ShadowBrokers 泄漏的美国 NSA 黑客工具包浅析

今日,方程式组织工具包再次被公开,方程式(Equation Group)据称是隶属于NSA(美国国家安全局)的一个黑客组织。TheShadowBrokers在steemit.com博客上提供了相关消息。

本次被公开的工具包大小为117.9MB,包含23个黑客工具,其中部分文件显示NSA曾入侵中东SWIFT银行系统,工具包下载链接见文后第二个参考链接。

一、解密后的工具包:

其中Windows目录包括Windows利用工具和相关攻击代码,swift目录中是银行攻击的一些证据,oddjob目录是植入后门等相关文档。

二、Windows 目录:

Windows目录下包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响Windows多个平台。

其中有三个目录较为重要:

A、Exploits: 包含了很多漏洞利用工具,这里摘取一些进行简要介绍:

经过初步梳理,重点关注对win server有影响的几个工具,更多工具展示见参考3。

B、FUZZBUNCH: 是一个类似 MSF的漏洞利用平台工具,Python编写。

C、Specials: ETERNALBLUE:利用SMB漏洞,攻击开放445端口的windows机器。  影响范围如图:

ETERNALCHAMPION:利用SMB漏洞,攻击开放445端口的Windows机器。  影响范围如图:

可以看出,其中多个工具,对于Windows server系统均有覆盖。

三、ODDJOB目录:

支持向如下系统中植入后门代码,可以对抗avira和norton的检测。

工具包中提供了一个常见反病毒引擎的检测结论。

四、SWIFT文件夹: 存放一些金融信息系统被攻击的一些信息。部分被入侵的机器信息如下:

下面excel文件表明,方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。

其中一个入侵日志:

五、对我们的警示:

本次公开的工具包中,包含多个 Windows 漏洞的利用工具,只要Windows服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445和3389端口。在未来的一段时间内,互联网上利用这些公开的工具进行攻击的情况会比较多,除了提醒用户,发布预警外,需要加强入侵监控和攻击防范。

六、临时缓解措施:

1)升级系统补丁,确保补丁更新到最新版本。  2)使用防火墙、或者安全组配置安全策略,屏蔽对包括445、3389在内的系统端口访问。

七、参考链接:

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2017-04-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CSDN技术头条

Docker将会在Windows和MAC平台本地化

对Linux用户来说,Docker一直是一个本地化的应用程序,但是对于Windows和MAC来说并不是。好消息是,Docker马上将要发布两个新的测试版本:Do...

2217
来自专栏祝威廉

其实连Docker公司都把Docker用错啦

好吧,我承认我标题党了。但是这篇内容应该让你从一个新的角度理解Docker的本质是什么。

652
来自专栏搜云库

Docker-17.06.2 环境搭建

Docker 简介 Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在...

1917
来自专栏SDNLAB

新型云基础设施项目Airship 介绍

AT&T正在与SK电信(SKT),Intel和OpenStack基金会合作推出一个名为Airship的新型云开放基础设施项目。Airship的宣传语是“声明式地...

722
来自专栏大魏分享(微信公众号:david-share)

原生KVM虚拟化方案"管理平台"配置步骤(RHV-M Appliance)

浅谈2016年的虚拟化市场 本文正式开始之前,先阐述一个观点,即RHV/RHEV是基于KVM原生的虚拟化解决方案, 为什么这么说呢? 首先,KVM严格意义上讲不...

3494
来自专栏谭伟华的专栏

使用 Docker 部署前端自动化测试的尝试(一)

自动化测试是一个老生常谈的话题,往往应为界面变化太快,测试脚本更新跟不上需求变化而作罢。所以打算引入能自动生成测试脚本的 uirecorder 这一开源工具。并...

9011
来自专栏Python中文社区

基于docker+gunicorn部署sanic项目

最近云服务提供商在打价格战,我在某云上花了很少的钱租了一个月的云服务器: 公网ip是: 116.85.42.182, 以下我以116.85.42.182这个ip...

1022
来自专栏云计算爱好者

简单介绍Docker的架构特性与局限

Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是...

2206
来自专栏技术翻译

Linux容器的发展及其未来趋势

Linux容器是操作系统级虚拟化在单个Linux主机上提供多个独立Linux环境的技术。与虚拟机(VM)不同,容器不运行专用客户操作系统。相反,他们共享主机操作...

2190
来自专栏非著名程序员

Android NFC 技术解析,附 Demo 源码

近期由于项目需求,对 Android NFC 技术进行了一定的了解和深入,整合了一些网络、书籍资料,此文章仅作为自己的学习笔记。 NFC 是 Near Fiel...

2547

扫码关注云+社区