专栏首页云鼎实验室的专栏ShadowBreaker方程式工具包浅析

ShadowBreaker方程式工具包浅析

今日,臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers在steemit.com博客上提供了相关消息。

本次被公开的工具包大小为117.9MB,包含23个黑客工具其中部分文件显示NSA曾入侵中东SWIFT银行系统,工具包下载接见文后参考信息。

解密后的工具包:

其中Windows目录包括Windows利用工具和相关攻击代码,swift目录中是银行攻击的一些证据,oddjob目录是植入后门等相关文档。

Windows 目录:

Windows目录下包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响windows多个平台。

其中有三个目录较为重要:

A、Exploits:

包含了很多漏洞利用工具,这里摘取一些进行简要介绍:

经过初步梳理,重点关注对win server有影响的几个工具,更多工具展示见参考3。

Explodingcan IIS漏洞利用工具,只对Windows2003有影响

Eternalromance SMB 和 NBT漏洞利用工具,影响端口139和445

Emphasismine 通过ICMP漏洞攻击,攻击的默认端口为143

Englishmansdentist 通过SMTP漏洞攻击,默认端口25

Erraticgopher 通过RPC漏洞攻击,端口为445

Eskimoroll 通过kerberos漏洞进行攻击,默认攻击端口88

Eclipsedwing MS08-67漏洞利用工具

Educatedscholar MS09-050漏洞利用工具

Emeraldthread MB和 Netbios 漏洞利用工具,使用445端口和 139端口

Zippybeer SMTP漏洞利用工具,默认端口 445

Eternalsynergy SMB漏洞利用工具,默认端口 445

Esteemaudit RDP漏洞利用工具,默认攻击端口为3389

B、FUZZBUNCH:

是一个类似 MSF的漏洞利用平台工具,python编写。

C、Specials:

ETERNALBLUE:利用SMB漏洞,攻击开放445端口的windows机器。

影响范围如图:

ETERNALCHAMPION:利用SMB漏洞,攻击开放445端口的windows机器。

影响范围如图:

可以看出,其中多个工具,对于windows server系统均有覆盖。

ODDJOB目录:

支持向如下系统中植入后门代码,可以对抗avria和norton的检测。

工具包中提供了一个常见反病毒引擎的检测结论。

SWIFT文件夹:

存放一些金融信息系统被攻击的一些信息。部分被入侵的机器信息如下:

下面excel文件表明,方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。

其中一个入侵日志:

对我们的警示:

本次公开的工具包中,包含多个 Windows 漏洞的利用工具,只要Windows服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445和3389端口。在未来的一段时间内,互联网上利用这些公开的工具进行攻击的情况会比较多,除了提醒用户,发布预警外,需要加强入侵监控和攻击防范。

临时缓解措施:

1)升级系统补丁,确保补丁更新到最新版本。

2)使用防火墙、或者安全组配置安全策略,屏蔽对包括445、3389在内的系统端口访问。

参考附录:

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

https://github.com/x0rz/EQGRP_Lost_in_Translation

https://zhuanlan.zhihu.com/p/26375989

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

本文分享自微信公众号 - 云鼎实验室(YunDingLab),作者:云鼎实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-04-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • ShadowBrokers 方程式工具包浅析

    臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers在steemit.com博客上提供了相关消息。本次被公开的工具包大小为117.9MB,包含...

    云鼎实验室
  • 漏洞情报|Apache Tomcat WebSocket拒绝服务漏洞PoC公开风险通告(CVE-2020-13935)

    近日,腾讯云安全运营中心监测到,Apache Tomcat WebSocket拒绝服务漏洞(漏洞编号:CVE-2020-13935)PoC已公开,Apache...

    云鼎实验室
  • Exploiting Jolokia Agent with Java EE Servers

    0x00 - About Jolokia Jolokia 是一个通过 HTTP 的 JMX 连接器,提供了类 RESTful 的操作方式,可以通过 POST J...

    云鼎实验室
  • ShadowBrokers 方程式工具包浅析

    臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers在steemit.com博客上提供了相关消息。本次被公开的工具包大小为117.9MB,包含...

    云鼎实验室
  • ServiceMesh究竟解决什么问题?

    服务网格(ServiceMesh)这两年异常之火,号称是下一代微服务架构,接下来两个月,准备系统性的写写这个东西,希望能够让大家对最新的架构技术,有个初步的了解...

    Java高级攻城狮
  • 警惕勒索病毒:关闭无用端口,防NSA工具

    Erwin
  • 在Centos7环境下进行搭建postgresql-xl集群环境

    更多参数参考:http://postgres-xc.sourceforge.net/docs/1_1/pgxc-ctl.html

    cn華少
  • Linux下安装Erlang

    試毅-思伟
  • 用例子说明FTP的主动模式和被动模式

    tcp        0      0 192.168.10.7:52160          172.16.11.11:16091          TIME...

    三杯水Plus
  • Shell下制作自解压安装包,实现脚本的简单加密

    一、原理阐述 在 linux 下可以用几个最基本的命令制作一个自解压的程序。其原理是:利用 cat 命令可以将两个文件连起来(用>>追加也能达到同样效果),前一...

    张戈

扫码关注云+社区

领取腾讯云代金券