Shadowbroker에 의해 릴리즈된 코드 관련 이슈

최근 미국 국가안보국(NSA)내의 팀에서 Shadowbroker에 의해 발표된 악용 코드 및 멀웨어 코드를

연구하고 있습니다.
Shadowbroker 릴리즈와 동일한 날에 Microsoft는 Microsoft 고객에게 다음과 같은 사항을

확인시키는 블로그를 게시했습니다.
“공개된 Exploit의 대부분은 지원되는 제품에 이미 패치 된 취약점에 해당합니다."

 

오늘은 Shkadowbroker에 의해 릴리즈된 악용코드 및 멀웨어 코드에 대한 포스팅입니다.

 

FuzzBunch 착취 framework

 

출시된 파일에는 “fuzzbunch”라는 사용자 정의 빌드 framework를 함께 구성하는

실행 파일과 스크립트 세트가 포함되어 있습니다.

이 framework는 ‘fb.py’에서 시작되며 다음과 같습니다.

 

이 특정 악용사례는 SMB 프로토콜을 악용하는 “EternalBlue” Exploit이며 Doublepulsar 페이로드를

사용합니다.
공격자가 TCP / 445에서 대상에 도달할 수 있어야합니다.

 

실제로 이것은 공격자가 이미 동일한 LAN에 있거나 공격 대상 시스템의 열린 포트를 통해 대상 LAN에 도달 할 수 있음을 의미합니다.
현재 이 공격은 MS17-010에 의해 패치되었습니다.

 

1. 악용 framework 실행 및 구성

 

 

2. Eternalblue 모듈로 로드 및 SMB Exploit 실행 :

 

 

3. Doublepulsar 페이로드 로딩 및 Ping 보내기가 설치된 백도어 :

 

 

4. Windows 7 대상 프로세스 (PID 4)가 손상되었습니다.

 

 

 

현재 아래에 업데이트로 이미 확인된 Exploit 목록이 있으며, 사용자가 컴퓨터를 최신 상태로

유지하도록 권장합니다.(Microsoft 보안 대응 센터)

 

오늘은 Shadowbroker에 의해 릴리즈된 악용코드에 대한 내용으로 포스팅을 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.