美國NSA方程式組織(Equation Group)被The Shadow Brokers(影子經紀人)hack出來并免費分享了源碼。
相關工具及源碼可以在以下鏈接下載(免費可解部分):
- https://github.com/wudimahua/Firewall/
- http://www.bjnorthway.com/papers/Archive/eqgrp-free-file.tar.xz
其文件夾相關介紹可以在以下鏈接查看: https://musalbas.com/2016/08/16/equation-group-firewall-operations-catalogue.html
內容簡介
主要涉及的源碼內容是針對防火墻的掃描器、漏洞利用框架等等:
- BLATSTING — 窮舉爆破
- EXPLOITS — 漏洞利用代碼
- OPS — 攻擊操作控制工具包
- SCRIPTS — 腳本資源引用庫
- TOOLS — 輔助工具包(編碼轉換、IP格式轉換、加密解密裝換等等)
其中EXPLOIT文件夾下主要是一些內容:
EGREGIOUSBLUNDER(EGBL) :Fortigate(飛塔)防火墻,利用HTTP cookie溢出漏洞來實現遠程代碼執行。影響60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600, 和 3600A型號。這些防火墻的型號可以通過檢查防火墻HTTP header中的ETag判斷。該漏洞并不是Avast檢查出的 CVE-2006-6493。 點擊查看該漏洞
ELIGIBLEBACHELOR(ELBA) :運行TOS操作系統的天融信防火墻的漏洞利用文件,影響版本3.2.100.010, 3.3.001.050, 3.3.002.021 and 3.3.002.030. 攻擊向量未知,但是有類似于XML的payload,以<?tos length="001e:%8.8x"?> 開頭。
ELIGIBLEBOMBSHELL(ELBO) :天融信防火墻遠程代碼執行,利用了HTTP cookie 命令注入漏洞,影響版本 3.2.100.010.1pbc17iv3 to 3.3.005.066.1 ,通過ETag 驗證檢查版本。
ELIGIBLECANDIDATE (ELCA) :天融信防火墻HTTP cookie 注入導致的命令注入漏洞,影響版本 3.3.005.057.1 to 3.3.010.024.1 。
ELIGIBLECONTESTANT(ELCO):天融信防火墻HTTP POST 參數注入導致的命令執行漏洞,影響版本3.3.005.057.1 to 3.3.010.024.1 。
EPICBANANA(EPBA):影響一系列思科設備,包括 Cisco Adaptive Security Appliance (ASA) 和Cisco Private Internet eXchange (PIX) 設備的提權漏洞,利用了思科設備的默認登錄憑證。影響ASA 版本 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, 832 ,以及PIX 版本 711, 712, 721, 722, 723, 724, 804 。
ESCALATEPLOWMAN(ESPL):WatchGuard 防火墻的未知版本,通過ifconfig命令的代碼執行漏洞進行提權 。
EXTRABACON(EXBA):影響一系列思科設備,包括Cisco Adaptive Security Appliance (ASA) ,影響ASA 版本 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, 844,利用了SNMP的溢出漏洞,需要明確目標的更新時間和軟件版本 。
相關資訊
根據國外媒體的最新爆料,美國國家安全局(NSA)貌似遭到了黑客的攻擊。這個黑客團伙聲稱他們入侵了“Equation Group”(方程式組織),并將他們從該黑客組織的計算機系統中所獲取到的大部分黑客工具全部泄漏在了互聯網上。
這一黑客團伙自稱為“The Shadow Brokers”(影子經紀人),目前他們已經開始在網上逐步公開盜竊所得的數據了。除此之外,該黑客團伙還表示,他們手中目前仍掌握著大量的機密數據,他們計劃在網上舉行一次拍賣會,并將這些機密信息出售給競價最高的競標者。 我知道這一切聽起來的確讓人有些難以置信,但是有些安全研究專家則表示:他們對泄漏數據和黑客工具進行了分析測試,從分析結果來看,此次事件的可信度非常高。 關于Equation Group(方程式組織) 眾所周知,Equation Group這一黑客團伙與美國國家安全局(NSA)的關系一直十分密切。而且外界也普遍認為,Equation Group是美國國家安全局的一個下屬部門。很多安全研究專家表示,Equation Group這一黑客組織所擁有的技術無論是從復雜程度還是從其先進程度來看,都已經超越了目前絕大多數的黑客團體,而且該黑客組織已經活躍了二十多年了。
根據卡巴斯基安全實驗室在2015年所發表的一篇報告,卡巴斯基實驗室的安全研究專家將Equation Group黑客組織形容為世界上最先進的黑客組織。Equation Group還與此前臭名昭著的Regin攻擊、震網病毒(Stuxnet)攻擊,以及Flame惡意軟件平臺有關,而且據說這些攻擊活動還得到了美國政府的資助。盡管各種各樣關于EquationGroup黑客組織的流言滿天飛,但是這些說法從未得到過證實。 值得注意的是,雖然卡巴斯基實驗室在去年曝光了Equation Group,但是安全研究專家們當時也并沒有明確表示該黑客組織在為美國國家安全局工作。由于該組織某些高調的攻擊行動代號與NSA泄密者Edward Snowden(斯諾登)泄漏文件中記載的活動信息十分相似,所以外界才會懷疑該組織與NSA有關聯。
就在兩天以前,“The Shadow Brokers”黑客組織已經將部分泄漏文件公布在了例如Github和Tumblr等網絡平臺上,但是這些文件在本篇報道發稿之前就已經被刪除了。值得注意的是,在這些文件中還包括有NSA用于大規模監控活動的黑客工具在內。該黑客組織表示,如果他們收到了一百萬個比特幣(總價值大約為五億六千八百萬美金),那么他們就會將所有的泄漏文件全部發布出來。 據了解,這伙黑客目前只提供了百分之六十的泄漏數據,剩下百分之四十的數據將會提供給拍賣競價最高的人。該黑客組織表示,這些文件中包含有非常復雜的黑客工具,NSA此前曾使用過這些來進行間諜活動。The Shadow Broker發布的數據壓縮后大小約為256MB,據稱這些文件中還包含有一系列黑客工具,其中最早的黑客工具可以追溯到2010年。雖然外界無法立刻驗證這些數據的有效性,而且也無法確定這些工具是否屬于Equation Group黑客組織,但是從批處理腳本和python腳本的編碼情況來看,這些數據肯定出自某些非常先進的黑客組織之手。 除此之外,在泄漏的文件中不僅包含有C&C服務器的安裝腳本和配置文件,而且還有一些針對美國路由器和防火墻等網絡設備制造商(例如Cisco,Juniper和Fortinet)的黑客工具。
根據目前所獲取到的泄漏文件來看,其中有些黑客工具的名稱與泄密者Edward Snowden(愛德華·斯諾登)泄漏的文檔中記載的名稱是相同的,例如“BANANAGLEE”和“EPICBANANA”。 The Shadow Brokers”的黑客表示:“我們一直都在跟蹤Equation Group的網絡通信流量,并且成功地入侵了Equation Group。我們從他們的網絡系統中發現了大量的網絡武器。你可以從上圖中看到,我們會給大家免費提供部分文件。所以不用懷疑,我們提供的肯定是目前世界上最好的黑客工具。” 雖然這些泄漏文件的真實性目前還未得到證實,但是大部分安全專家都認為其可信度非常高。 Comae Technologies網絡安全公司的創始人Matt Suiche認為:“我還沒有對泄漏的漏洞利用工具進行測試,但是從表面上看,這些工具的合法性是毋庸置疑的。”
Motherboard網站認為,The Shadow Broker這一行為的具體動機目前尚不清楚,但如果這些數據是真實的,那么此次攻擊事件絕對會成為歷史上最嚴重的一次網絡攻擊事件了。 為了競拍剩下百分之四十的泄漏數據,并增加這些信息的可信度,“TheShadow Brokers”還專門發布了一份“邀請函”,并在這份“邀請函”中對這些數據進行了描述。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/23/
暫無評論