一、導語
繼2017年5月12號肆虐全球的WannaCry勒索病毒攻擊后，安全專家向正在使用Windows XP和Windows Server 2003的用戶發出了安全警告，提防利用名為“Esteemaudit”的黑客工具進行的第二波網絡攻擊。“Esteemaudit”黑客工具，同WannaCry勒索病毒利用的“EternalBlue”黑客工具一樣，是 Shadow Brokers”近期泄露的NSA旗下的黑客團隊 “Equation Group”的眾多漏洞利用工具之一。
“Esteemaudit”是RDP(Remote Desktop Protocol) 服務的遠程漏洞利用工具，可以攻擊開放了3389 端口的 Windows 機器。黑客們利用它可以對電腦進行遠程控制、加密勒索等攻擊。
騰訊安全反病毒實驗室對“Esteemaudit”黑客工具進行復現，同時給出了該漏洞的防御方法。
二、漏洞分析
1. 漏洞環境
Windows XP或Windows Server 2003系統、域控環境、開啟遠程桌面。
2. 漏洞概述

 
（攻擊示意圖）
Windows 2000系統的一項新特性是支持Smart Card認證。Windows server 2003在處理來自Smart Card的遠程登錄過程中存在一個越界寫漏洞和一個邏輯不正確漏洞，POC通過模擬出一個Gemplus GemSAFE Card硬件設備來與服務器進行遠程桌面通信，通信協議則采用的是RDP。通過偽造一系列Smart Card登錄認證所需要的數據包來觸發漏洞并最終實現遠程代碼執行。具體漏洞分析參見[1]。
3. 現場分析
復現“Esteemaudit”黑客工具的方法參見文檔[2][3]
本次實驗環境：
IP
系統信息
用途
192.168.1.100
Windows Server 2003
DC主機
192.168.1.110
Windows XP
受害機、域用戶
192.168.1.120
Win7
攻擊機、控制機
在攻擊機192.168.1.120使用“Esteemaudit”工具對受害機192.168.1.110進行攻擊。
1) 模擬Smart Card登錄
首先“Esteemaudit”工具會使用開源的RDP協議，模擬Smart Card硬件設備來與受害機進行遠程桌面通信：

 
（RDP通信）
2) 發送shellcode數據
在通信過程中，會將構造好的shellcode數據通過數據包發送到受害機上，用于完成漏洞攻擊，并反彈shell回連攻擊機，接收攻擊機的后續指令：

 
（發送shellcode數據）

 
（shellcode數據流量包）
3) 反彈shellcode
可以看到，受害機主動連接了攻擊機：

 
（反彈shell）

 
（受害機成功建立反彈shell）
至此，攻擊完成整個攻擊階段，等待接收攻擊機的遠控指令，可以對受害機進行遠程控制、加密勒索等形式的攻擊。
三、防御建議
Ø 關閉遠程桌面，退出域環境。
Ø 因業務需求而不能關閉遠程桌面的，可以開啟防火墻，加強對3389端口的審計。
Ø 不排除微軟會提供漏洞補丁，及時打補丁。
Ø 安裝開啟殺毒引擎，防患于未然。