brokers

https://github.com/misterch0c/shadowbroker/

https://gist.github.com/misterch0c/08829bc65b208609d455a9f4aeaa2a6c


本文转载自 Monster@长亭科技
原文链接:https://zhuanlan.zhihu.com/p/26375989

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
萝莉控程序宅 2017-05-17 17:59:31
回复 |  点赞

程序最难的是维护而不是破解

男科圣手 2017-05-14 07:35:35
回复 |  点赞

为什么会泄露这分机密文件类?

Helen 2017-05-13 12:33:58
回复 |  点赞

当然都虚拟机 、沙盒了

360U773168680 2017-04-16 07:50:20
回复 |  点赞

这些漏洞利用工具有没有漏洞,这些工具有没有被注入病毒,是不是针对黑客界的一场攻击。如此长时间才放出,可以在其中做很多事情,或许我想太多了,感谢他们的无私奉献精神!!!!

黑帽子 2017-04-18 11:08:06
回复 |  点赞

66666

大表姐 2017-04-15 17:27:16
回复 |  点赞

已经成功复现

我不是黑客 2017-04-16 11:15:33
回复 |  点赞

能不能指点一下怎样成功复现?

大表姐 2017-04-15 17:27:16
回复 |  点赞

已经成功复现

360U773168680 2017-04-16 07:50:20
回复 |  点赞

这些漏洞利用工具有没有漏洞,这些工具有没有被注入病毒,是不是针对黑客界的一场攻击。如此长时间才放出,可以在其中做很多事情,或许我想太多了,感谢他们的无私奉献精神!!!!

360U2580485599 2017-04-16 07:31:25
回复 |  点赞

能否指点下如何复现?

大表姐 2017-04-15 17:27:16
回复 |  点赞

已经成功复现

大表姐 2017-04-15 17:27:16
回复 |  点赞

已经成功复现

乒乓怪 2017-04-15 11:48:22
回复 |  点赞

真的 俺不骗你

360U2580485599 2017-04-15 09:52:29
回复 |  点赞

真的假的?赶紧蹭一波

360U2580485599 2017-04-15 09:52:29
回复 |  点赞

真的假的?赶紧蹭一波

查看更多