今日,方程式组织工具包再次被公开,方程式(Equation Group)据称是隶属于NSA(美国国家安全局)的一个黑客组织。TheShadowBrokers在steemit.com博客上提供了相关消息。
本次被公开的工具包大小为117.9MB,包含23个黑客工具,其中部分文件显示NSA曾入侵中东SWIFT银行系统,工具包下载链接见文后第二个参考链接。
其中Windows目录包括Windows利用工具和相关攻击代码,swift目录中是银行攻击的一些证据,oddjob目录是植入后门等相关文档。
Windows目录下包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响Windows多个平台。
其中有三个目录较为重要:
A、Exploits: 包含了很多漏洞利用工具,这里摘取一些进行简要介绍:
经过初步梳理,重点关注对win server有影响的几个工具,更多工具展示见参考3。
B、FUZZBUNCH: 是一个类似 MSF的漏洞利用平台工具,Python编写。
C、Specials: ETERNALBLUE:利用SMB漏洞,攻击开放445端口的windows机器。 影响范围如图:
ETERNALCHAMPION:利用SMB漏洞,攻击开放445端口的Windows机器。 影响范围如图:
可以看出,其中多个工具,对于Windows server系统均有覆盖。
三、ODDJOB目录:
支持向如下系统中植入后门代码,可以对抗avira和norton的检测。
工具包中提供了一个常见反病毒引擎的检测结论。
四、SWIFT文件夹: 存放一些金融信息系统被攻击的一些信息。部分被入侵的机器信息如下:
下面excel文件表明,方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。
其中一个入侵日志:
本次公开的工具包中,包含多个 Windows 漏洞的利用工具,只要Windows服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445和3389端口。在未来的一段时间内,互联网上利用这些公开的工具进行攻击的情况会比较多,除了提醒用户,发布预警外,需要加强入侵监控和攻击防范。
1)升级系统补丁,确保补丁更新到最新版本。 2)使用防火墙、或者安全组配置安全策略,屏蔽对包括445、3389在内的系统端口访问。