本文讲的是NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析,
1. 概述
2017 年 4 月 14 日,黑客组织Shadow Brokers 公布了一批新的NSA(美国国家安全局)黑客工具。这批黑客工具中含有可以配合使用的一个攻击框架和多个攻击漏洞。这次的工具主要面向的是Windows系统,攻击框架非常易用,漏洞也大都是核弹级别的RCE(远程命令执行),配合框架和漏洞,可以非常容易地在存在漏洞的 Windows 主机上执行命令、植入后门。一时间,各路选手纷纷 借助泄漏出来的攻击框架摩拳擦掌。
如图1所示,本次泄漏的攻击工具是面向Windows系统的,而其中漏洞最多、分量最重的是SMB(网络文件共享系统)和邮件系统的漏洞。与其他漏洞比起来,Eternal系列漏洞攻击范围广、利用更稳定。配合这些漏洞的,还有Doublepulsar后门,一个安全的系统一旦被植入了该后门,就可以被长期、远程控制,那么系统就不再安全。
虽然微软公司提前发布了安全公告 MS17-010,但是安全更新存在时间周期,网络空间上仍然存在大量可以被入侵的主机。Eternal模块被大量的使用,用于针对不安全的Windows主机的渗透行为。
2. 攻击框架简介
1.运行环境搭建
从Github[2]上下载本次泄露的相关文件,目录简介如下:
>tree . ├── oddjob 与oddjob后门相关的文件 ├── swift 包含攻击SWIFT银行相关文件,包括关键路由信息,数据库信息等 └── windows 本次泄露文件中的重头戏,包含一个攻击框架和众多核弹级别攻击模块
在windows下搭建运行环境步骤如下:
1. 关闭windows防火墙
2. 下载并安装python2.6(https://www.python.org/ftp/python/2.6.6/python-2.6.6.msi)
3. 将python添加至环境变量中
4. 下载并安装Pywin2.6(https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/pywin32-221.win32-py2.6.exe/download)
5. 进入windows文件夹,在命令行下输入mkdir listeningposts,接着运行python fb.py即可开始攻击
6. 如果需要一个图形化的界面,则需要安装java1.6
7. 安装完java1.6后,运行python start_lp.py即可看到图形化界面。
2. Eternalblue攻击模块简介
在Eternal系列攻击模块中,Eternalblue模块在文档泄露后被安全研究人员、攻击者等广泛使用。这里,简单介绍该模块的使用方式。
在windows目录下打开命令行,输入python fb.py运行攻击框架:
设置相关参数后进入框架自带的命令行,通过use Eternalblue来使用Eternalblue攻击模块。
正确设置各参数之后即可成功攻击。
3. Doublepulsar攻击模块简介
通过攻击模块对目标进行攻击后,使用Doublepulsar模块植入后门。
使用use Doublepulsar命令使用该模块
在设置完目标主机后,需要我们选择攻击模式,
这里,可以注意两点。
1.Ping功能:Ping功能是用来测试后门是否存在。我们猜测原本是为了方便NSA相关人员使用添加了该功能,但在该框架曝光之后,反而为我们检测目标主机是否存在漏洞提供了便利。
抓取Ping功能实现时的流量,复现该过程,能够很好地帮助我们识别设备是否已经被植入Doublepulsar后门。这一点也是探测的关键点之一。
2.RunDLL功能
我们可以使用msfvenom生成可供利用的DLL:
Msfvenom –platform Windows -p windows/x64/exec -f dll -o /tmp/calc.dll CMD=calc
在选择RunDLL功能后,加载我们生成的DLL文件,即可在目标主机上成功执行命令。
目标主机的任务管理器中找到运行的计算器
3. 受感染主机数据分析
根据上述的结论,ZoomEye网络空间探测引擎对全球存在MS17-010 SMB系列远程命令执行漏洞的主机和已经被植入Doublepulsar后门的主机进行持续探测。截至2017年05月03日,已完成两轮探测。
1.第一轮探测
2017年04月24日,我们率先完成了第一轮探测中的Doublepulsar植入情况探测。
一共有98309台设备受到影响。为了更详细地展示受影响的国家,我们根据IP画出全球分布图,统计出受影响的top10国家:
Ø 全球分布图
Ø 受影响最大的十个国家
从图中我们可以看出,美国作为曾经的攻击方如今也成为了最大的被攻击方。有近6万台主机已经被植入了后门
其次就是中国,在中国受影响的IP中,二分之一存在于台湾省,四分之一存在于香港。
2017年04月26日,第一轮MS17-010 SMB系列远程命令执行漏洞探测也接近尾声。全球一共有101821台设备依然存在MS17-010 SMB系列远程命令执行漏洞。
Ø 全球分布图
Ø 受影响最大的十个国家
可以看出,美国,中国,俄罗斯依旧有大量主机存在被入侵的风险。
相比于国外,国内存在漏洞的主机则主要集中于台湾省。
由于美国拥有接近六万台主机被植入Doublepulsar后门但只有2万台主机存在MS17-010漏洞,我们横向比较这两份数据。
调取探测引擎的历史数据作为对比,7000台位于美国的主机历史上没有开放445端口但是却被检测出存在MS17-010漏洞,25869台位于美国的主机历史上没有开放445端口却被检测出被植入了Doublepulsar后门。
再次从25869台主机中随机抽取了1000台主机再次探测,发现四天之后,也就是2017年04月28日,仅有54台主机依然开放445端口。
根据这个结果,我们不得不惊叹美国整个国家的安全应急响应速度,仅仅几天的时间,能够对大规模的设备进行应急响应。这是大多数国家至今依旧很难做到的。
2. 第二轮探测
2017年05月02日,再次完成了MS17-010 SMB系列远程命令执行漏洞与Doublepulsar后门植入情况探测。
Ø 被植入Doublepulsar后门主机全球分布图
Ø 存在MS17-010 SMB系列远程命令执行漏洞主机全球分布图
我们横向比较了第一轮探测中数量排名前十的国家的数据:
Ø 两轮探测中Doublepulsar后门被植入主机数量对比柱状图
Ø 两轮探测中存在MS17-010 SMB系列远程命令执行漏洞主机数量对比柱状图
对比着两份数据,不难发现:
① 各国存在漏洞的主机数量均有下降。这是安全应急的成果。
② 除了美国、英国等,其它国家被植入Doublepulsar后门的数量仍在不断增加。
③ 这份数据再次验证了我们在第一轮探测的时候得出的结论:美国安全应急的速度与质量是令人震惊的。在约一周的时间内,美国存在漏洞的主机减少了百分之四十,虽然这个百分比不是最高的,但是作为世界上存在漏洞的主机数量最多的国家,这个数量已经足够说明美国的安全相响应速度了。与此同时,在各国Doublepulsar后门被植入数量不断增长的情况下,美国是为数不多的几个数量在不断减少的国家。
视线转向国内,我们对比了两轮探测的数据,如下图:
Ø 两轮探测中中国被植入Doublepulsar后门主机分布省份柱状图
Ø 两轮探测中中国存在MS17-010 SMB系列远程命令执行漏洞主机数量对比柱状图
可以看到,通过一周的应急,各省存在漏洞的主机数量均有下降,但是整体形势仍不容乐观。部分省市被植入Doublepulsar后门的主机数量急剧攀升,需要加大安全响应力度。
4. 各国应急响应浅谈
通过调取探测引擎的历史数据,统计出各国受影响的主机在全国开放445端口的主机中占据的比例,进一步观察本次泄漏的漏洞对各国的影响。
首先是被植入的Doublepulsar后门的数据的分析:
Ø 第一轮各国被植入Doublepulsar后门主机占本国开放445端口主机总量比例分布图
Ø 第二轮各国被植入Doublepulsar后门主机占本国开放445端口主机总量比例分布图
根据第一轮的扫描结果,可以很明显地看出,非洲和东南亚的各国互联网行业发展较为落后。其中,占比最高的中非共和国,每6台开放445端口的主机中就有一台主机已经被植入Doublepulsar后门。东南亚地区越南受影响也比较严重,每12台开放445端口的主机中就有一台主机已经被植入Doublepulsar后门。
而我国,虽然受影响主机数量排名第二,但是由于主机总体数量过于庞大,所在比例相应较小。
在一周后的第二轮扫描中,世界范围内被植入Doublepulsar后门的主机呈现出一种向互联网行业较弱国家靠拢的趋势。非洲、东南亚、北美洲南部等国家由于互联网行业发展较为落后,被植入Doublepulsar后门的主机数量不断增加并且不能被及时发现清除。
其次是存在MS17-010漏洞的主机分析:
Ø 第一轮各国存在MS17-010 SMB系列远程命令执行漏洞主机占本国开放445端口主机总量比例分布图
Ø 第二轮各国存在MS17-010 SMB系列远程命令执行漏洞主机占本国开放445端口主机总量比例分布图
相比于上方Doublepulsar后门被植入情况,全球各国存在MS17-010 SMB系列远程命令执行漏洞的主机占开放445端口的主机总数的百分之一到十分之一不等。由于非洲,南美洲主机总数不高,计算机行业相对不发达,该比例相对比较高。美国,俄罗斯,中国等虽然存在漏洞的主机数量仍居榜首,但由于计算机总数大,安全应急相应较快,存在漏洞的主机比例相对较小。
亚洲中部的土库曼斯坦存在漏洞的主机在一周的时间内从百分之十上升到百分之二十,我们调取了相关数据,发现该国开放445端口的主机数量非常少,上升百分之十的比例仍属于正常数据。
各国安全应急相应能力并不能从一两次的数据中完全体现出来,更需要一个长期的观察。这次泄露出来的漏洞影响必将是深远的,我们也将持续关注。
5. 检测与修复方案
检测方案:
1. 本地检测:通过Github项目doublepulsar-detection-script检测Doublepulsar后门是否被植入。
2. 在线检测:通过访问Seebug照妖镜即可在线检测Eternalblue Windows SMB远程代码执行漏洞以及是否被植入Doublepulsar后门
原文发布时间为:2017年5月9日
本文作者:知道创宇
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。