NSA的Windows漏洞军火库泄漏:多个零日、利用工具可直接使用

longye 新闻 2017年4月15日发布
Favorite收藏

导语:Shadow Broker刚刚又公布了NSA极其重要的数据,在周五(北京时间临近下班)时候放出的这批数据,包括针对大多数版本Windows系统的强力漏洞利用和黑客工具、黑进全球SWIFT网络内多家银行的代码和证据等。

Shadow Brokers(影子经纪人),过去八个月里出尽风头、将NSA(美国国家安全局)以千兆计的网络攻击武器泄漏到互联网的黑客个体/团伙,刚刚又公布了NSA极其重要的数据。在周五(北京时间临近下班)时候放出的这批数据,包括针对大多数版本Windows系统的强力漏洞利用和黑客工具、黑进全球SWIFT网络内多家银行的代码和证据等。

周五释出的数据,接近300MB大小。Shadow Brokers称数据偷自NSA,里边有可直接使用的多版本Windows系统漏洞利用工具,含Windows 8和2012;还有一个类似Metasploit的攻击框架Fuzzbunch,用于执行具体攻击操作。

屏幕快照 2017-04-15 上午2.43.10.png

加密版本只有不到200MB

审查内容的安全专家表示,这是Shadow Brokers迄今为止公布数据中最具破坏性的漏洞军火库

任何下载的人都可以使用这批攻击工具,尤其是其中一些还是零日漏洞,没有补丁,可以直接远程命令执行。”安全专家之一、Hacker House联合创始人Matthew Hickey进一步解释道。

Windows零日漏洞

Hickey发现,泄漏数据中的Windows零日漏洞之一Eternalblue,利用服务器消息块和NetBT协议之中的缺陷,可以在最新的Windows 2008 R2系统上远程命令执行;而另一个被称作Eternalromance的黑客工具,有易操作界面和完美代码,它直接利用TCP协议的139、445端口进行攻击,漏洞成因未知。此次数据中以“eternal”(永恒)开头命名的工具,均利用了Windows桌面和服务器系统的未知漏洞。

eternalromance-800x592.jpg

显示Eternalromance代码的电脑桌面

Hickey目前记录的工具列表如下:

ETERNALROMANCE — Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)

ENTERNALCHAMPION, ETERNALSYSTEM — Remote exploit up to Windows 8 and 2012

ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012)

EXPLODINGCAN — Remote IIS 6.0 exploit for Windows 2003

EWORKFRENZY — Lotus Domino 6.5.4 and 7.0.2 exploit

ETERNALSYNERGY — Windows 8 and Windows Server 2012

FUZZBUNCH — Exploit Framework (Similar to Metasploit) for the exploits.

黑进银行

本次泄漏数据的另一部分,是可以黑掉银行的攻击代码,特别针对中东地区的银行。根据安全专家、Cloud Volumes联合创始人Matt Suiche的分析,代号“Jeepflea_Market”的代码曾经在2013年黑过中东地区最大SWIFT机构EastNets。EastNets负责监督当地SWIFT网络中的具体交易行为是否有反洗钱等行为。除了特定服务器的详实数据外,泄漏数据还包括专用工具,比如从Oracle数据库提取数据库用户列表、SWIFT消息查询数据的工具。

Suiche称,这些工具可以让NSA黑掉监督具体交易行为的SWIFT机构,以查找和恐怖分子相关的交易。“考虑到SWIFT机构数据本来就少(120),并且很容易黑掉(比如每家银行一个IP),目前到底有多少个已经被黑掉了呢?”

Suiche还发现,有证据显示巴勒斯坦地区的Al Quds发展与投资银行曾经被特别关照过。

除了Windows零日漏洞、黑进银行的攻击代码外,泄漏数据里还包括“Oddjob”软件,这是一种通过HTTP传输控制来入侵电脑的植入工具和后门。

形势愈加严峻

通过持续公布泄漏数据,Shadow Brokers牢牢吸引住美国和世界各地情报部门的关注。在过往几次,他们还公布过可黑掉思科防火墙的零日漏洞。安全公司卡巴斯基的研究人员证实,他们分析过泄漏数据具有方程式组织的独有签名。方程式组织被认为是由NSA赞助的黑客团队,在进行着最先进的黑客行动。今年1月,Shadow Brokers在一次煽动性言论后宣布暂停运转,周五这次披露暗示着他们显然还有更多秘密数据。

Shadow Brokers出现后,NSA在内部严查,至少逮捕了一家被指控偷走NSA黑客工具的供应商。但到现在为止,还没有证据可以将被逮捕人员和Shadow Brokers联系起来。再次披露使形势变得更加严峻,无疑打乱许多政府部门和下属承包商的假日计划。

附本次公布泄漏数据解密版本的地址:https://github.com/misterch0c/shadowbroker

本文翻译自Arstechnica,如若转载,请注明原文地址: http://www.4hou.com/info/news/4319.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论