2021年3月2日，有國外安全研究人員在社交媒體稱，Immunity Canvas 7.26工具的源碼遭到泄露，里面包含959個漏洞利用工具(已做排重處理)。值得注意的是，2018年公開的英特爾"幽靈"漏洞的利用工具也在泄露的武器庫中。

Immunity Canvas是什么?

CANVAS是Immunity公司開發的專業安全工具包，為全球滲透測試人員和安全專業人員提供數百種漏洞利用，是一個自動化的漏洞利用系統以及一個全面、可靠的漏洞利用開發框架。不法黑客可能利用已泄露的工具包在未經用戶許可的情況下，對其感興趣的目標進行檢測、滲透活動，該事件已引起安全行業的廣泛關注。

該工具包的售價高達數萬美元/年：

事實上，有研究人員表示，至少自2020年12月開始，CANVAS 7.26的破解版本已經泄漏并在網上進行交易。

壞消息：攻擊門檻降低了

Immunity Canvas工具包有集成化、自動化、簡單化的特點，大幅降低了攻擊門檻。本次泄露包含該工具的源碼，會有更專業的黑客根據個人喜好添加新武器、新功能。

• 集成化：針對Windows、Linux、MACOS操作系統，涉及掃描、探測、入侵方方面面的各類工具，數量多以百計;
• 自動化：攻擊流程自動化、攻擊操作傻瓜化，有一定基礎的安全愛好者，點點鼠標就能完成一個攻擊。

騰訊安全團隊對已泄露的工具包做了簡單分析，判斷這是個功能完整的紅隊工具包。本次泄露包括該工具的源碼，可以直接在windows和linux直接安裝。根據Changelog.txt文件可以看到當前泄露的Immunity CANVAS 7.26大概是2020年9月份的版本：

從目錄看，泄露的Immunity CANVAS 7.26版工具包包含：漏洞利用程序、WINDOWS\LINUX\MACOS系統后門、Fuzz、代理、Rootkit等：

下圖為使用Immunity CANVAS控制臺使用永恒之藍漏洞進行攻擊：

好消息：泄露的工具包相對老舊，暫未發現0day

不過，我們將工具包中的CVE進行排重分類，發現其中老漏洞比較多，新漏洞比較少，從有CVE標示的漏洞插件來看，2019年和2020的漏洞占比<5%，暫時未發現本次泄露的武器庫中存在0day漏洞。

工具包內包含的漏洞利用腳本大多已被公開：

漏洞公開時間到工具集成時間對比：

幾個重量級攻擊武器

即便如此，工具包中仍然有幾個重量級高危漏洞攻擊組件需要引起注意(雖然這些漏洞都已經得到修補并發布了補丁，但仍然有許多企業內部依然未更新組件和打補丁)。

(1) spectre_file_leak (CVE-2017-5753)：

2018年引發轟動的“幽靈”、熔斷兩個CPU 漏洞之一，利用Spectre(幽靈)漏洞， 當用戶通過瀏覽器訪問包含惡意利用的網站時，帳號、密碼、郵箱等個人隱私信息可能會被泄漏。

漏洞源于CPU廠商為了提高CPU性能而引入的新特性。不管是臺式機、筆記本電腦、云服務器以及智能手機等硬件產品，還是Windows、Linux、Mac OS、IOS、Android等操作系統，都受到這兩個CPU漏洞的影響。

參考鏈接：https://s.tencent.com/research/bsafe/360.html

(2) SMBGHOST (CVE-2020-0796)：

曾引發轟動的SMBGhost漏洞，攻擊者利用該漏洞無須權限即可實現遠程代碼執行，受黑客攻擊的目標系統只需開機在線即可能被入侵。該漏洞的后果十分接近永恒之藍系列，都利用Windows SMB漏洞遠程攻擊獲取系統最高權限。有大量惡意軟件利用此漏洞攻擊傳播。

參考鏈接：https://s.tencent.com/research/bsafe/908.html

(3) BLUEKEEP (CVE-2019-0708)：

Windows遠程桌面服務漏洞，攻擊者一旦成功觸發該漏洞，便可以在目標系統上執行任意代碼，該漏洞的觸發無需任何用戶交互操作。該漏洞為網絡黑產使用最廣泛的攻擊工具之一。

參考鏈接：https://s.tencent.com/research/bsafe/720.html

“軍工級”黑產武器泄露多次發生，影響深遠

Immunity Canvas攻擊武器庫源碼被泄露，并非軍工級武器庫首次遭到泄露，同時也不會是最后一次，類似事件還包括：

• 2015年7月，意大利安全公司Hacking Team被黑客入侵，泄露超過400GB數據，包括該公司的黑客工具包及該公司的商業文件，泄露的攻擊軟件包含一些高危0day漏洞。該公司因與多國政府、甚至某些極端組織交易網絡攻擊工具包監視受害者而飽受批評。
• 2016年，影子經紀人黑客組織入侵了方程式黑客組織，竊取了該組織使用的大量網絡攻擊工具包并公之于眾，其中泄露的永恒之藍系列工具之后造成了巨大影響力，數不清的勒索病毒團伙、挖礦木馬團伙利用這些工具大肆入侵。
• 2020年，美國知名安全公司Fireeye遭遇黑客入侵，該公司使用的紅隊工具泄露，所幸本次泄露的工具包多是已知漏洞工具，未能造成嚴重破壞。

騰訊安全專家判斷，近期會有網絡黑產人員使用泄露的Immunity Canvas工具包對政企機構網絡資產進行各種掃描、探測、滲透活動。建議用戶對正在運行的業務進行安全檢查，及時掃描修復包括個人電腦 、企業服務器在內的各種安全漏洞，降低黑客入侵風險。騰訊安全已將該工具包的惡意程序加入威脅情報失陷指標(IOCs)，如果入侵者試圖使用這些工具進行攻擊，會觸發安全告警。