安全快讯
首页 > 新闻报道 > 安全快讯> 正文

“血雨腥风”将至?方程式组织黑客工具包再曝光,大量针对Windows系统严重0day泄露

又公开了一波NSA黑客工具,可供下载;Word曝0day漏洞,打开文档就自动安装恶意程序;iOS 10.3.1高危WiFi芯片漏洞.

作者:Sphinx来源:Freebuf|2017-04-15 12:47:24

上周末,Shadow Brokers公布了一批美国国家安全局所使用的黑客工具,而这周我们又迎来了Shadow Brokers的“每周推送”,新公布的文件能够远程攻破早期版本的Windows系统,文件也显示NSA同时也将目标瞄准了全球数家使用SWIFT系统的银行机构。

去年8月份Shadow Brokers在网上放出方程式组织的入侵工具,这个“方程式组织”隶属于NSA旗下。当时Shadow Brokers将工具打包成了2部分,其中一部分300MB提供免费下载,另外一部分加密文档则以100万比特币的价格出售,可能是100万比特币的价格过于高昂导致无人问津,上周Shadow Brokers主动公布了这份300MB文件的解压密码。人们发现文件中包含Solaris操作系统远程root 0day和NSA采用TOAST框架来清除Unix日志的情况。

现在Shadow Brokers小组又在博客中发布了一份新的117.9 MB的加密文件,博客的标题为”Lost in Translation”,博客中,黑客小组公布了解压密码”Reeeeeeeeeeeeeee”。

安全专家@x0rz已经在GitHub上传了解压后的所有文件,文件中包含23款新的黑客工具。

这些工具被命名为OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar等。

文件概览

解压后的文件包含三个文件夹:Windows, Swift和OddJob。

Windows文件夹中包含众多针对旧版Windows操作系统的黑客工具,影响的范围包括Windows XP和Server 2003。

“ETERNALBLUE是一个能够通过SMB和NBT影响最新版本Windows 2008 R2 SERVER的RCE 0day漏洞!”一位名叫Hacker Fantastic的安全研究人员称。

另一个目录是OddJob,OddJob能够运行在Windows Server 2003 Enterprise到Windows XP专业版的系统上。文件夹中包含一个基于Windows的植入软件并且包含一些配置文件和payload。目前关于这个植入软件的信息比较少。

不过,安全人员使用在线扫描服务VirusTotal后发现,这些Windows exp能够绕过所有主流杀毒软件。安全架构师Kevin Beaumont通过Twitter证实,这些工具之前没有被发现过。

安全研究员x0rz在twitter上表示,这次泄露的文件中只需要一些0day就能够“黑掉全世界”了。

这次泄露的文件中最值得注意的就是一个名为SWIFT的文件夹,其中包含了NSA对SWIFT银行系统发动攻击的相关证据。

SWIFT(全球银行间电信协会)是一个全球性的金融信息系统,每天全球数千家银行和组织都通过这个系统进行转账,转账的数额高达数十亿美元。

SWIFT文件夹包含EastNets的一些PPT文档、相关的证据、一些登录凭证和内部架构,EastNets是中东最大的SWIFT服务机构之一。

“SWIFT服务局在涉及SWIFT交易和信息时,相当于银行的‘云’;银行的交易由SWIFT服务局通过Oracle数据库和SWIFT软件进行托管和管理。”安全研究员Matt Suiche在一篇博文中解释道。

文件夹中包含了一个SQL脚本,用以从Oracle数据库中查找信息如数据库用户和SWIFT信息。

除此之外,文件夹中还包含了一些Excel文件,文件表明方程式组织已经攻击并且成功进入了世界上的很多银行,大部分的银行都位于阿联酋、科威特、卡塔尔、巴勒斯坦和也门。

“巴勒斯坦银行的SWIFT主机运行着Windows 2008 R2系统。因此NSA使用FUZZBUNCH成功入侵。”

不过,EastNets随后发表声明,否认服务局被入侵,并称攻击的相关报道“完全是假的、毫无根据的”。EastNets网络内部安全小组全面检查了服务器,没有任何黑客入侵或者漏洞迹象。

“EastNets服务局运行在一个单独的安全网络上,无法通过公共网络访问。”

目前研究人员发现的exp包括:

    ETERNALROMANCE:一款远程提权漏洞(SYSTEM权限),针对的系统包含Windows XP到Windows 2008,通过TCP端口445进行利用
    ENTERNALCHAMPION, ETERNALSYSTEM:针对Windows 8 and 2012的远程利用
    ETERNALBLUE:针对Windows XP to Windows 2012的SMB和NBT
    EXPLODINGCAN:针对Windows 2003 IIS 6.0远程利用
    EWORKFRENZY:针对Lotus Domino 6.5.4和7.0.2
    ETERNALSYNERGY:针对Windows 8和Windows Server 2012
    FUZZBUNCH:一款类似Metasploit的Exploit框架

目前,安全研究人员们都在对相关文件进行深度的分析,之后也会有更多详情爆光,FreeBuf也会时刻关注最新进展

修复建议

此次严重0day漏洞主要影响SMB和RDP服务,以下内容仅为临时处置方案:

在微软发布官方补丁之前,建议临时关闭SMB服务,可参考这里。

PS C:\WINDOWS\system32> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
EnableSMB1Protocol EnableSMB2Protocol
------------------ ------------------
              True               True
PS C:\WINDOWS\system32> Set-SmbServerConfiguration -EnableSMB1Protocol $false
PS C:\WINDOWS\system32> Set-SmbServerConfiguration -EnableSMB2Protocol $false
PS C:\WINDOWS\system32> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
EnableSMB1Protocol EnableSMB2Protocol
------------------ ------------------
             False              False

建议所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 ,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少关闭智能卡登录功能。

相关资源

GitHub:https://github.com/x0rz/EQGRP_Lost_in_Translation

网盘下载地址:https://yadi.sk/d/NJqzpqo_3GxZA4   

【责任编辑:Sphinx 】

分享:

安全快讯+更多

多少次,她说是在工作,但是诡异的第六感告诉我们,她在撒谎...
安识科技,是一家专注于账号安全、企业风险评估的技术型企业。旗下拥有基于云+端的自研产品多因素令牌、基于多重检测引擎的伏特漏洞扫描云平台等!
近日,国家信息安全漏洞共享平台(CNVD)收录了CNVD白帽子(ID:ayound)报送的Jackson框架enableDefaultTyping方法反序列化漏洞(CNVD-2017-04483)。
又公开了一波NSA黑客工具,可供下载;Word曝0day漏洞,打开文档就自动安装恶意程序;iOS 10.3.1高危WiFi芯片漏洞.
由上海GRCC公司主办,美国AutoHarvest协会、上海市信息服务业行业协会协办,由美国新思科技(Synopsys, Inc)、Green Hills Software, Inc.等联合赞助的2017 第二届中国汽车网络信息安全峰会于2月23日-24日在上海浦东顺利召开。