频道栏目
首页 > 安全 > 工具软件 > 正文

NSA泄露黑客工具之 FuzzBunch & DanderSpritz 分析

2017-04-21 09:56:54      个评论      
收藏   我要投稿

NSA泄露黑客工具之 FuzzBunch & DanderSpritz 分析。

Shadow Brokers是什么

影子经纪(Shadow Brokers)声称攻破了为NSA开发网络武器的美国黑客团队方程式组织(Equation Group)黑客组织的计算机系统,并下载了他们大量的攻击工具(包括恶意软件、私有的攻击框架及其它攻击工具)。

方程式组织(Equation Group)是一个由卡巴斯基实验室发现的尖端网络犯罪组织,后者将其称为世界上最尖端的网络攻击组织之一,同震网(Stuxnet)和火焰(Flame)病毒的制造者紧密合作且在幕后操作。

Shadow Brokers大招回顾

2016年8月15日:

公布了思科ASA系列防火墙,思科PIX防火墙的漏洞

2017年4月08日:

公布了针对Solaris远程0day漏洞。

2017年4月14日:

公布了针对Windows系统漏洞及利用工具。

下载地址:https://github.com/x0rz/EQGRP_Lost_in_Translation

2017年4月14日大招分析

目录文件说明:

Windows:包含Windows漏洞、后门、利用工具,等配置文件信息。

\

swift:包含来自银行攻击的操作说明

\

oddjob:与ODDJOB后门相关的文档

\

漏洞对应说明

\

FUZZBUNCH&DanderSpritz分析

要使用FUZZBUNCH框架需要注意以下几点

1.将工具放在英文路径下,不能含有中文,目标机防火墙关闭

2.必须Python2.6和pywin32对应版本。

3.在windows利用工具目录下创建listeningposts目录,看清楚了是window利用工具目录,不是c:window目录。

4.系统使用32位

Python2.6+pywin32下载 链接:http://pan.baidu.com/s/1hsyvTOw 密码:o1a1

FuzzBunch有点类似于metasploit,并且可跨平台,通过fb.py使用,

\

FuzzBunch框架的执行,需要各种配置项

1.目标的IP地址,攻击者的;

2.指示转发选项是否将被使用;

3.指定log日志目录;

4.该项目名称。

\

在以上的配置中,Target ip(被攻击机器)IP地址是192.168.69.42,Callback IP(回调地址)也就是运行fb.py框架的IP地址。

配置完成之后,进入下一步,使用help查看帮助命令。

\

use命令的用途是选择插件,如下所列:

\

插件被分解成几类:

目标识别和利用漏洞发现:Architouch,Rpctouch,Domaintouch,Smbtouch等。;

漏洞利用:EternalBlue,Emeraldthread,Eclipsedwing,EternalRomance等。;

目标攻击后后操作:Douplepulsar,Regread,Regwrite等。

然后我们通过使用Smbtouch使用smb协议来检测对方操作系统版本、架构、可利用的漏洞。

\
\

在这个例子中,目标系统似乎有三个漏洞可以利用(EternalBlue,EternalRomance和EternalChampion),经过这几天的测试,我发现EternalBlue比较稳定,我直接选择使用EternalBlue这个漏洞利用工具。

\
\

使用EternalBlue漏洞利用成功之后,会在内核中留一个后门。

\

通过返回的信息,可以看出攻击成功,用了不到10秒钟的时间,攻击成功之后并不能直接执行命令,需要用框架的其他的插件配合。

攻击成功之后就可以开始使用DoublePulsar插件,DoublePulsar类似于一个注入器,有以下几个功能。

Ping: 检测后门是否部