一、導(dǎo)語
繼2017年5月12號肆虐全球的WannaCry勒索病毒攻擊后，安全專家向正在使用Windows XP和Windows Server 2003的用戶發(fā)出了安全警告，提防利用名為“Esteemaudit”的黑客工具進行的第二波網(wǎng)絡(luò)攻擊。“Esteemaudit”黑客工具，同WannaCry勒索病毒利用的“EternalBlue”黑客工具一樣，是 Shadow Brokers”近期泄露的NSA旗下的黑客團隊 “Equation Group”的眾多漏洞利用工具之一。
“Esteemaudit”是RDP(Remote Desktop Protocol) 服務(wù)的遠程漏洞利用工具，可以攻擊開放了3389 端口的 Windows 機器。黑客們利用它可以對電腦進行遠程控制、加密勒索等攻擊。
騰訊安全反病毒實驗室對“Esteemaudit”黑客工具進行復(fù)現(xiàn)，同時給出了該漏洞的防御方法。
二、漏洞分析
1. 漏洞環(huán)境
Windows XP或Windows Server 2003系統(tǒng)、域控環(huán)境、開啟遠程桌面。
2. 漏洞概述

 
（攻擊示意圖）
Windows 2000系統(tǒng)的一項新特性是支持Smart Card認證。Windows server 2003在處理來自Smart Card的遠程登錄過程中存在一個越界寫漏洞和一個邏輯不正確漏洞，POC通過模擬出一個Gemplus GemSAFE Card硬件設(shè)備來與服務(wù)器進行遠程桌面通信，通信協(xié)議則采用的是RDP。通過偽造一系列Smart Card登錄認證所需要的數(shù)據(jù)包來觸發(fā)漏洞并最終實現(xiàn)遠程代碼執(zhí)行。具體漏洞分析參見[1]。
3. 現(xiàn)場分析
復(fù)現(xiàn)“Esteemaudit”黑客工具的方法參見文檔[2][3]
本次實驗環(huán)境：
IP
系統(tǒng)信息
用途
192.168.1.100
Windows Server 2003
DC主機
192.168.1.110
Windows XP
受害機、域用戶
192.168.1.120
Win7
攻擊機、控制機
在攻擊機192.168.1.120使用“Esteemaudit”工具對受害機192.168.1.110進行攻擊。
1) 模擬Smart Card登錄
首先“Esteemaudit”工具會使用開源的RDP協(xié)議，模擬Smart Card硬件設(shè)備來與受害機進行遠程桌面通信：

 
（RDP通信）
2) 發(fā)送shellcode數(shù)據(jù)
在通信過程中，會將構(gòu)造好的shellcode數(shù)據(jù)通過數(shù)據(jù)包發(fā)送到受害機上，用于完成漏洞攻擊，并反彈shell回連攻擊機，接收攻擊機的后續(xù)指令：

 
（發(fā)送shellcode數(shù)據(jù)）

 
（shellcode數(shù)據(jù)流量包）
3) 反彈shellcode
可以看到，受害機主動連接了攻擊機：

 
（反彈shell）

 
（受害機成功建立反彈shell）
至此，攻擊完成整個攻擊階段，等待接收攻擊機的遠控指令，可以對受害機進行遠程控制、加密勒索等形式的攻擊。
三、防御建議
Ø 關(guān)閉遠程桌面，退出域環(huán)境。
Ø 因業(yè)務(wù)需求而不能關(guān)閉遠程桌面的，可以開啟防火墻，加強對3389端口的審計。
Ø 不排除微軟會提供漏洞補丁，及時打補丁。
Ø 安裝開啟殺毒引擎，防患于未然。