解密 | 方程式组织如何控制“肉鸡”

刚刚过去的这个周末,影子经纪人(Shadow Brokers)和方程式(Equation Group)赚足了安全圈媒体的眼球。一个名为影子经纪人的组织或个人声称入侵了网络间谍组织方程式,并在社交媒体上公开了从方程式获取的大量网络攻击工具包。而根据各类媒体的报道,方程式组织与美国国家安全局(NSA)有着千丝万缕的联系,本次影子经纪人曝光的部分文件中也显示了NSA曾经入侵中东SWIFT(环球银行金融电信协会)银行系统的证据。

DanderSpritz框架是这次公开的攻击工具包中很有价值的一个。早在斯诺登的棱镜门事件中,就曾经曝光过DanderSpritz一词:该框架是NSA用于全球监控的网络武器,可被用于多种作业场景,如下图中FIREWALK工具用于网络流量采集和注入,其说明中就提到了DanderSpritz:

DanderSpritz不执行攻击或入侵功能,执行攻击和入侵功能主要是通过工具包中的另一个被称为NSA版Metasploit黑客工具包的Fuzzbunch框架实现的。DanderSpritz是成功入侵渗透后管理的平台,简单讲就是用来管理入侵成功后的受控机器,也就是俗称的“肉鸡”。

启动界面看起来很霸气:

DanderSpritz是一个Java外壳的框架,包含控制台和一些配置管理选项。在控制台输入help命令,可以看到能对肉鸡执行众多功能强大的管理命令:

其中eventlogclear、eventlogedit命令可以完全清除系统安全日志。根据安恒安全研究院在Windows Server 2008 R2版本上的测试,上述命令可以删除单条日志,这意味着系统管理员可能完全无法觉察系统已经被入侵。

最主要的是内置了25种Payload,用于生成跟肉鸡建立连接的后门和代理功能模块:

通过Fuzzbunch框架成功入侵目标后,可以利用安装在肉鸡上的远程命令执行工具Doublepulsar的RunDLL命令加载这些Payload,然后通过主动或反向监听等方式建立连接:

到此目标系统已被DanderSpritz完全接管,可以进行各种控制操作:

另外,Fuzzbunch在利用exploit攻击成功后使用RunDLL方式植入后门默认选择的是lsass.exe进程,也可以自定义选择其他的进程:

由于RunDLL只植入在内存中,目标系统是看不到这个模块文件的,不过可以通过线程查看工具看到加载状态:

总体来说,从这次公开的工具框架可以看出,方程式的渗透测试平台已经在多年前就集成化、模块化了。而且手握0day,植入后门并不需要考虑持久化,因为即使机器重启丢失后门连接,攻击者利用这些0day沿着之前入侵的套路重新控制肉鸡并非难事。根据安恒安全研究院的测试结果,本次曝光的大量0day漏洞利用工具利用方式简单且成功率高,可能会对使用 Windows操作系统的用户造成重大影响。

安恒信息再次提醒Windows操作系统用户,及时及时安装微软的补丁,将系统升级至最新版本。对于较早的已不在服务期内的版本(Windows 7之前版本,Windows Server 2008之前版本和Exchange 2010之前版本),请将系统升级到服务期内的版本并及时安装可用的补丁。

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-04-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java进阶干货

Linux,没你想象的那么安全!

上周,一个朋友要帮忙处理一下他在阿里云的Linux服务器,因为他说自己服务器上的文件都不见了,我登录上去查看后,发现了BananaCrypt勒索病毒,该勒索病毒...

44630
来自专栏SAP最佳业务实践

想学FM系列(4)-SAP FM模块:主数据(2)

3.1.1.2 承诺项目主数据维护 ? 1)FMCIA - 单个处理 维护单个的承诺项目。 ? ① image.png ② 直接可记账的:该承诺项目可以在预算生...

71760
来自专栏FreeBuf

WordPress再悲剧:WPcache-Blogger感染事件影响五万WordPress网站

近期WordPress安全事件最近频发,上次出了一个恶意软件SoakSoak,现在又来了一个与其有关的恶意软件感染事件——WPcache-Blogger。这场事...

24070
来自专栏域名资讯

猎赖网启用双拼域名lielai.com

有些域名因为简短好记,所以很多相关米的价值急升,而简短的双拼更是值得收藏,拼音域名在国内市场也备受投资人和终端的喜爱,近日有消息爆出,表示其此前售出...

28900
来自专栏安恒信息

Struts2应用范围有多广?有多严重?哪些网站受到了波及?

1、什么是Struts 2漏洞? Struts是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java...

30370
来自专栏程序员互动联盟

黑客利用Wi-Fi攻击你的七种方法

Wifi热点随处可见,我们好多人进入饭店,茶餐厅等第一句话就是:有没有wifi啊?我们知道公共wifi是非常容易受到攻击的。那么家用wifi呢?下面的文章介绍了...

41060
来自专栏FreeBuf

系统清理工具CCleaner后门事件后续:黑客删除服务器内容,Avast 公布受感染公司名单

Avast 公司的威胁情报小组今天发布了上周 CCleaner 后门事件的新细节。 研究显示,CCleaner 黑客用于存储受感染主机数据的数据库空间不足,因此...

323100
来自专栏Seebug漏洞平台

BlackOasis APT 和利用 0day 漏洞的新目标攻击

原文地址:https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-z...

33450
来自专栏黑白安全

“RedEye”新型勒索病毒软件破坏文件 重写MBR引导

新发现的一件勒索软件主要是为了摧毁受害者的文件而创建的,而不是将其加密并持有赎金。

7610
来自专栏FreeBuf

对“利比亚天蝎”网络间谍活动的分析调查(附样本下载)

利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 ? 概要 8月初...

24670

扫码关注云+社区

领取腾讯云代金券