导语:Shadow Broker刚刚又公布了NSA极其重要的数据,在周五(北京时间临近下班)时候放出的这批数据,包括针对大多数版本Windows系统的强力漏洞利用和黑客工具、黑进全球SWIFT网络内多家银行的代码和证据等。
Shadow Brokers(影子经纪人),过去八个月里出尽风头、将NSA(美国国家安全局)以千兆计的网络攻击武器泄漏到互联网的黑客个体/团伙,刚刚又公布了NSA极其重要的数据。在周五(北京时间临近下班)时候放出的这批数据,包括针对大多数版本Windows系统的强力漏洞利用和黑客工具、黑进全球SWIFT网络内多家银行的代码和证据等。
周五释出的数据,接近300MB大小。Shadow Brokers称数据偷自NSA,里边有可直接使用的多版本Windows系统漏洞利用工具,含Windows 8和2012;还有一个类似Metasploit的攻击框架Fuzzbunch,用于执行具体攻击操作。
加密版本只有不到200MB
审查内容的安全专家表示,这是Shadow Brokers迄今为止公布数据中最具破坏性的漏洞军火库。
“任何下载的人都可以使用这批攻击工具,尤其是其中一些还是零日漏洞,没有补丁,可以直接远程命令执行。”安全专家之一、Hacker House联合创始人Matthew Hickey进一步解释道。
Windows零日漏洞
Hickey发现,泄漏数据中的Windows零日漏洞之一Eternalblue,利用服务器消息块和NetBT协议之中的缺陷,可以在最新的Windows 2008 R2系统上远程命令执行;而另一个被称作Eternalromance的黑客工具,有易操作界面和完美代码,它直接利用TCP协议的139、445端口进行攻击,漏洞成因未知。此次数据中以“eternal”(永恒)开头命名的工具,均利用了Windows桌面和服务器系统的未知漏洞。
显示Eternalromance代码的电脑桌面
Hickey目前记录的工具列表如下:
ETERNALROMANCE — Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)
ENTERNALCHAMPION, ETERNALSYSTEM — Remote exploit up to Windows 8 and 2012
ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012)
EXPLODINGCAN — Remote IIS 6.0 exploit for Windows 2003
EWORKFRENZY — Lotus Domino 6.5.4 and 7.0.2 exploit
ETERNALSYNERGY — Windows 8 and Windows Server 2012
FUZZBUNCH — Exploit Framework (Similar to Metasploit) for the exploits.
黑进银行
本次泄漏数据的另一部分,是可以黑掉银行的攻击代码,特别针对中东地区的银行。根据安全专家、Cloud Volumes联合创始人Matt Suiche的分析,代号“Jeepflea_Market”的代码曾经在2013年黑过中东地区最大SWIFT机构EastNets。EastNets负责监督当地SWIFT网络中的具体交易行为是否有反洗钱等行为。除了特定服务器的详实数据外,泄漏数据还包括专用工具,比如从Oracle数据库提取数据库用户列表、SWIFT消息查询数据的工具。
Suiche称,这些工具可以让NSA黑掉监督具体交易行为的SWIFT机构,以查找和恐怖分子相关的交易。“考虑到SWIFT机构数据本来就少(120),并且很容易黑掉(比如每家银行一个IP),目前到底有多少个已经被黑掉了呢?”
Suiche还发现,有证据显示巴勒斯坦地区的Al Quds发展与投资银行曾经被特别关照过。
除了Windows零日漏洞、黑进银行的攻击代码外,泄漏数据里还包括“Oddjob”软件,这是一种通过HTTP传输控制来入侵电脑的植入工具和后门。
形势愈加严峻
通过持续公布泄漏数据,Shadow Brokers牢牢吸引住美国和世界各地情报部门的关注。在过往几次,他们还公布过可黑掉思科防火墙的零日漏洞。安全公司卡巴斯基的研究人员证实,他们分析过泄漏数据具有方程式组织的独有签名。方程式组织被认为是由NSA赞助的黑客团队,在进行着最先进的黑客行动。今年1月,Shadow Brokers在一次煽动性言论后宣布暂停运转,周五这次披露暗示着他们显然还有更多秘密数据。
Shadow Brokers出现后,NSA在内部严查,至少逮捕了一家被指控偷走NSA黑客工具的供应商。但到现在为止,还没有证据可以将被逮捕人员和Shadow Brokers联系起来。再次披露使形势变得更加严峻,无疑打乱许多政府部门和下属承包商的假日计划。
附本次公布泄漏数据解密版本的地址:https://github.com/misterch0c/shadowbroker