锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
关于NSA武器库Esteemaudit黑客工具复现

作者: 佚名  日期:2017-06-05 07:38:13   来源: 本站整理

 一、导语
继2017年5月12号肆虐全球的WannaCry勒索病毒攻击后,安全专家向正在使用Windows XP和Windows Server 2003的用户发出了安全警告,提防利用名为“Esteemaudit”的黑客工具进行的第二波网络攻击。“Esteemaudit”黑客工具,同WannaCry勒索病毒利用的“EternalBlue”黑客工具一样,是 Shadow Brokers”近期泄露的NSA旗下的黑客团队 “Equation Group”的众多漏洞利用工具之一。
“Esteemaudit”是RDP(Remote Desktop Protocol) 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。黑客们利用它可以对电脑进行远程控制、加密勒索等攻击。
腾讯安全反病毒实验室对“Esteemaudit”黑客工具进行复现,同时给出了该漏洞的防御方法。
二、漏洞分析
1. 漏洞环境
Windows XP或Windows Server 2003系统、域控环境、开启远程桌面。
2. 漏洞概述

 
(攻击示意图)
Windows 2000系统的一项新特性是支持Smart Card认证。Windows server 2003在处理来自Smart Card的远程登录过程中存在一个越界写漏洞和一个逻辑不正确漏洞,POC通过模拟出一个Gemplus GemSAFE Card硬件设备来与服务器进行远程桌面通信,通信协议则采用的是RDP。通过伪造一系列Smart Card登录认证所需要的数据包来触发漏洞并最终实现远程代码执行。具体漏洞分析参见[1]。
3. 现场分析
复现“Esteemaudit”黑客工具的方法参见文档[2][3]
本次实验环境:
IP
系统信息
用途
192.168.1.100
Windows Server 2003
DC主机
192.168.1.110
Windows XP
受害机、域用户
192.168.1.120
Win7
攻击机、控制机
在攻击机192.168.1.120使用“Esteemaudit”工具对受害机192.168.1.110进行攻击。
1) 模拟Smart Card登录
首先“Esteemaudit”工具会使用开源的RDP协议,模拟Smart Card硬件设备来与受害机进行远程桌面通信:

 
(RDP通信)
2) 发送shellcode数据
在通信过程中,会将构造好的shellcode数据通过数据包发送到受害机上,用于完成漏洞攻击,并反弹shell回连攻击机,接收攻击机的后续指令:

 
(发送shellcode数据)

 
(shellcode数据流量包)
3) 反弹shellcode
可以看到,受害机主动连接了攻击机:

 
(反弹shell)

 
(受害机成功建立反弹shell)
至此,攻击完成整个攻击阶段,等待接收攻击机的远控指令,可以对受害机进行远程控制、加密勒索等形式的攻击。
三、防御建议
Ø 关闭远程桌面,退出域环境。
Ø 因业务需求而不能关闭远程桌面的,可以开启防火墙,加强对3389端口的审计。
Ø 不排除微软会提供漏洞补丁,及时打补丁。
Ø 安装开启杀毒引擎,防患于未然。
 



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等