【突发新闻】“血雨腥风”将至?方程式组织黑客工具包再曝光,大量针对Windows系统严重0day泄露

上周末,Shadow Brokers公布了一批美国国家安全局所使用的黑客工具,而这周我们又迎来了Shadow Brokers的“每周武器推送”,新公布的文件能够远程攻破Windows系统,文件也显示NSA同时也将目标瞄准了全球数家使用SWIFT系统的银行机构。

去年8月份Shadow Brokers在网上放出方程式组织的入侵工具,这个“方程式组织”隶属于NSA旗下。当时Shadow Brokers将工具打包成了2部分,其中一部分300MB提供免费下载,另外一部分加密文档则以100万比特币的价格出售,可能是100万比特币的价格过于高昂导致无人问津,上周Shadow Brokers主动公布了这份300MB文件的解压密码。人们发现文件中包含Solaris操作系统远程root 0day和NSA采用TOAST框架来清除Unix日志的情况。

现在Shadow Brokers小组又在博客中发布了一份新的117.9 MB的加密文件,博客的标题为”Lost in Translation”,博客中,黑客小组公布了解压密码”Reeeeeeeeeeeeeee”。

安全专家@x0rz已经在GitHub上传了解压后的所有文件,文件中包含23款新的黑客工具。

这些工具被命名为OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar等。

文件概览

解压后的文件包含三个文件夹:Windows, Swift和OddJob。

Windows文件夹中包含众多针对旧版Windows操作系统的黑客工具,影响的范围包括Windows XP和Server 2003。

“ETERNALBLUE是一个能够通过SMB和NBT影响最新版本Windows 2008 R2 SERVER的RCE 0day漏洞!”一位名叫Hacker Fantastic的安全研究人员称

另一个目录是OddJob,OddJob能够运行在Windows Server 2003 Enterprise到Windows XP专业版的系统上。文件夹中包含一个基于Windows的植入软件并且包含一些配置文件和payload。目前关于这个植入软件的信息比较少。

不过,安全人员使用在线扫描服务VirusTotal后发现,这些Windows exp能够绕过所有主流杀毒软件。安全架构师Kevin Beaumont通过Twitter证实,这些工具之前没有被发现过。

安全研究员x0rz在twitter上表示,这次泄露的文件中只需要一些0day就能够“黑掉全世界”了。

这次泄露的文件中最值得注意的就是一个名为SWIFT的文件夹,其中包含了NSA对SWIFT银行系统发动攻击的相关证据。

SWIFT(全球银行间电信协会)是一个全球性的金融信息系统,每天全球数千家银行和组织都通过这个系统进行转账,转账的数额高达数十亿美元。

SWIFT文件夹包含EastNets的一些PPT文档、相关的证据、一些登录凭证和内部架构,EastNets是中东最大的SWIFT服务机构之一。

“SWIFT服务局在涉及SWIFT交易和信息时,相当于银行的‘云’;银行的交易由SWIFT服务局通过Oracle数据库和SWIFT软件进行托管和管理。”安全研究员Matt Suiche在一篇博文中解释道。

文件夹中包含了一个SQL脚本,用以从Oracle数据库中查找信息如数据库用户和SWIFT信息。

除此之外,文件夹中还包含了一些Excel文件,文件表明方程式组织已经攻击并且成功进入了世界上的很多银行,大部分的银行都位于阿联酋、科威特、卡塔尔、巴勒斯坦和也门。

“巴勒斯坦银行的SWIFT主机运行着Windows 2008 R2系统。因此NSA使用FUZZBUNCH成功入侵。”

不过,EastNets随后发表声明,否认服务局被入侵,并称攻击的相关报道“完全是假的、毫无根据的”。EastNets网络内部安全小组全面检查了服务器,没有任何黑客入侵或者漏洞迹象。

“EastNets服务局运行在一个单独的安全网络上,无法通过公共网络访问。”

目前研究人员发现的exp包括:

ETERNALROMANCE:一款远程提权漏洞(SYSTEM权限),针对的系统包含Windows XP到Windows 2008,通过TCP端口445进行利用 ENTERNALCHAMPION, ETERNALSYSTEM:针对Windows 8 and 2012的远程利用 ETERNALBLUE:针对Windows XP to Windows 2012的SMB和NBT EXPLODINGCAN:针对Windows 2003 IIS 6.0远程利用 EWORKFRENZY:针对Lotus Domino 6.5.4和7.0.2 ETERNALSYNERGY:针对Windows 8和Windows Server 2012 FUZZBUNCH:一款类似Metasploit的Exploit框架

目前,安全研究人员们都在对相关文件进行深度的分析,之后也会有更多详情爆光,FreeBuf也会时刻关注最新进展。

修复建议

此次严重0day漏洞主要影响SMB和RDP服务,以下内容仅为临时处置方案:

在微软发布官方补丁之前,建议临时关闭SMB服务,可参考这里

PS C:\WINDOWS\system32> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

EnableSMB1Protocol EnableSMB2Protocol —————— —————— True True

PS C:\WINDOWS\system32> Set-SmbServerConfiguration -EnableSMB1Protocol $false PS C:\WINDOWS\system32> Set-SmbServerConfiguration -EnableSMB2Protocol $false PS C:\WINDOWS\system32> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

EnableSMB1Protocol EnableSMB2Protocol —————— —————— False False

建议所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 ,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少关闭智能卡登录功能。

相关资源

GitHub:https://github.com/x0rz/EQGRP_Lost_in_Translation

网盘下载地址:https://yadi.sk/d/NJqzpqo_3GxZA4

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

SYNPROXY:最廉价的抗DoS攻击方案

对于防御Dos攻击来说,我这辈子都不一定能见到完美的解决方案。虽然,有成吨的商用防火墙,可以有效的防御Dos攻击,但是他们都太贵了。作为一个学术型人才,我倾向于...

32180
来自专栏FreeBuf

基于ArduinoLeonardo板子的BadUSB攻击实战

前言 在Freebuf上许多同学已经对HID攻击谈了自己的看法,如维克斯同学的《利用Arduino快速制作Teensy BadUSB》无论从科普还是实践都给我们...

41370
来自专栏二次元

萌音云笔记平台

另外,由于博主剩下的时间不多了,很多计划中的功能便割舍了.....无奈╮(╯▽╰)╭ 好吧,一般我不喜欢介绍项目功能,你们自个发掘吧! 这可能是今年...

50910
来自专栏信安之路

打造属于自己的 Wi-Fi “DOS” 攻击工具——Wi-Fi_deauther

一块不起眼的板子,可能在一些人眼中他就没有利用价值,而另一些人却看到了不一样的板子,当我们赋予了他新的生命力,他就会焕然一新,工具的价值取决于人,当你赋予了他什...

25320
来自专栏CIT极客

奇巧淫技丨校园“天翼校园宽带”破解,配置无线路由器上网!

3.1K70
来自专栏云技术分享圈

高防服务器究竟能防御哪些攻击?

基于DDoS比较广泛,很多机房都会针对DDoS攻击进行,因此,很多企业会选择高防服务器来进行抵御恶意攻击。

32300
来自专栏企鹅号快讯

继震网、乌克兰断网后 又一计算机病毒来袭!

不知道大家是否还记得震网Stuxnet以及2016年底导致乌克兰电力系统瘫痪的BlackEnergy,这两种病毒作为破坏工业流程的计算机病毒,可谓是一鸣惊人,让...

271100
来自专栏玄魂工作室

方程式最新漏洞工具推送

Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个精美的 北京时间 2017 年 4 月 14 日晚,“Shadow Brokers...

34270
来自专栏北京马哥教育

记录一次被服务器电源模块坑成狗的案例

事由 今天开始,逐步把硬件运维过程中遇到的坑整理成公众号文章,以便踩到坑的人共勉,也给还没踩到坑的人一个提醒。至于这款电源模块,反正我已经被这款电源模块(这里...

36050
来自专栏不想当开发的产品不是好测试

fiddler mock ==> AutoResponder

背景 做过测试的同学,肯定都听过fiddler的大名,抓包工具,app抓包 下载传送门(https://www.telerik.com/download/fid...

32660

扫码关注云+社区

领取腾讯云代金券