研究人员分析,EternalRocks“永恒之石”通过使用7个围绕SMB的NSA工具来感染网络上暴露SMB端口的计算机,ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY 4个NSA工具主要用于攻击计算机设备上的SMB漏洞,而SMBTOUCH和ARCHITOUCH 是2个用于SMB漏洞扫描的NSA工具,DOUBLEPULSAR则是进行远程攻击的后门程序。本文针对ETERNALCHAMPION进行了复现测试。
测试环境
| 用途 | IP | 备注 |
|---|---|---|
| 攻击机 | 192.168.80.157 | WinXP |
| 靶机 | 192.168.80.183 | Windows server 2008,设置多核 |
| kali | 192.168.80.162 | kali2.0 |
复现测试
SMBTouch扫描检测存在EternalChampion可利用
参照网上的提示,使用ShellcodeBuffer,即上述EternalRomance使用的shellcode的16进制值
命令:use DoublePulsar
(1)利用DoublePulsar生成shellcode,生成文件保存在任意可写入的位置
(2)use EternalChampion
一路回车,至ShellcodeBuffer,通过WinHex打开shellcode.bin文件,然后选择Edit-Copy All-Hex Values
右键粘贴
EternalChampion测试成功如下:
其余操作与EternalRomance一致,通过Doublepulsar注入恶意dll即可