黑客工具包ShadowBrokers淺析

臭名昭著的方程式組織工具包再次被公開，TheShadowBrokers 在 steemit.com博客上提供了相關消息。

本次被公開的工具包大小爲117.9MB，包含23 個黑客工具，其中部分文件顯示 NSA 曾入侵中東 Swift 銀行系統，工具包下載接見文後參考信息。

解密後的工具包：

其中 Windows 目錄包括 Windows 利用工具和相關攻擊代碼，swift 目錄中是銀行攻擊的一些證據，oddjob 目錄是植入後門等相關文檔。

Windows 目錄：

Windows目錄下包含了各類漏洞利用工具，在exploits中包含了豐富的漏洞利用工具，可影響windows多個平臺。

其中有三個目錄較爲重要：

A、Exploits：

包含了不少漏洞利用工具，這裏摘取一些進行簡要介紹：

通過初步梳理，重點關注對win server有影響的幾個工具，更多工具展現見參考3。

• Explodingcan IIS 漏洞利用工具,只對 Windows 2003有影響

• Eternalromance SMB 和 NBT 漏洞利用工具，影響端口139 和445

• Emphasismine 經過 IMAP漏洞攻擊，攻擊的默認端口爲143

• Englishmansdentist 經過 SMTP 漏洞攻擊，默認端口25

• Erraticgopher 經過 RPC 漏洞攻擊，端口爲445

• Eskimoroll 經過 kerberos 漏洞進行攻擊，默認攻擊端口88

• Eclipsedwing MS08-67 漏洞利用工具

• Educatedscholar MS09-050 漏洞利用工具

• Emeraldthread MB 和 Netbios 漏洞利用工具，使用445 端口和139 端口

• Zippybeer SMTP 漏洞利用工具，默認端口445

• Eternalsynergy SMB 漏洞利用工具，默認端口445

• Esteemaudit RDP 漏洞利用工具，默認攻擊端口爲3389

B、FUZZBUNCH：

是一個相似 MSF的漏洞利用平臺工具，Python編寫。

C、Specials：

ETERNALBLUE ：利用 SMB 漏洞，攻擊開放445 端口的 windows 機器。

影響範圍如圖：

ETERNALCHAMPION ：利用SMB漏洞，攻擊開放445端口的windows機器。

影響範圍如圖：

能夠看出，其中多個工具，對於windows server系統均有覆蓋。

ODDJOB目錄：

支持向以下系統中植入後門代碼，能夠對抗 avria 和 norton 的檢測。

工具包中提供了一個常見反病毒引擎的檢測結論。

SWIFT文件夾：

存放一些金融信息系統被攻擊的一些信息。部分被入侵的機器信息以下：

下面excel文件代表，方程式組織可能對埃及、迪拜、比利時的銀行有入侵的行爲。

其中一個入侵日誌：

對咱們的警示：

本次公開的工具包中，包含多個 Windows 漏洞的利用工具，只要 Windows 服務器開了2五、8八、13九、44五、3389 等端口之一，就有可能被黑客攻擊，其中影響尤其嚴重的是445 和3389 端口。在將來的一段時間內，互聯網上利用這些公開的工具進行攻擊的狀況會比較多，除了提醒用戶，發佈預警外，須要增強入侵監控和攻擊防範。

臨時緩解措施：

一、升級系統補丁，確保補丁更新到最新版本。

二、使用防火牆、或者安全組配置安全策略，屏蔽對包括445 、3389 在內的系統端口訪問。

參考附錄：

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
https://github.com/x0rz/EQGRP_Lost_in_Translation
https://zhuanlan.zhihu.com/p/26375989
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

此文已由做者受權騰訊雲技術社區發佈，轉載請註明文章出處