作者:云鼎實驗室
今日,臭名昭著的方程式組織工具包再次被公開,TheShadowBrokers在steemit.com博客上提供了相關消息。
本次被公開的工具包大小為117.9MB,包含23個黑客工具,其中部分文件顯示NSA曾入侵中東SWIFT銀行系統,工具包下載接見文后參考信息。
解密后的工具包:
其中Windows目錄包括Windows利用工具和相關攻擊代碼,swift目錄中是銀行攻擊的一些證據,oddjob目錄是植入后門等相關文檔。
Windows 目錄:
Windows目錄下包含了各種漏洞利用工具,在exploits中包含了豐富的漏洞利用工具,可影響windows多個平臺。
其中有三個目錄較為重要:
A、Exploits:
包含了很多漏洞利用工具,這里摘取一些進行簡要介紹:
經過初步梳理,重點關注對win server有影響的幾個工具,更多工具展示見參考3。
Explodingcan IIS漏洞利用工具,只對Windows2003有影響
Eternalromance SMB 和 NBT漏洞利用工具,影響端口139和445
Emphasismine 通過IMAP漏洞攻擊,攻擊的默認端口為143
Englishmansdentist 通過SMTP漏洞攻擊,默認端口25
Erraticgopher 通過RPC漏洞攻擊,端口為445
Eskimoroll 通過kerberos漏洞進行攻擊,默認攻擊端口88
Eclipsedwing MS08-67漏洞利用工具
Educatedscholar MS09-050漏洞利用工具
Emeraldthread MB和 Netbios 漏洞利用工具,使用445端口和 139端口
Zippybeer SMTP漏洞利用工具,默認端口 445
Eternalsynergy SMB漏洞利用工具,默認端口 445
Esteemaudit RDP漏洞利用工具,默認攻擊端口為3389B、FUZZBUNCH:
是一個類似 MSF的漏洞利用平臺工具,python編寫。
C、Specials:
ETERNALBLUE:利用SMB漏洞,攻擊開放445端口的windows機器。
影響范圍如圖:
ETERNALCHAMPION:利用SMB漏洞,攻擊開放445端口的windows機器。 影響范圍如圖:
可以看出,其中多個工具,對于windows server系統均有覆蓋。
ODDJOB目錄:
支持向如下系統中植入后門代碼,可以對抗 Avira 和 norton 的檢測。
工具包中提供了一個常見反病毒引擎的檢測結論。
SWIFT文件夾:
存放一些金融信息系統被攻擊的一些信息。部分被入侵的機器信息如下:
下面excel文件表明,方程式組織可能對埃及、迪拜、比利時的銀行有入侵的行為。
其中一個入侵日志:
對我們的警示:
本次公開的工具包中,包含多個 Windows 漏洞的利用工具,只要Windows服務器開了25、88、139、445、3389 等端口之一,就有可能被黑客攻擊,其中影響尤為嚴重的是445和3389端口。在未來的一段時間內,互聯網上利用這些公開的工具進行攻擊的情況會比較多,除了提醒用戶,發布預警外,需要加強入侵監控和攻擊防范。
臨時緩解措施:
1)升級系統補丁,確保補丁更新到最新版本。 2)使用防火墻、或者安全組配置安全策略,屏蔽對包括445、3389在內的系統端口訪問。
參考附錄:
- https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
- https://github.com/x0rz/EQGRP_Lost_in_Translation
- https://zhuanlan.zhihu.com/p/26375989
- https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/279/
暫無評論