2017 NSA網路武器庫泄露工具總結分析

目錄

一、背景介紹

二、泄漏工具包分析

2.1 EASYBEE

2.2 ESTEEMAUDIT.

2.3 ETERNALROMANCE.

2.4 ENGLISHMANSDENTIST.

2.5 ESKIMOROLL.

2.6 ZIPPYBEER.

2.7 ETERNALSYNERGY.

2.8 Eternalblue.

2.9 Doublepulsar

2.10 Explodingcan.

2.11 Easypi

2.12 Emphasismine.

2.13 Ewokfrenzy.

2.14 ETRE.

2.15 Eclipsedwing.

2.16 Erraticgopher

2.17 Eternalchampion.

2.18 Educatedscholar

2.19 Emeraldthread.

2.20 EARLYSHOVEL.

2.21 Ebbshave.

三、2017漏洞總結

3.1 2017Solaris漏洞

3.2 2017Windows漏洞

3.3 利用漏洞的蠕蟲傳播

一、背景介紹

本文檔主要剖析2017年nsa泄漏的國家網路武器庫工具列表的內容，重點分析涉及的受影響的系統及危害程度，文件內容及補丁修補情況。

2017年4月14日，Shadow Brokers再次泄露出一份震驚世界的機密文檔，其中包含了多個 Windows 遠程漏洞利用工具，可以覆蓋全球 70% 的 Windows 伺服器，影響程度非常巨大。除Microsoft Windows以外，受影響的產品還有： IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

2017 年 4 月 8 日，「Shadow Brokers」 公布了保留部分的解壓縮密碼，有人將其解壓縮後的上傳到Github網站提供下載。

2017 年 4 月 14 日晚，繼上一次公開解壓密碼後，「Shadow Brokers」 ，在推特上放出了第二波保留的部分文件，下載地址為https://yadi.sk/d/NJqzpqo_3GxZA4，解壓密碼是 「Reeeeeeeeeeeeeee」。 此次發現其中包括新的23個黑客工具。具體請參考：https://github.com/misterch0c/shadowbroker/blob/master/file-listing

2017年5月12日晚，一款名為Wannacry 的蠕蟲勒索軟體襲擊全球網路，這被認為是迄今為止最巨大的勒索交費活動，影響到近百個國家上千家企業及公共組織。 該蠕蟲利用了泄漏的NSA武器庫中的「永恆之藍」漏洞進行傳播。同時該軟體被認為是一種蠕蟲變種（也被稱為「Wannadecrypt0r」、「wannacryptor」或「 wcry」），像其他勒索軟體的變種一樣，WannaCry也阻止用戶訪問計算機或文件，要求用戶需付費解鎖。 一旦電腦感染了Wannacry病毒，受害者要高達300美元比特幣的勒索金才可解鎖。否則，電腦就無法使用，且文件會被一直封鎖。 研究人員還發現了大規模惡意電子郵件傳播，以每小時500封郵件的速度傳播傑夫勒索軟體，攻擊世界各地的計算機。

2017年5月15日，自勒索蠕蟲WannaCry之後又有一種新的蠕蟲EternalRocks（永恆之石）通過SMB進行了攻擊傳播，同樣是利用了NSA工具，EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四個NSA的SMB漏洞利用工具，同時具備了漏洞掃描工具SMBTOUCH和ARCHITOUCH ，還有一個後門感染工具DOUBLEPULSAR。天融信阿爾法實驗室經過樣本分析判斷，雖然蠕蟲永恆之石不具備主動惡意破壞功能，但是在會在感染設備上留後門進行貯存，同時相比之前的勒索蠕蟲，永恆之石蠕蟲利用的技術及方式更加複雜高級，猶如一顆定時炸彈，後續帶來不確定性的危害更高。

二、泄漏工具包分析

2.1 EASYBEE

2.1.1漏洞介紹

EasyBee是NSA開發的針對郵件系統MDaemon代碼執行漏洞的一個工具，它支持多個版本MDaemon是一款著名的標準SMTP/POP/IMAP郵件服務系統，由美國Alt-N公司開發。它提供完整的郵件伺服器功能，保護用戶不受垃圾郵件的干擾，實現網頁登陸收發郵件，支持遠程管理，並且當與MDaemon AntiVirus插件結合使用時，它還保護系統防禦郵件病毒。它安全，可靠，功能強大，是世界上成千上萬的公司廣泛使用的郵件伺服器。

2.1.2影響版本

該工具主要對MDaemon的以下幾個版本有影響，

9.5.2 9.6.0 9.6.1 9.6.2 9.6.3 9.6.4 9.6.5 9.6.6

10.0.1 10.0.2 10.0.3 10.0.4 10.0.5 10.1.0 10.1.1 10.1.2

2.1.3所在位置

windowsexploitsEasybee-1.0.1.exe

2.1.4危害評估

利用EasyBee需要知道MDaemon管理員賬戶、密碼

可被勒索軟體利用

傳播性：低

利用難度：高

2.1.5文件詳細說明

MD5: 2DEE8E8FCCD2407677FBCDE415FDF27E

編譯時間: 2009年12月8日20:33:20

2.1.6補丁情況

升級到最新版

http://www.altn.cn/download/download.htm

2.2 ESTEEMAUDIT

2.2.1漏洞介紹

windows 2000操作系統的一項新特性是支持smart card和smart card readers。當smart card用於客戶端認證、登錄、代碼簽名時，私鑰的操作都是在smart card而不是主機中完成的，這就為域中的重要系統提供了較高的安全保障。密碼和私鑰管理是由cryptographic service provider(CSP) modules完成的。CSP可以由硬體實現，或者軟體實現，也可以由二者結合。

windows server 2003在處理來自Gemplus GemSAFE Card的遠程登錄過程中存在一個越界寫漏洞和一個邏輯不正確漏洞，利用代碼模擬出一個Gemplus GemSAFE card硬體設備來與伺服器進行遠程桌面通信，通信協議則採用的是開源的RDP。通過偽造一系列smart card登錄認證所需要的數據包來觸發漏洞並最終實現遠程代碼執行。

2.2.2影響版本

Windows XP、Windows server 2003，開放3389埠的域控環境

2.2.3所在位置

windowsexploitsEsteemaudit-2.1.0.exe

2.2.4危害評估

使用此工具需要進入域環境，並且目標主機開放3389埠，如果滿足以上兩個條件，攻擊者可以利用此工具在域環境中傳播勒索軟體。

2.2.5文件詳細說明

MD5: 1D2DB6D8D77C2E072DB34CA7377722BE

編譯時間: 2012年10月2日16:13:30

2.2.6補丁情況

微軟針對xp,2003系統推出了補丁

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

2.3 ETERNALROMANCE

2.3.1漏洞介紹

在使用SMB發送數據的時候，通過構造特殊格式混淆類型從而造成SMBV1溢出漏洞 ，允許攻擊者發送特殊構建的網路消息給運行server服務的計算機，成功利用漏洞可導致計算機停止響應，直至重新啟動。

2.3.2影響版本

XP_SP0SP1SP2SP3_X86

XP_SP1SP2_X64

SERVER_2003_SP0SP1SP2

VISTA_SP0SP1SP2

SERVER_2008_SP0SP1SP2

WIN7_SP0SP1

SERVER_2008R2_SP0SP1

2.3.3所在位置

2.3.4危害評估

只要是對外開放445埠且沒有打補丁的主機都可能被攻擊，被攻擊的主機能被植入勒索軟體，此漏洞的利用難度較低

2.3.5文件詳細說明

Eternalromance-1.3

MD5: 8D3FFA58CB0DC684C9C1D059A154CF43

編譯時間: 2011年8月18日 20:35:33

Eternalromance-1.4

MD5: 4420F8917DC320A78D2EF14136032F69

編譯時間: 2012年5月19日 18:31:23

2.3.6補丁情況

MS17-010補丁

停止使用SMBv1

關閉445埠

https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.4 ENGLISHMANSDENTIST

2.4.1漏洞介紹

通過SMTP漏洞攻擊，默認埠25。

EPICHERO Avaya Call Server 的0day，使用Outlook Exchange WebAccess規則向用戶發送郵件的時候會觸發客戶端的可執行代碼漏洞

2.4.2影響版本

MS Exchange 2000

MS Exchange 2003

MS Exchange 2007

2.4.3所在位置

2.4.4危害評估

成功利用這個漏洞可以實現遠程攻擊者通過觸發可執行代碼在客戶端給別人發送郵件

2.4.5文件詳細說明

MD5: 305A1577298D2CA68918C3840FCCC958

編譯時間: 2011年4月28日 18:50:33

2.4.6補丁情況

升級至2010以上版本

https://products.office.com/zh-cn/exchange/email

2.5 ESKIMOROLL

2.5.1漏洞介紹

ESKIMOROLL 是 Kerberos 的漏洞利用攻擊，可以攻擊開放了 88 埠的 Windows的域控制器，漏洞編號為MS14-068，修復於2014年。該漏洞允許黑客提升任意普通用戶許可權成為域管理員（Domain Admin）身份。也就是說，你在一台普通域用戶的機器上利用這個漏洞，那麼這個域用戶就變成域管理員許可權，然後，該域用戶就可以控制整個域的所有機器了

2.5.2影響版本

WIN_2000

WIN_2003

WIN_2003_R2

WIN_2008

WIN_2008_R2 域控制器

2.5.3所在位置

2.5.4危害評估

可被勒索軟體利用

傳播性：易傳播

利用難度：高

2.5.5文件詳細說明

MD5: 91AB4B74E86E7DB850D7C127EEB5D473

編譯時間: 2011年3月12日 19:20:57

2.5.6補丁情況

MS14-068補丁

https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx

2.6 ZIPPYBEER

2.6.1漏洞介紹

基於windows域控和smb驗證漏洞的利用工具，獲取登錄認證hash

2.6.2影響版本

Windows Domain

2.6.3所在位置

2.6.4危害評估

此漏洞針對開啟445埠的域控伺服器，在獲取到密碼的情況下實施遠程控制，最終可拿到遠程伺服器的命令執行許可權，危害較高。

2.6.5文件詳細說明

Ewokfrenzy-2.0.0.exe

MD5 值: 84986365E9DFBDE4FDD80C0E7481354F

編譯時間:2009年12月16日 21:02:53

Explodingcan-2.0.2.exe

MD5 值: DC53BD258F6DEBEF8604D441C85CB539

編譯時間:2012年10月13日 13:24:10

2.6.6補丁情況

無補丁，微軟停止更新。關閉445埠。

2.7 ETERNALSYNERGY

2.7.1漏洞介紹

SMBv3遠程代碼執行，攻擊者可以提交惡意請求報文對系統進行拒絕服務攻擊。 利用此漏洞無需驗證，允許攻擊者發送特殊構建的網路消息給運行server服務的計算機，成功利用漏洞可導致計算機停止響應，直至重新啟動。

2.7.2影響版本

WIN8_X64_SP0

SERVER_2012_X64_SP0

2.7.3所在位置

2.7.4危害評估

未打補丁且對外開放445埠的主機都有可能被勒索軟體利用，在控制主機後可以直接安裝勒索軟體

2.7.5文件詳細說明

MD5: 2A8D437F0B9FFAC482750FE052223C3D

編譯時間: 2012年11月20日 20:46:53

2.7.6補丁情況

安裝MS17-010補丁

https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.8 Eternalblue

2.8.1漏洞介紹

SMBv2遠程溢出漏洞，對應漏洞編號為MS17-010，針對445埠。詳情，srv.sys在處理SrvOs2FeaListSizeToNt的時候邏輯不正確導致越界拷貝。SrvOs2FeaListToNt首先調用SrvOs2FeaListSizeToNt計算pNtFea的大小。SrvOs2FeaListSizeToNt函數會修改原始的pOs2Fea中的Length大小, Length本身是一個DWORD, 代碼還強制轉換成了WORD,然後以計算出來的Length來分配pNtFea.最後調用SrvOs2FeaToNt來實現轉換。造成遠程溢出。

2.8.2影響版本

WindowsXP到windows2012

2.8.3所在位置

EQGRP_Lost_in_Translation-masterwindows ouches

EQGRP_Lost_in_Translation-masterwindowsspecials

2.8.4危害評估

是否可被勒索軟體利用 : 此漏洞可用於進行蠕蟲攻擊

傳播性如何：需要開啟smb服務，影響較廣，wannacry利用的此漏洞

利用難度：低

2.8.5文件詳細說明

MD5: 8C80DD97C37525927C1E549CB59BCBF3

2013年5月29日14：14：33

2.8.6補丁情況

安裝MS17-010補丁

https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.9 Doublepulsar

2.9.1漏洞介紹

屬於黑客工具，在Etrenalbule等漏洞利用成功後，使用此工具連接後門，然後載入dll或者shellcode。

2.9.2影響版本

感染指定後門程序，都可以使用此工具連接

2.9.3所在位置

EQGRP_Lost_in_Translation-masterwindowspayloads

2.9.4危害評估

是否可被勒索軟體利用 :此工具為黑客工具，不能利用。

傳播性如何：無

利用難度：低

2.9.5文件詳細說明

MD5: C24315B0585B852110977DACAFE6C8C1

2013年1月3日20：03：18

2.9.6補丁情況

這個是後門工具，沒有補丁，屬於漏洞利用成功後部署的連接工具

2.10 Explodingcan

2.10.1漏洞介紹

Explodingcan是針對Windows 2003系統 IIS6.0服務的遠程攻擊工具，但需要目標主機開啟WEBDAV才能攻擊，不支持安全補丁更新。

2.10.2影響版本

Windows Server 2003 IIS6.0

2.10.3所在位置

EQGRP_Lost_in_Translation-masterwindows ouches

EQGRP_Lost_in_Translation-masterwindowsexploits

2.10.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊。

傳播性如何：目標需要開放webdav服務，且只針對iis6，默認iis6是不開啟webdav服務，所以影響有一定局限性。

利用難度：低

2.10.5文件詳細說明

MD5: DC53BD258F6DEBEF8604D441C85CB539

2012年10月13日13：24：10

2.10.6補丁情況

無補丁，微軟已停止更新。關閉iis6上webdav服務。

2.11 Easypi

2.11.1漏洞介紹

IBM Lotus Notes遠程溢出漏洞

2.11.2影響版本

IBM Lotus Notes (Windows NT, 2000 ,XP, 2003)

2.11.3所在位置

EQGRP_Lost_in_Translation-masterwindowsexploits

2.11.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊。

傳播性如何：需要目標系統安裝IBM Lotus Notes，且對外開放指定埠，影響範圍有限定

利用難度：低

2.11.5文件詳細說明

MD5: 7E1A081A93D07705BD5ED2D2919C4EEA

2011年2月9日15：03：00

2.11.6補丁情況

https://www.ibm.com/developerworks/cn/downloads/

2.12 Emphasismine

2.12.1漏洞介紹

針對 Lotus Domino軟體IMAP服務的漏洞攻擊工具。

2.12.2影響版本

IBM Lotus Domino 6.5.4, 6.5.5, 7.0, 8.0, 8.5

2.12.3所在位置

EQGRP_Lost_in_Translation-masterwindowsexploits

2.12.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊。

傳播性如何：需要目標安裝對應的IBM Lotus Domino，影響範圍有限定

利用難度：低

2.12.5文件詳細說明

MD5: 76237984993D5BAE7779A1C3FBE2AAC2

2012年5月30日18：36：16

2.12.6補丁情況

https://www.ibm.com/developerworks/cn/downloads/

2.13 Ewokfrenzy

2.13.1漏洞介紹

針對 Lotus Domino軟體IMAP服務的漏洞攻擊工具

2.13.2影響版本

IBM Lotus Domino 6.5.4, 7.0.2

2.13.3所在位置

EQGRP_Lost_in_Translation-masterwindowsexploits

2.13.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊。

傳播性如何：需要目標安裝對應的IBM Lotus Domino，影響範圍有限定。

利用難度：低

2.13.5文件詳細說明

MD5: 84986365E9DFBDE4FDD80C0E7481354F

2009年12月16日21：02：53

2.13.6補丁情況

https://www.ibm.com/developerworks/cn/downloads/

2.14 ETRE

2.14.1漏洞介紹

IMail 8.10~8.22遠程利用工具

2.14.2影響版本

Mail 8.10~8.22

2.14.3所在位置

EQGRP_Lost_in_Translation-masterwindowsResourcesLegacyWindowsExploitsExploitsETRE 1.0.4

2.14.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊。

傳播性如何：需要目標安裝對應的IMAIL郵件系統，影響範圍有限定

利用難度：低

2.14.5文件詳細說明

MD5: 84986365E9DFBDE4FDD80C0E7481354F

2009年12月16日21：02：53

2.14.6補丁情況

升級lmail最新版本

2.15 Eclipsedwing

2.15.1漏洞介紹

Eclipsedwing 其實就是MS08067。

MS08067漏洞描述：MS08-067漏洞的全稱為「Windows Server服務RPC請求緩衝區溢出漏洞」，如果用戶在受影響的系統上收到特製的 RPC 請求，則該漏洞可能允許遠程執行代碼。

在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系統上，攻擊者可能未經身份驗證即可利用此漏洞運行任意代碼。

2.15.2影響版本

Microsoft Windows 2000、Windows XP 和 Windows Server 2003

2.15.3所在位置

EQGRP_Lost_in_Translation-masterwindows ouches為探針模塊，探測目標漏洞是否存在

EQGRP_Lost_in_Translation-masterwindowsexploits 為攻擊模塊

2.15.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊，

傳播性如何：內網擴散快，跟wannacry利用的類似

利用難度：低

2.15.5文件詳細說明

Eclipsedwingtouch-1.0.4.exe

MD5: 212665C005DFCB483D4645572C680583

編譯時間：2010-9-10 21:11:50

Eclipsedwing-1.5.2.exe

MD5 值: 195EFB4A896E41FE49395C3C165A5D2E

編譯時間：2010-7-17 1:31:22

2.15.6補丁情況

KB958644補丁編號，受漏洞影響的版本都有補丁。

https://technet.microsoft.com/zh-cn/library/security/ms08-067.aspx

2.16 Erraticgopher

2.16.1漏洞介紹

ErraticGopher 是RPC溢出漏洞,需要目標開啟RRAS服務，Windows XP 和 Windows Server 2003 系統上。

2.16.2影響版本

XPSP3，W2K3SP0，W2K3SP1，W2K3SP2

2.16.3所在位置

EQGRP_Lost_in_Translation-masterwindows ouches為探針模塊，探測目標漏洞是否存在

EQGRP_Lost_in_Translation-masterwindowsexploits 為攻擊模塊

2.16.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊，

傳播性如何：需要目標開啟RRAS服務，影響範圍中度，內網擴散快，跟wannacry利用的類似

利用難度：低

2.16.5文件詳細說明

Erraticgophertouch-1.0.1.exe

MD5 : 9F60E690FEABDAA2611373E93AA50450

編譯時間：2010-9-10 21:29:21

Erraticgopher-1.0.1.exe

MD5 : B4CB23D33C82BB66A7EDCFE85E9D5361

編譯時間：2010-9-10 20:34:30

2.16.6補丁情況

無補丁，微軟已停止更新。

2.17 Eternalchampion

2.17.1漏洞介紹

SMBv1漏洞攻擊工具 ，攻擊者向 Microsoft 伺服器消息塊 1.0 (SMBv1) 伺服器發送經特殊設計的消息，則其中最嚴重的漏洞可能允許遠程代碼執行。

2.17.2影響版本

Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2, 2012, Windows 8 SP0

2.17.3所在位置

EQGRP_Lost_in_Translation-masterwindowsspecials一些特殊的攻擊框架

2.17.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊，

傳播性如何：這個也是ms17010漏洞，但是影響版本更大，範圍更廣，內網擴散快

利用難度：低

2.17.5文件詳細說明

Eternalchampion-2.0.0.exe

MD5值：D2FB01629FA2A994FBD1B18E475C9F23

編譯時間：2013-8-8 16:54:12

2.17.6補丁情況

已被微軟補丁MS17-010修復

https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.18 Educatedscholar

2.18.1漏洞介紹

MS09-050漏洞，Microsoft windows SMB2是新版windows捆綁的SMB協議實現，Microsoft Server Message Block (SMB)協議軟體處理特殊構建的SMB報文存在漏洞，攻擊者可以提交惡意請求報文對系統進行拒絕服務攻擊。

利用此漏洞無需驗證，允許攻擊者發送特殊構建的網路消息給運行server服務的計算機，成功利用漏洞可導致計算機停止響應，直至重新啟動。

2.18.2影響版本

Windows vista, 2008

2.18.3所在位置

EQGRP_Lost_in_Translation-masterwindows ouches為探針模塊，探測目標漏洞是否存在

EQGRP_Lost_in_Translation-masterwindowsexploits 為攻擊模塊

2.18.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊

傳播性如何：這個也是ms17010漏洞，但是影響版本沒永恆之藍大，範圍小，內網擴散快

利用難度：低

2.18.5文件詳細說明

Educatedscholartouch-1.0.0.exe

Md5: 3D553DA33796C8C73ED00B3D9A91E24E

編譯時間：2009-11-3 15:19:57

Educatedscholar-1.0.0.exe

Md5: 0BC136522423099F72DBF8F67F99E7D8

編譯時間：2009-11-3 15:18:04

2.18.6補丁情況

已被微軟補丁MS09-050漏洞

https://technet.microsoft.com/zh-cn/library/security/ms09-050.aspx

2.19 Emeraldthread

2. 19.1漏洞介紹

SMBv1漏洞攻擊工具，攻擊者向 Microsoft 伺服器消息塊 1.0 (SMBv1) 伺服器發送經特殊設計的消息，則其中最嚴重的漏洞可能允許遠程代碼執行。

2. 19.2影響版本

Windows XP，Vista，7，Windows Server2003，2008

2. 19.3所在位置

EQGRP_Lost_in_Translation-masterwindows ouches為探針模塊，探測目標漏洞是否存在

EQGRP_Lost_in_Translation-masterwindowsexploits 為攻擊模塊

2. 19.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊，Stuxnet勒索軟體就利用了這個漏洞

傳播性如何：這個是ms10061漏洞，但是影響版本沒永恆之藍大，範圍小，內網擴散快

利用難度：低

2. 19.5文件詳細說明

Emeraldthreadtouch-1.0.0.exe

Md5: A35C794EFE857BFD2CFFFA97DD4A2ED3

編譯時間：2010-7-17 1:53:57

Emeraldthread-3.0.0.exe

Md5: 52933E70E022054153AA37DFD44BCAFA

編譯時間：2010-9-11 5:59:11

2. 19.6補丁情況

已被微軟補丁MS10-061修復，補丁KB2347290

https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx

2.20 EARLYSHOVEL

2. 20.1漏洞介紹

REDHAT 7.0/7.1/7.3 的sendmail RPC漏洞

2. 20.2影響版本

Sendmai 8.11.x

2. 20.3所在位置

EQGRP-masterLinuxinearlyshoveleash.py是主執行文件

2. 20.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊，比如Linux.Encoder.1

傳播性如何：這個是REAHAT系統下的sendmail遠程命令執行漏洞，可以上傳惡意文件到目標系統，但是影響版本小，範圍小

利用難度：低

2. 20.5文件詳細說明

Eash.py

MD5 值: 553D99A9CEC0BCC203122B6E8787C9C4

都是python腳本文件，修改時間不詳

2. 20.6補丁情況

影響版本已打補丁

http://www.educity.cn/labs/1449443.html

2.21 Ebbshave

2. 21.1漏洞介紹

Solaris系統是sun公司旗下linux平台系統，這個漏洞工具是攻擊solaris系統的RPC服務，rpc是Remote Procedure call即遠程調用服務，比如可以通過常式在sun solaris 中獲取遠端server上獲取時鐘信息。這個漏洞是XOR溢出漏洞。

2. 21.2影響版本

solaris 2.6,2.7,2.8,2.9,2.10

2. 21.3所在位置

EQGRP-masterLinuxin

2. 21.4危害評估

是否可被勒索軟體利用 :此漏洞可用於進行蠕蟲攻擊，比如Linux.Encoder.1

傳播性如何：這個是Solaris系統下的RPC溢出漏洞，可以上傳惡意文件到目標系統，但是影響版本比較老，範圍小。

利用難度：低

2. 21.5文件詳細說明

Ebbshave.v4

MD5 值: 1C60BD874B6152CE5D9B58B910A672D9

Ebbshave.v5

MD5 值: 55DAE80F0414E67E86FB5EDF393C566C

2. 21.6補丁情況

升級Solaris最新版本

http://www.oracle.com/technetwork/server-storage/solaris11/downloads/index.html

三、2017漏洞總結

3.1 2017SOLARIS漏洞

在這次的腳本泄露事件中，Solaris 的RPC遠程溢出為0day，Readhat的sendmail溢出漏洞已經打了補丁。

3.2 2017WINDOWS漏洞

在本次的腳本泄露事件中，windows 的smb漏洞最多，一共有11個工具針對sam漏洞進行攻擊，其中ms17010影響最嚴重通殺所有windows版本。還有攻擊windows3389埠的域內機器。其他影響的還有郵件伺服器MDaemon ，和imail 漏洞利用工具2個，版本覆蓋很全面。IBM Lotus漏洞利用工具有三個。還有一些提權工具比如kerberos漏洞，還有後門工具比如Doublepulsar等。

3.3 利用漏洞的蠕蟲傳播

ETERNALBLUE ，永恆之藍，這個是影子經紀人泄露的NSA攻擊工具，攻擊window的smbv1協議，埠為445，在公網上這個埠基本屏蔽了，但是有些內網是開放的。給 WannaCrypotor 帶來了便利，因為其功能的影響性影響了很多設備。同時新出現的兩個變種樣本，其中一個只是更改了域名開關，另外一個不能完全觸發，所以在防禦上並不需要多做處理，但是不排除將來出現新的樣本照成更嚴重的破壞。

推薦閱讀：