双色球彩民乐预测 今晚双色球预测最准确号码预测 双色球开奖玩法说明 双色球中奖图片恶搞 双色球精准预测6十1玉玲珑 微信可以购买双色球吗 双色球走势图表近50期 双色球中奖方法 双色球开奖结果走势图全图 双色球连号组数怎么看 双色球开奖查询表 双色球选号技巧 双色球专家杀号360 双色球预测最准确专家 程远双色球预测分析

¡°血雨腥风¡±将至£¿方程式组织黑客工具包再曝光£¬大量针对Windows系统严重0day泄露

Sphinx 2017-04-15 12:47:24

上周末£¬Shadow Brokers公布了一批美国国家安全局所使用的黑客工具£¬而这周我们又迎来了Shadow Brokers的“每周推送”£¬新公布的文件能够远程攻破早期版本的Windows系统£¬文件也显示NSA同时也将目标瞄准了全球数家使用SWIFT系统的银行机构¡£

去年8月份Shadow Brokers在网上放出方程式组织的入侵工具£¬这个“方程式组织”隶属于NSA旗下¡£当时Shadow Brokers将工具打包成了2部分£¬其中一部分300MB提供免?#20005;?#36733;£¬另外一部分?#29992;?#25991;档则以100万比特币的价格出售£¬可能是100万比特币的价格过于高昂导致无人?#24335;}?#19978;周Shadow Brokers主动公布了这份300MB文件的解压密码¡£人们发现文件中包含Solaris操作系统远程root 0day和NSA采用TOAST框架来清除Unix日志的情况¡£

现在Shadow Brokers小组又在博客中发布了一份新的117.9 MB的?#29992;?#25991;件£¬博客的标题为”Lost in Translation”£¬博客中£¬黑客小组公布了解压密码”Reeeeeeeeeeeeeee”¡£

安全专家@x0rz已经在GitHub上传了解压后的所有文件£¬文件中包含23款新的黑客工具¡£

这些工具被命名为OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar等¡£

文件概览

解压后的文件包含三个文件夹£ºWindows, Swift和OddJob¡£

Windows文件夹中包含众多针对旧版Windows操作系统的黑客工具£¬影响的范围包括Windows XP和Server 2003¡£

“ETERNALBLUE是一个能够通过SMB和NBT影响最新版本Windows 2008 R2 SERVER的RCE 0day漏洞£¡”一位名叫Hacker Fantastic的安全研究人员称¡£

另一个目录是OddJob£¬OddJob能够运行在Windows Server 2003 Enterprise到Windows XP专业版的系统上¡£文件夹中包含一个基于Windows的植入软件并且包含一些配置文件和payload¡£目前关于这个植入软件的信息比较少¡£

不过£¬安全人员使用在线扫描服务VirusTotal后发现£¬这些Windows exp能够绕过所有主流杀毒软件¡£安全架构师Kevin Beaumont通过Twitter证实£¬这些工具之前没有被发现过¡£

安全研究员x0rz在twitter上表示£¬这次泄露的文件中只需要一些0day就能够“黑掉全世界”了¡£

这次泄露的文件中最?#26723;?#27880;意的就是一个名为SWIFT的文件夹£¬其中包含了NSA对SWIFT银行系统发动攻击的相关证据¡£

SWIFT£¨全球银行间电信协会£©是一个全球性的金融信息系统£¬每天全球数千家银行和组织都通过这个系统进行转账£¬转账的数额高达数十亿美元¡£

SWIFT文件夹包含EastNets的一些PPT文档¡¢相关的证据¡¢一些登录?#23616;?#21644;内部架构£¬EastNets?#20405;?#19996;最大的SWIFT服务机构之一¡£

“SWIFT服务局在涉及SWIFT交易和信息时£¬相当于银行的‘云’;银行的交易由SWIFT服务局通过Oracle数据库和SWIFT软件进行?#27844;?#21644;管理¡£”安全研究员Matt Suiche在一篇博文中解释道¡£

文件夹中包含了一个SQL脚本£¬用以从Oracle数据库中查找信息如数据库用户和SWIFT信息¡£

除此之外£¬文件夹中还包含了一些Excel文件£¬文件表明方程式组织已经攻击并?#39029;?#21151;进入了世界?#31995;?#24456;多银行£¬大部分的银行都位于阿联酋¡¢科威特¡¢卡塔尔¡¢巴?#36134;?#22374;和也门¡£

“巴?#36134;?#22374;银行的SWIFT主机运行着Windows 2008 R2系统¡£因此NSA使用FUZZBUNCH成功入侵¡£”

不过£¬EastNets随后发表声明£¬否认服务局被入侵£¬并称攻击的相关报道“完全是假的¡¢毫无根据的”¡£EastNets网络内部安全小组全面检查了服务器£¬没?#33125;?#20309;黑客入侵或者漏洞迹象¡£

“EastNets服务局运行在一个单独的安全网络上£¬无法通过公共网络访问¡£”

目前研究人员发现的exp包括£º

    ETERNALROMANCE£º一款远程提权漏洞(SYSTEM权限)£¬针对的系统包含Windows XP到Windows 2008£¬通过TCP端口445进行利用
    ENTERNALCHAMPION, ETERNALSYSTEM£º针对Windows 8 and 2012的远程利用
    ETERNALBLUE£º针对Windows XP to Windows 2012的SMB和NBT
    EXPLODINGCAN£º针对Windows 2003 IIS 6.0远程利用
    EWORKFRENZY£º针对Lotus Domino 6.5.4和7.0.2
    ETERNALSYNERGY£º针对Windows 8和Windows Server 2012
    FUZZBUNCH£º一款类似Metasploit的Exploit框架

目前£¬安全研究人员们都在对相关文件进行深度的分析£¬之后也会有更多详情爆光£¬FreeBuf也会时刻关注最新进展

修复建议

此次严重0day漏洞主要影响SMB和RDP服务£¬以下内容仅为临时处置方案£º

在微软发布官方补丁之前£¬建议临时关闭SMB服务£¬可参考这里¡£

PS C:\WINDOWS\system32> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
EnableSMB1Protocol EnableSMB2Protocol
------------------ ------------------
              True               True
PS C:\WINDOWS\system32> Set-SmbServerConfiguration -EnableSMB1Protocol $false
PS C:\WINDOWS\system32> Set-SmbServerConfiguration -EnableSMB2Protocol $false
PS C:\WINDOWS\system32> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
EnableSMB1Protocol EnableSMB2Protocol
------------------ ------------------
             False              False

建议所有 Windows 服务器¡¢个人电脑£¬包括 XP/2003/Win7/Win8£¬Win 10 £¬全部使用防火墙过滤/关闭 137¡¢139¡¢445端口£»对于 3389 远程登录£¬如果不想关闭的话£¬至少关闭智能卡登录功能¡£

相关资源

GitHub£ºhttps://github.com/x0rz/EQGRP_Lost_in_Translation

网盘下载地址£ºhttps://yadi.sk/d/NJqzpqo_3GxZA4   



Ë«É«Çò°ÉÌù
双色球彩民乐预测 今晚双色球预测最准确号码预测 双色球开奖玩法说明 双色球中奖图片恶搞 双色球精准预测6十1玉玲珑 微信可以购买双色球吗 双色球走势图表近50期 双色球中奖方法 双色球开奖结果走势图全图 双色球连号组数怎么看 双色球开奖查询表 双色球选号技巧 双色球专家杀号360 双色球预测最准确专家 程远双色球预测分析