永恒之蓝属于栈溢出漏洞么?
2017年,网络安全界充斥着有关声名狼藉的WannaCry勒索软件攻击的新闻。这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局(NSA)漏洞后不久开始的。利用全球范围内未打补丁的系统,使用名为“ EternalBlue”的漏洞的WannaCry攻击遍及150个国家。自2016年以来,臭名昭著的Shadow Brokers黑客组织一直活跃,并负责泄漏一些NSA漏洞,零时差和黑客工具。根据Wikipedia的报道,影子经纪人组织迄今已报告了五次泄漏。第五次泄漏发生在2017年4月14日,被证明是最具破坏性的。当天,Microsoft发布了一篇博客文章,概述了可用的补丁程序,这些补丁程序已解决了Shadow Brokers泄露的漏洞。漏洞发生前一个月(2017年3月14日),Microsoft已发布安全公告MS17-010,该公告解决了一些未修补的漏洞,包括“ EternalBlue”漏洞所利用的漏洞。但是,许多用户未应用该补丁,并且在2017年5月12日遭到了历史上最大的勒索软件攻击– WannaCry攻击。WannaCry成功感染了150多个国家的23万多台计算机后,引起了全球关注。这次袭击的主要受害者是全球知名的组织,包括医院和电信,天然气,电力和其他公用事业提供商。WannaCry爆发后不久,发生了其他严重的攻击,这些攻击也被发现使用了EternalBlue以及来自同一NSA泄漏的其他漏洞利用和黑客工具。
Shadow Brokers Group
Shadow Brokers组织以NSA泄漏而闻名,其中包含漏洞利用,零时差和黑客工具。该小组的第一个已知泄漏发生在2016年8月。在最近一次泄漏之后,Shadow Brokers组改变了其业务模式并开始进行付费订阅。在该组织造成的所有公开泄漏中,第五次泄漏-包括许多网络攻击中使用的EternalBlue漏洞-创造了历史。
EternalBlue(永恒之蓝)据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块,由于其涉及漏洞的影响广泛性及利用稳定性,在被公开以后为破坏性巨大的勒索蠕虫WannaCry所用而名噪一时。
测试环境
对于EternalBlue的分析是在一个相对简单的环境中进行的,使用Win7 32位系统进行调试,当然得没有安装EternalBlue相关的补丁,srv.sys文件的版本为6.1.7601.17514,srvnet.sys的版本为 6.1.7601.17514。
漏洞分析
EternalBlue利用Windows SMB中的一个远程执行代码漏洞。它利用了三个与SMB相关的漏洞以及一个ASLR绕过技术。它使用前两个漏洞来执行内核NonPagedPool缓冲区溢出,并使用第三个漏洞来设置内核池修饰,以协调另一个已知内核结构上的缓冲区覆盖。此溢出以及ASLR旁路有助于将Shellcode放置在预定义的可执行地址上。这使攻击者可以在易受攻击的受害者的计算机上启动远程代码执行。
EternalBlue通过在多个TCP连接上发送精心制作的SMB数据包来利用受害计算机的易受攻击的SMB。在第一个TCP连接中,它通过IPC $共享上的匿名登录打开一个空会话。如果受害者计算机的响应为STATUS_SUCCESS,则漏洞利用程序通过发送SMB NT Trans请求(其“ TotalDataCount” DWORD字段设置为66512)来开始其操作。NTTrans对应于SMB_COM_NT_TRANSACT事务子协议,并且是六种事务类型之一可用的子协议。
总结来说,EternalBlue达到其攻击目的事实上利用了3个独立的漏洞:第一个也就是CVE-2017-0144被用于引发越界内存写;第二个漏洞则用于绕过内存写的长度限制;第三个漏洞被用于攻击数据的内存布局。
漏洞1(CVE-2017-0144)
入口处理函数为SrvSmbOpen2,其中漏洞出现在函数SrvOs2FeaListToNt中,用IDA打开srv.sys进行分析:
如下所示为对应的漏洞函数SrvOs2FeaListToNt,当最后一个Trans2请求数据包中接收到整个结构,NtFea转换就会在srv!SrvOs2FeaListToNt函数中进行。SrvOs2FeaListToNt调用srv!SrvOs2FeaListSizeToNt来解析每个结构并计算新结构所需的总大小。它不会验证源列表的内容,但会检查每个FEA结构以确保其长度不超出最初在SizeOfListInBytes字段中定义的长度范围。
再来详细看看srv!SrvOs2FeaListSizeToNt函数,该函数会计算对应的FEA LIST的长度并随后对长度进行更新,该长度一开始为DWORD类型的,之后的长度更新代码中计算出的size拷贝回去的时候是按WORD进行的拷贝,此时只要原变量a中的初始值大于0xFFFF,即为0x10000+,该函数的计算结果就会增大。
什么叫做影子间谍?
顾明思义,就是这种间谍,你往往明知他的存在,却抓不住他,或者连查他是谁都根本无从查起。
比如网络黑客利用网络窃取情报,就是一种影子间谍,还有就是以前的U-2,黑鸟等高空侦察机,再人们没有见过他们真身的时候,也曾被称之为影子间谍.
神秘黑客组织曝光 勒索病毒是影子经纪人弄的么
影子掮客组织只是公布了美国国家安全局的网络攻击武器库,而从这个武器库中暴露了一个Windows 0day漏洞,然后有黑客针对这个漏洞开发了勒索病毒,影子经纪人并没有开发勒索病毒,目前各国执法机构都在调查幕后黑手。从影子掮客组织公布武器库到出现勒索病毒,之间间隔了几个月的时间,微软甚至在此时间内都发布了漏洞补丁,任何人(黑客)都有可能利用这个漏洞开发出勒索病毒,所以勒索病毒并不是影子掮客组织弄的。
影子经纪人是什么组织?影子经纪人黑客组织到底是怎么产生的
在2016年,一伙叫做“影子经纪人”神秘黑客组织成功黑掉了“方程式小组”,并使大量“方程式小组”的黑客工具大量泄漏。之后,“影子经纪人”不仅免费向所有人泄露了其中部分黑客工具和数据。还宣称将通过互联网拍卖所获取的这些“最好的文件”,如果他们收到100万个比特币,就会公布更多工具和数据。
据央视新闻报道:影子经纪人黑客组织从美国国家安全局的数据库中,发现大量的黑客软件,意指美国国家安全局是真正的黑客。对此,美国都予以否认。
影子经纪人是什么?影子经纪人黑客组织到底是怎么产生的
“影子经纪人”是宇宙间最大的情报组织,以贩卖情报为生,与另一情报组织“赛伯鲁斯”为互相竞争、敌视关系。影子经纪人的情报网络遍布世界,宇宙各处都安插有影子经纪人的特工,拥有极其强大的影响力,可以在十分钟内引发一场星际战争。
《质量效应》系列
与赛伯鲁斯的“人类至上”主义不同,影子经纪人保持绝对的中立,不偏向任何势力、种族,只把情报卖给出价最高的买家,一切只为利益。
甚至连神堡“议会”也与影子经纪人建立了长期合作关系,必要时甚至派遣“幽灵”(议会精英特工)给予帮助。
影子经纪人很早以前就察觉到了“收割者”的存在,并且在主人公薛帕德状告叛徒幽灵萨伦时(质量效应1代游戏剧情)也暗中出了一臂之力。
没有人知道这个神秘组织领导人的真实身份,甚至不知道他(她)是男是女、是什么种族,有人猜测可能根本没有领导人,“影子经纪人”根本就是一个团队在协同工作。但其实最初创建该组织的初代“影子经纪人”早在60年前就被其手下一名“牙戈人”特工反叛杀害并谋朝篡位,取而代之,成为了二代“影子经纪人”。直至后来主角薛帕德与其原队友莉雅娜·T·苏妮一同杀上了影子经纪人基地老巢,杀死了二代影子经纪人,莉雅娜取而代之,成为了第三代“影子经纪人”领袖(质量效应2的第20个DLC“影子经纪人之巢”剧情)。
勒索蠕虫病毒WanaCrypt0r 2.0背后黑客组织影子经纪人是谁
重启电脑按F8进入安全模式下,使用腾讯电脑管家杀毒软件,全面的查杀病毒程序,总计四大反病毒引擎:腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎,也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎,还应用了国外两大品牌的本地查杀引擎,有力的保障了对病毒的精准查杀!!可以彻底的清理干净病毒木马程序!!
勒索病毒是谁弄的
“永恒之蓝”勒索病毒的开发人员可能是名为“影子经纪人”的用户。
去年8月份,名为“影子经纪人”(The Shadow Brokers) 的神秘黑客组织通过社交平台宣称,他们攻击了一个有美国国家安全局(NSA)背景的黑客组织“方程式组织”,将NSA 用于大规模监控和情报活动的网络武器和文件公布在Github、Tumblr和PastBin 等互联网平台上,文件内容涉及大量的网络武器和文件,包括命令和控制中心(CC)服务器的安装脚本、配置文件,以及针对一些知名网络设备制造商的路由器和防火墙等产品的网络武器。本次感染急剧爆发的主要原因在于其传播过程中使用了其工具包中的“永恒之蓝”漏洞,微软公司今年3月份已经发布补丁,漏洞编号MS17-010, 由于该次攻击使用常用的445端口进行攻击,如果相关企事业单位未对使用Windows系统主机更新相关补丁程序,就会导致病毒大范围在局域网内传播,出现典型的短时间内爆发式攻击。