2017 年 4 月 14 日,黑客组织Shadow Brokers 公布了一批新的NSA(美国国家安全局)黑客工具。这批黑客工具中含有可以配合使用的一个攻击框架和多个攻击漏洞。这次的工具主要面向的是Windows系统,攻击框架非常易用,漏洞也大都是核弹级别的RCE(远程命令执行),配合框架和漏洞,可以非常容易地在存在漏洞的 Windows 主机上执行命令、植入后门。一时间,各路选手纷纷 借助泄漏出来的攻击框架摩拳擦掌。
如图1所示,本次泄漏的攻击工具是面向Windows系统的,而其中漏洞最多、分量最重的是SMB(网络文件共享系统)和邮件系统的漏洞。与其他漏洞比起来,Eternal系列漏洞攻击范围广、利用更稳定。配合这些漏洞的,还有Doublepulsar后门,一个安全的系统一旦被植入了该后门,就可以被长期、远程控制,那么系统就不再安全。
虽然微软公司提前发布了安全公告 MS17-010,但是安全更新存在时间周期,网络空间上仍然存在大量可以被入侵的主机。Eternal模块被大量的使用,用于针对不安全的Windows主机的渗透行为。
2. 攻击框架简介
1.运行环境搭建
从Github[2]上下载本次泄露的相关文件,目录简介如下:
>tree
.
├── oddjob 与oddjob后门相关的文件
├── swift 包含攻击SWIFT银行相关文件,包括关键路由信息,数据库信息等
└── windows 本次泄露文件中的重头戏,包含一个攻击框架和众多核弹级别攻击模块
在windows下搭建运行环境步骤如下:
1. 关闭windows防火墙
2. 下载并安装python2.6(https://www.python.org/ftp/python/2.6.6/python-2.6.6.msi)
3. 将python添加至环境变量中
4. 下载并安装Pywin2.6(https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/pywin32-221.win32-py2.6.exe/download)
5. 进入windows文件夹,在命令行下输入mkdir listeningposts,接着运行python fb.py即可开始攻击
6. 如果需要一个图形化的界面,则需要安装java1.6
7. 安装完java1.6后,运行python start_lp.py即可看到图形化界面。
2. Eternalblue攻击模块简介
在Eternal系列攻击模块中,Eternalblue模块在文档泄露后被安全研究人员、攻击者等广泛使用。这里,简单介绍该模块的使用方式。
在windows目录下打开命令行,输入python fb.py运行攻击框架:
设置相关参数后进入框架自带的命令行,通过use Etern