Equation Group泄露文件分析

*本文原创作者:白泽安全团队,本文属FreeBuf原创奖励计划,未经许可禁止转载

从这几天网上公开的信息和材料分析,美国的NSA很可能已经被黑。

一个名为“The ShadowBrokers”的黑客组织声称他们黑进了方程式黑客组织(Equation Group)–一个据称与美国情报机构国家安全局(NSA)有关系的网络攻击组织,并下载了他们大量的攻击工具(包括恶意软件、私有的攻击框架及其它攻击工具)。

上周末它们在网上公布了部分的资料,并发起了一次拍卖,声明在收到100万个比特币(当前价值约为5.6亿刀)后将公布剩余的资料。许多人员从对已公开资料的分析判断,The Shadow Brokers在网上公布的资料具有比较高的真实性。

文件下载地址:https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU

下载并解压缩文件后,其中有两个重要的文件,“eqgrp-free-file.tar.xz.gpg“和”eqgrp-auction-file.tar.xz.gpg“。

两个文件都被使用GPG加密算法加密了,第一个根据提供的密码可以被解密出来,第二个要等拍卖结束后他们才会将解密密钥发给最高竞标者。

他们描述说第二个加密文件包含了更有价值的内容。(其他几个文件为签名校验,可自行校验)

可使用支持GPG算法的工具解密“eqgrp-free-file.tar.xz.gpg“文件,工具下载链接:https://files.gpg4win.org/gpg4win-2.3.2.exe,解密密码:theequationgroup。

解密并解压缩“eqgrp-free-file.tar.xz.gpg“文件后,可以看到里面有个Firewall的文件夹。从文件夹的名称可以得出目前公布的资料应该都是针对防火墙设备的。

分析各文件夹名称及内容,各自对应的信息如下所示:

l OPS –攻击操作控制工具包; l BANANAGLEE– Cisco & Juniper Devices; l BARGLEE–Juniper Netscreen Devices; l BLATSTING –穷举爆破; l BUZZDIRECTION–远控脚本,此文件夹内含两个相同功能、不同版本的脚本; l EXPLOITS–各目标系统漏洞的利用代码; l SCRIPTS– 攻击脚本资源引用库; l TOOLS– 辅助工具包(编码转换、IP格式转换、加密解密装换等等); l TURBO–一些不同版本的二进制文件。

写个脚本把目录下的所有文件遍历下,列出各文件创建时间,排序下可以判断最早的文件创建于2009年,最晚的创建于2013年,且2013年创建的文件最多。

在BANANAGLEE/Install/SCP/文件夹下,可以看到很多asa开头的文件,基本可以判断这些型号的CISCO防火墙均受影响。

同样,在BANANAGLEE及BARGLEE文件夹下,还可以找到针对其他厂商的防火墙文件。

在各Install文件夹下,都有一个LP文件夹,里面都是针对各防火墙型号的攻击脚本,有pl、py、sh和其他可执行文件几种类型。从执行脚本时给出的提示可以大概感受到脚本的厉害,而具体的利用方法还需要进一步研究。

在EXPLOITS文件夹中,可以看到有以下子文件夹:

从目前已知的分析结果来看,各子文件夹对应的防火墙信息如下:(天融信也在其中)

l   EGBL = EGREGIOUS BLUNDER (Fortigate Firewall + HTTPD exploit (apparently 2006 CVE )

各子文件夹内都是具体的利用脚本,里面说明了各脚本支持的攻击目标版本。而所有的攻击手法和利用方法,都还需进一步研究。

最后,在SCRIPTS文件夹下,有个tunnel.py的文件,里面有段代码图,很好的描述了tunnel攻击的流程:穿透防火墙,直达内网目标。(从截图的最后一行注释来看,难道高级模式还没完成?而其代码部分确实是与simple模式是相同的。)

根据最新消息,Cisco已经确认了泄露文件中的一个SNMP 0day漏洞,利用该漏洞可重载系统或远程执行命令,但目前仍未发布修复补丁。

而Fortinet也表明低于4.x版本的防火墙也受The Shadow Brokers所泄露漏洞的影响,建议用户升级至5.x版本。

以上,从目前已知的情况来看,如果此次公布的资料都是真的(可信度极高),这又将是一次严重的安全事件,媲美甚至将超过去年发生的Hacking Team事件的影响。

包括美国的思科、Juniper、Fortinet及中国的天融信等公司在内的众多路由器和防火墙设备都将受到安全威胁。而具体的影响目前还无法评估,我们将继续深入跟踪此事件的进展和影响。

*本文原创作者:白泽安全团队,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-08-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

CODESYS WebVisu产品出现严重漏洞,影响100多款ICS系统

根据外媒 Securitweek 报道,Istury IOT 的朱文哲(音)发现 3S-Smart Software Solutions 的 CODESYS W...

27450
来自专栏机器人网

PLC使用过程中的经验和技巧

随着社会的发展,plc可编程序控制器在工业生产中得到了广泛的使用,但是其维护检修方法和技巧,很多工程师都不得法,下面为您介绍PLC使用过程的经验和技巧。 1、P...

36170
来自专栏FreeBuf

地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全...

234100
来自专栏FreeBuf

深度剖析幽灵电子书 | 一双窥视安全人员的无形之眼

0x01 事件经过 2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为“网络安全宝典.chm”的电子书供大家下载,瑞星网络安全工程师Bfi...

20870
来自专栏FreeBuf

这个APT攻击与东南亚和中国南海问题相关?

最近,一个与东南亚和中国南海问题相关的APT攻击被发现,该APT攻击以包括美国在内的各国政府和公司为目标 。经安全专家分析,该APT攻击所使用的全部工具代码都是...

23070
来自专栏安恒信息

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

日前,安恒信息在某政府机构网络中部署的APT产品监控到了多次“CVE-2014-6271 bash远程命令执行漏洞”告警,攻击源来自意大利、台北、奥地利、挪威、...

38370
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–售前活动(920)-2询价、报价

一、 VA11询价 客户询问某一产品的价格。将由销售代表使用建议的价格在系统中创建询价。此价格必须通过负责经理审批。之后该价格将成为已批准状态,并且可以将其作为...

50050
来自专栏机器人网

【干货】低压电气元件全面解析

1 隔离开关 隔离开关:(我们所说的隔离开关,一般指的是高压隔离开关,即额定电压在1kv及其以上的隔离开关)高压开关电器中使用最多的一种电器,在电路中起隔离作用...

353130
来自专栏信安之路

macOS 恶意软件分析过程

Hacker 取得了我们系统权限后通常会做那些事情?植入 shell、恶意软件、留持久化的后门。在当下的 APT 事件中,远控木马扮演着一个重要的角色,这些木马...

13600
来自专栏安恒信息

2014网络安全APT攻击专题分析

1.警惕利用Bash漏洞的IRC-BOT 什么是Bash安全漏洞 继2014年4月的“Openssl心脏流血”漏洞之后,另一个重大互联网威胁于2014年9月24...

34260

扫码关注云+社区

领取腾讯云代金券