ShadowBrokers 方程式工具包浅析

臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers 在 steemit.com博客上提供了相关消息。

本次被公开的工具包大小为117.9MB,包含23 个黑客工具,其中部分文件显示 NSA 曾入侵中东 SWIFT 银行系统,工具包下载接见文后参考信息。

解密后的工具包:

其中 Windows 目录包括 Windows 利用工具和相关攻击代码,swift 目录中是银行攻击的一些证据,oddjob 目录是植入后门等相关文档。

Windows 目录:

Windows目录下包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响windows多个平台。

其中有三个目录较为重要:

A、Exploits:

包含了很多漏洞利用工具,这里摘取一些进行简要介绍:

经过初步梳理,重点关注对win server有影响的几个工具,更多工具展示见参考3。

  • Explodingcan IIS 漏洞利用工具,只对 Windows 2003有影响
  • Eternalromance SMB 和 NBT 漏洞利用工具,影响端口139 和445
  • Emphasismine 通过 IMAP漏洞攻击,攻击的默认端口为143
  • Englishmansdentist 通过 SMTP 漏洞攻击,默认端口25
  • Erraticgopher 通过 RPC 漏洞攻击,端口为445
  • Eskimoroll 通过 kerberos 漏洞进行攻击,默认攻击端口88
  • Eclipsedwing MS08-67 漏洞利用工具
  • Educatedscholar MS09-050 漏洞利用工具
  • Emeraldthread MB 和 Netbios 漏洞利用工具,使用445 端口和139 端口
  • Zippybeer SMTP 漏洞利用工具,默认端口445
  • Eternalsynergy SMB 漏洞利用工具,默认端口445
  • Esteemaudit RDP 漏洞利用工具,默认攻击端口为3389

B、FUZZBUNCH:

是一个类似 MSF的漏洞利用平台工具,python编写。

C、Specials:

ETERNALBLUE :利用 SMB 漏洞,攻击开放445 端口的 windows 机器。

影响范围如图:

ETERNALCHAMPION :利用SMB漏洞,攻击开放445端口的windows机器。

影响范围如图:

可以看出,其中多个工具,对于windows server系统均有覆盖。

ODDJOB目录:

支持向如下系统中植入后门代码,可以对抗 avria 和 norton 的检测。

工具包中提供了一个常见反病毒引擎的检测结论。

SWIFT文件夹:

存放一些金融信息系统被攻击的一些信息。部分被入侵的机器信息如下:

下面excel文件表明,方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。

其中一个入侵日志:

对我们的警示:

本次公开的工具包中,包含多个 Windows 漏洞的利用工具,只要 Windows 服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445 和3389 端口。在未来的一段时间内,互联网上利用这些公开的工具进行攻击的情况会比较多,除了提醒用户,发布预警外,需要加强入侵监控和攻击防范。

临时缓解措施:

1、升级系统补丁,确保补丁更新到最新版本。

2、使用防火墙、或者安全组配置安全策略,屏蔽对包括445 、3389 在内的系统端口访问。

参考附录:

Lost in Translation EQGRP Lost in Translation Protecting customers and evaluating risk 方程式又一波大规模 0day 攻击泄漏,微软这次要血崩

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云资讯小编的专栏

腾讯安全反病毒实验室解读“Wannacry”勒索软件

MS17-010 漏洞指的是,攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收...

5300
来自专栏魏艾斯博客www.vpsss.net

腾讯云主机安全(云镜)安装使用教程 免费提供安全防护服务

腾讯云主机安全(云镜)是一款针对云主机安全防护的云产品,通过腾讯的大数据总结为用户提供黑客入侵检测和漏洞风险预警等安全防护服务及多层次全方位的系统防护技术,主要...

532
来自专栏腾讯云安全的专栏

ShadowBrokers 泄漏的美国 NSA 黑客工具包浅析

2274
来自专栏FreeBuf

通过“震网三代”和Siemens PLC 0day漏洞,实现对工控系统的入侵实验

实验环境 渗透环境: OS:Kali Linux 2017.3 工程师站: OS:Windows 7 sp1 x64 IP:192.168.0.152 仿真平台...

3574
来自专栏黑白安全

小心!黑客可利用Windows远程协助漏洞窃取你的敏感文件

一个基本的网络安全建议和常识就是你不要与不信任的人分享你的计算机远程访问权限。但是,不仅限于此,攻击者的套路往往是很深的,如果你认为我们只要不与不信任的人分享计...

1033
来自专栏云鼎实验室的专栏

WannaCry 勒索病毒用户处置指南

2017年5月12日晚,勒索软件 WannaCry 感染事件爆发,全球范围99个国家遭到大规模网络攻击,被攻击者电脑的文件被加密,被要求支付比特币以解密文件。腾...

7.3K0
来自专栏农夫安全

摸金某系统通用上传漏洞

前言 该教务管理系统是一个面向学院各部门以及各层次用户的多模块综合信息管理系,能够满足从学生入学到毕业全过程及教务管理各个环节的管理需要。 ? ? 漏洞介绍 该...

3319
来自专栏云鼎实验室的专栏

ShadowBreaker方程式工具包浅析

今日,臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers在steemit.com博客上提供了相关消息。 本次被公开的工具包大小为117.9M...

3534
来自专栏安恒信息

安全漏洞公告

Red Hat JBoss Portal GateIn Portal不正确URL转义存在多个反射型跨站脚本漏洞发布时间:2013-12-19漏洞编号:BUGT...

32511
来自专栏安恒信息

Linux/Unix中开源应用wget发现严重安全漏洞

在Linux和Unix系统中广泛使用的开源应用wget发现了一个严重安全漏洞,允许攻击者通过FTP创建任意文件和目录,甚至复写整个文件系统。该漏洞是Rapid ...

3215

扫码关注云+社区