2017年上半年中国网络安全报告(9)
时间:2018-05-06 21:57 来源:网络整理 作者:墨客科技 点击:次
平台使用类似MSF,采用傻瓜化操作,只要指定攻击的IP、Exploit和Payload就可以进行工作。Exp相对稳定,在几台测试的未打补丁的机器上都能成功溢出。
图:使用Eternalblue溢出XP成功
图:使用Eternalchampion溢出xp成功 Eternalblue溢出成功后默认在用户的机器上植入Darkpulsar Payload。该Payload的功能相对较少,主要功能有执行shellcode和加载DLL,为以后植入复杂的后门做准备。
这些攻击工具危害是巨大的,好在微软在上个月发布的MS17-010的补丁中对这些个漏洞进行了修复。用户为了避免被攻击,需及时更新补丁,由于Windows XP和2003,微软已经停止更新,用户必须手动关闭139,445和3389等端口,避免受到攻击。
DanderSpiritz是泄露工具中的一整套完整的远控平台。由Java实现的框架,python实现的插件系统。和许多世面上常见的后门的模式类似,可以主动连接控制端也可以等客户端反弹回来。还有一种比较有意思的模式:Trigger模式,向指定的主机发送一个HTTP包或一封邮件去触发后门。
图:主界面截图 平台可以配置生成PeedleCheap后门。后门可以是EXE也可以是DLL,支持32位和64位系统。
配置选项中可以指定监听的端口,可以指定反弹的IP和端口,还可以指定要注入的进程名,同时,还会生成一对RSA公私钥,供后门中使用。
图:配置成功生成的后门 后门可以通过Darkpulsar进行植入,也可以单独以文件的形式进行植入,该后门的功能丰富,终端、文件操作等所有想要的功能都具备了,是一个功能非常全面的后门。
图:终端支持的命令 DanderSpiritz中的功能不仅只有这一个后门那么简单,具体有哪些能力还在研究中,随着研究的深入,肯定还会有新的功能被发掘出来。 总结从这些泄露的攻击工具中不难看出NSA的攻击步骤,先使用FuzzBunch平台进行溢出攻击,溢出成功后加载Darkpulsar,再通过Darkpulsar植入PeedleCheap,最终反弹到DanderSpiritz平台。
此次泄露的是完整的一套攻击工具,任何人拿来经过一定的摸索就可以使用进行攻击。虽然微软补丁已经发布,FuzzBunch平台可能会失去作用,但是DanderSpiritz却可以拿来一直使用,危害较大。 (责任编辑:admin) |
