ShadowBroker是这样放大招的：Windows零日利用工具更多数据呈现( 本文作者：白帽汇（企业帐号），来自FreeBuf.COM)

北京时间2017年4月14日，Shadow Brokers再次泄露出一份震惊世界的机密文档，其中包含了多个 Windows 远程漏洞利用工具，可以覆盖全球 70% 的 Windows 服务器，影响程度非常巨大。除Microsoft Windows以外，受影响的产品还有： IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

事件时间轴

1.在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件，并将部分文件公开到了互联网上，方程式（Equation Group）据称是 NSA（美国国家安全局）下属的黑客组织，有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件，打算以公开拍卖的形式出售给出价最高的竞价者，“Shadow Brokers” 预期的价格是 100 万比特币（价值接近5亿美元）。而“Shadow Brokers” 的工具一直没卖出去。

2.北京时间 2017 年 4 月 8 日，“Shadow Brokers” 公布了保留部分的解压缩密码，有人将其解压缩后的上传到Github网站提供下载。

3.北京时间 2017 年 4 月 14 日晚，继上一次公开解压密码后，“Shadow Brokers” ，在推特上放出了第二波保留的部分文件，下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4，解压密码是 “Reeeeeeeeeeeeeee”。此次发现其中包括新的23个黑客工具。具体请参考：https://github.com/misterch0c/shadowbroker/blob/master/file-listing

这些黑客工具被命名为OddJob，EasyBee，EternalRomance，FuzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

漏洞影响

根据FOFA系统统计显示，全球对外可能受到影响的超过750万台,中国可能有超过133万受到影响。其中全球约有542万的RDP服务和约有208万的SMB协议服务运行在windows上（仅为分布情况，非实际漏洞影响），其中，中国地区超过101万RDP服务对外开放，SMB协议超过32万。根据白帽汇测试，从windows 2000到Windows2008都受到这工具包中影响，成功率非常之高。另外，内部网络中也大多开启445端口和139端口，也将会成为黑客渗透内网的大杀器。

RDP服务全球分布情况（仅为分布情况，非实际漏洞影响）

RDP服务中国地区分布情况（仅为分布情况，非实际漏洞影响）

Windows系统上SMB服务全球分布情况（仅为分布情况，非实际漏洞影响）

Windows系统上SMB服务中国分布情况（仅为分布情况，非实际漏洞影响）

主要攻击工具

主要攻击工具清单2

文件夹列表

这次的文件有三个目录，分别为

1. windows文件夹，包含windows 利用工具，植入和payload；

2. swift文件夹，包含攻击银行的操作系统；

3. OddJob文件夹，有关于OddJob后门的文档。

Windows文件夹

包含对Windows操作系统的许多黑客工具，但主要针对的是较旧版本的Windows（Windows XP中）和Server 2003，也有针对IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

其中“ETERNALBLUE是一个0day RCE漏洞利用，影响最新的Windows 2008 R2 SERVER VIA SMB和NBT！”。

ETERNALBLUE文件夹内容

OddJob文件夹

包含基于Windows的植入软件，并包括所指定的配置文件和有效载荷。虽然目前这种植入软件的细节很少，但OddJob适用于Windows Server 2003 Enterprise（甚至Windows XP Professional）。

OddJob文件夹结构

SWIFT文件夹

SWIFT（全球银行间电信协会）是一个全球性的金融信息系统，全球数千家银行和组织每天都在转移数十亿美元。

此文件夹包含PowerPoint演示文稿，证据，凭证和EastNets的内部架构（EastNets是中东最大的SWIFT服务商之一）。

该文件夹包括从Oracle数据库查询信息的SQL脚本，可查询数据库用户列表和SWIFT消息。

SWIFT文件夹文件清单

泄露的数据还显示方程式攻击了部分银行或机构：AI Quds Bank for Development & Investment，Qatar Foundation，Natexis Bank，United Bank，AI Hilal Islamic Bank，Warba Bank，Kuwait Petroleum Corp。

SWIFT文件夹中的Excel文件内容

漏洞利用

ETERNALBLUE漏洞利用模块，windows7 sp1 64位版本和windows 2003 sp2 32版本测试成功截图。

Windows 7 利用成功并反弹shell

Windows XP 利用成功

修复建议

1. 升级到微软提供支持的Windows版本，并安装补丁：https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. 安装相关的防护措施，如缓冲区溢出防御软件，杀毒软件。

3. 无补丁的Windows版本，临时关闭135、137、445端口和3389远程登录。

白帽汇会持续对该漏洞进行跟进。请关注NOSEC威胁情报栏目