EternalChampion利用分析

研究人员分析,EternalRocks“永恒之石”通过使用7个围绕SMB的NSA工具来感染网络上暴露SMB端口的计算机,ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4个NSA工具主要用于攻击计算机设备上的SMB漏洞,而SMBTOUCH和ARCHITOUCH 是2个用于SMB漏洞扫描的NSA工具,DOUBLEPULSAR则是进行远程攻击的后门程序。本文针对ETERNALCHAMPION进行了复现测试。

测试环境

用途 IP 备注
攻击机 192.168.80.157 WinXP
靶机 192.168.80.183 Windows server 2008,设置多核
kali 192.168.80.162 kali2.0

复现测试

SMBTouch扫描检测存在EternalChampion可利用
smb1
参照网上的提示,使用ShellcodeBuffer,即上述EternalRomance使用的shellcode的16进制值
命令:use DoublePulsar
(1)利用DoublePulsar生成shellcode,生成文件保存在任意可写入的位置
(2)use EternalChampion
一路回车,至ShellcodeBuffer,通过WinHex打开shellcode.bin文件,然后选择Edit-Copy All-Hex Values
smb2
右键粘贴
smb3
EternalChampion测试成功如下:
smb4
其余操作与EternalRomance一致,通过Doublepulsar注入恶意dll即可
smb5