前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >解密 | 方程式组织如何控制“肉鸡”

解密 | 方程式组织如何控制“肉鸡”

作者头像
安恒信息
发布2018-04-11 11:33:40
1.3K0
发布2018-04-11 11:33:40
举报
文章被收录于专栏:安恒信息

刚刚过去的这个周末,影子经纪人(Shadow Brokers)和方程式(Equation Group)赚足了安全圈媒体的眼球。一个名为影子经纪人的组织或个人声称入侵了网络间谍组织方程式,并在社交媒体上公开了从方程式获取的大量网络攻击工具包。而根据各类媒体的报道,方程式组织与美国国家安全局(NSA)有着千丝万缕的联系,本次影子经纪人曝光的部分文件中也显示了NSA曾经入侵中东SWIFT(环球银行金融电信协会)银行系统的证据。

DanderSpritz框架是这次公开的攻击工具包中很有价值的一个。早在斯诺登的棱镜门事件中,就曾经曝光过DanderSpritz一词:该框架是NSA用于全球监控的网络武器,可被用于多种作业场景,如下图中FIREWALK工具用于网络流量采集和注入,其说明中就提到了DanderSpritz:

DanderSpritz不执行攻击或入侵功能,执行攻击和入侵功能主要是通过工具包中的另一个被称为NSA版Metasploit黑客工具包的Fuzzbunch框架实现的。DanderSpritz是成功入侵渗透后管理的平台,简单讲就是用来管理入侵成功后的受控机器,也就是俗称的“肉鸡”。

启动界面看起来很霸气:

DanderSpritz是一个Java外壳的框架,包含控制台和一些配置管理选项。在控制台输入help命令,可以看到能对肉鸡执行众多功能强大的管理命令:

其中eventlogclear、eventlogedit命令可以完全清除系统安全日志。根据安恒安全研究院在Windows Server 2008 R2版本上的测试,上述命令可以删除单条日志,这意味着系统管理员可能完全无法觉察系统已经被入侵。

最主要的是内置了25种Payload,用于生成跟肉鸡建立连接的后门和代理功能模块:

通过Fuzzbunch框架成功入侵目标后,可以利用安装在肉鸡上的远程命令执行工具Doublepulsar的RunDLL命令加载这些Payload,然后通过主动或反向监听等方式建立连接:

到此目标系统已被DanderSpritz完全接管,可以进行各种控制操作:

另外,Fuzzbunch在利用exploit攻击成功后使用RunDLL方式植入后门默认选择的是lsass.exe进程,也可以自定义选择其他的进程:

由于RunDLL只植入在内存中,目标系统是看不到这个模块文件的,不过可以通过线程查看工具看到加载状态:

总体来说,从这次公开的工具框架可以看出,方程式的渗透测试平台已经在多年前就集成化、模块化了。而且手握0day,植入后门并不需要考虑持久化,因为即使机器重启丢失后门连接,攻击者利用这些0day沿着之前入侵的套路重新控制肉鸡并非难事。根据安恒安全研究院的测试结果,本次曝光的大量0day漏洞利用工具利用方式简单且成功率高,可能会对使用 Windows操作系统的用户造成重大影响。

安恒信息再次提醒Windows操作系统用户,及时及时安装微软的补丁,将系统升级至最新版本。对于较早的已不在服务期内的版本(Windows 7之前版本,Windows Server 2008之前版本和Exchange 2010之前版本),请将系统升级到服务期内的版本并及时安装可用的补丁。

- END -

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-04-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
网站渗透测试
网站渗透测试(Website Penetration Test,WPT)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点,帮助管理者知道自己网络所面临的问题,同时提供安全加固意见帮助客户提升系统的安全性。腾讯云网站渗透测试由腾讯安全实验室安全专家进行,我们提供黑盒、白盒、灰盒多种测试方案,更全面更深入的发现客户的潜在风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档