ShadowBrokers方程式工具包浅析,揭秘方程式组织工具包的前世今生

2017-04-15 356273人围观 ,发现 14 个不明物体 工具系统安全

今日,臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers在steemit.com博客上提供了相关消息。据此,腾讯云鼎实验室对此进行了分析。本次被公开的工具包大小为117.9MB,包含23个黑客工具,其中部分文件显示NSA曾入侵中东SWIFT银行系统,工具包下载接见文后参考信息。

解密后的工具包:

67238DA0-6370-4DDE-92A5-C9E99C0FE00D.png

其中Windows目录包括Windows利用工具和相关攻击代码,swift目录中是银行攻击的一些证据,oddjob目录是植入后门等相关文档。

Windows 目录:

Windows目录下包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响windows多个平台。

D3DB7F83-B503-49B8-BE25-60AF4B248094.png

其中有三个目录较为重要:

A、Exploits:

包含了很多漏洞利用工具,这里摘取一些进行简要介绍:

F0055C26-6DBF-4F26-AD18-F5D142601398.png

经过初步梳理,重点关注对win server有影响的几个工具,更多工具展示见参考3。

Explodingcan IIS漏洞利用工具,只对Windows 2003有影响

Eternalromance   SMB 和 NBT漏洞利用工具,影响端口139和445 

Emphasismine   通过IMAP漏洞攻击,攻击的默认端口为143

Englishmansdentist   通过SMTP漏洞攻击,默认端口25

Erraticgopher 通过RPC漏洞攻击,端口为445

Eskimoroll   通过kerberos漏洞进行攻击,默认攻击端口88

Eclipsedwing   MS08-67漏洞利用工具

Educatedscholar   MS09-050漏洞利用工具

Emeraldthread MB和 Netbios 漏洞利用工具,使用445端口和 139端口

Zippybeer   SMTP漏洞利用工具,默认端口 445

Eternalsynergy   SMB漏洞利用工具,默认端口 445

Esteemaudit   RDP漏洞利用工具,默认攻击端口为3389

B、FUZZBUNCH:

是一个类似 MSF的漏洞利用平台工具,python编写。

AF0B0FCF-7317-449B-9E84-7EFF433FC448.png

C、Specials:

ETERNALBLUE :利用SMB漏洞,攻击开放445端口的windows机器。

影响范围如图:

AC3741AE-ADB6-4A40-8F8E-6DE964B21FD6.png

ETERNALCHAMPION :利用SMB漏洞,攻击开放445端口的windows机器。

影响范围如图:

941E7C6D-DE47-4EC4-9E51-CC0BF5514F5A.png

可以看出,其中多个工具,对于windows server系统均有覆盖。

ODDJOB目录:

DCEB4BD5-F717-4DBF-9D28-1857BC589BBC.png

支持向如下系统中植入后门代码,可以对抗avira和norton的检测。

EE300221-B366-460F-B4B1-4B52D691532B.png

工具包中提供了一个常见反病毒引擎的检测结论。

6AD5DB27-4B71-4F1A-A6D3-884CFC21BE63.png

SWIFT文件夹:

存放一些金融信息系统被攻击的一些信息。部分被入侵的机器信息如下:

FABB43D1-0583-48BF-A911-942454582379.png

下面excel文件表明,方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。

47405E62-657F-44B0-B180-AF5CA96D9DA3.png

其中一个入侵日志:

61FB19C5-691C-498E-85A0-B64A60EB9DAB.png

对我们的警示:

本次公开的工具包中,包含多个 Windows 漏洞的利用工具,只要Windows服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445和3389端口。在未来的一段时间内,互联网上利用这些公开的工具进行攻击的情况会比较多,除了提醒用户,发布预警外,需要加强入侵监控和攻击防范。

临时缓解措施:

1)升级系统补丁,确保补丁更新到最新版本。

2)使用防火墙、或者安全组配置安全策略,屏蔽对包括445、3389在内的系统端口访问。

参考附录:

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

https://github.com/x0rz/EQGRP_Lost_in_Translation

https://zhuanlan.zhihu.com/p/26375989

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

* 本文作者:云鼎实验室(企业帐号),转载请注明来自FreeBuf.COM

这些评论亮了

  • One 回复
    浪费大家时间 又臭又长 而且什么都没说
    )11( 亮了
  • 沉默的小白 回复
    腾迅竟然没有在结尾的建议中提出让用户安装某管家,这不科学……
    )9( 亮了
发表评论

已有 14 条评论

取消
Loading...
css.php