特稿 >

行业洞察 >

方程式组织黑客工具包再曝光,曾经瞄准银行黑掉全世界?

方程式组织黑客工具包再曝光,曾经瞄准银行黑掉全世界?

Xtecher综合 丨 行业洞察

16452
63

2017-04-17

赵逸禅

Xtecher特稿作者

关注

北京时间2017年4月14日,Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,可以覆盖全球70% 的Windows 服务器,影响程度非常巨大。除Microsoft Windows以外,受影响的产品还有:IBM Lotus Notes,Mdaemon,EPICHERO Avaya Call Server,Imail,文件也显示NSA同时也将目标瞄准了全球数家使用SWIFT系统的银行机构。


在2016年8月,“Shadow Brokers”的黑客组织声称入侵了方程式黑客组织,并窃取了大量的机密文件,将部分文件公开到了互联网上,被公开的文件包括不少地下黑客工具。这批文件被Shadow Brokers打包成了两部分,一部分是免费提供下载的文件(300MB),另外一部分是以100万比特币(约5亿美元)的价格出售的加密文档,但一直没有拍卖成功。


黑客组织方程式(Equation Group)据称是NSA(美国国家安全局)下属的黑客组织,有安全专家称,有迹象表明方程组与NSA有关联的一名计算机安全专家Claudio Guarnieri 曾是NSA“棱镜门”事件分析小组的成员。


今年4月14日,Shadow Brokers继续公布NSA的绝密数据,包含多个Window 高危漏洞,他们在博客中发布了一份新的117.9 MB的加密文件,博客的标题为”Lost in Translation”,博客中,黑客小组公布了解压密码”Reeeeeeeeeeeeeee”。


安全专家@x0rz已经在GitHub上传了解压后的所有文件,文件中包含23款新的黑客工具。


这些工具被命名为OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar等。


20170415142656_50472.png


文件解压后会包含三个文件夹:Windows, Swift和OddJob。Windows文件夹中包含众多针对旧版Windows操作系统的黑客工具和相关攻击代码,影响多个windows平台。


另一个目录是OddJob目录是植入后门等相关文档,能够运行在Windows Server 2003 Enterprise、Windows XP等专业版的系统上,可以对抗avira和norton的检测。


最值得注意的是,Swift文件夹包含了NSA对SWIFT银行系统发动攻击的相关证据。


SWIFT(Society for Worldwide Interbank FinancialTelecommunications---环球同业银行金融电讯协会),是一个国际银行间非盈利性的国际合作组织,总部设在比利时的布鲁塞尔,同时在荷兰阿姆斯特丹和美国纽约分别设立交换中心(Swifting Center),并为各参加国开设集线中心(National Concentration),为国际金融业务提供快捷、准确、优良的服务。SWIFT运营着世界级的金融电文网络,银行和其他金融机构通过它与同业交换电文(Message)来完成金融交易。除此之外,SWIFT还向金融机构销售软件和服务,其中大部分的用户都在使用SWIFT网络。


泄露的文件中,包含了攻击SWIFT系统的计划和证据,如果泄露的文件准确无误,似乎暗示NSA试图通过入侵SWIFT系统监控银行间的资金往来。入侵SWIFT系统后,NSA就具备了监控和修改国际上银行金融业务的能力,监控的数据可以用来分析恐怖分子洗钱的网络,但是个人的外汇业务也会暴露在NSA的监控程序中。


20170415142756_61068.png

SWIFT文件夹文件清单.png


据路透社报道,SWIFT声称没有证据表明其服务器被访问。斯诺登在2013年曝光的文件就显示NSA 存在对SWIFT 和VISA 的监控,NSA 还建有自己的金融数据库以便进行这些间谍项目。


本次公开的工具包中,包含多个Windows漏洞的利用工具,只要Windows服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445和3389端口。


FOFA系统统计显示,全球对外可能受到影响的超过750万台,中国可能有超过133万受到影响。其中全球约有542万的RDP服务和约有208万的SMB协议服务运行在windows上(仅为分布情况,非实际漏洞影响),其中,中国地区超过101万RDP服务对外开放,SMB协议超过32万。根据白帽汇测试,从windows 2000到Windows2008都受到这工具包中影响,成功率非常之高。另外,内部网络中也大多开启445端口和139端口,也将会成为黑客渗透内网的大杀器。


微软的安全专家做出回应很简单,称入侵工具利用的大部分漏洞实际上已经在上个月的Patch Tuesday更新中修复。


阿里云向Xtecher表示,阿里云在4月15日早上九点半发布了漏洞公告及修补措施,并在控制台发布一键修复工具,同时将持续关注该事件的后续进展。


640.jpg


UCloud告诉Xtecher,4月15号当天通过短信和邮件给用户发送了漏洞预警并给出了修复方案。提醒用户安装补丁包,使用UCloud控制台的外网防火墙临时关闭或过滤135、137、139、445和3389远程桌面服务等受漏洞影响端口的访问。


云计算解决方案提供商浪潮在公众号中宣布了解决方案,虽然部分厂家提出了相关解决方案,但多数都是基于手动对端口进行关闭,或使用防火墙屏蔽,或等待微软相关补丁。目前这些漏洞利用工具完全处于立即可用的公开的状态,个别漏洞还处于0day状态。而浪潮SSR主机安全增强系统解决方案从内核层进行加固,从根本上防御对操作系统的攻击。


640 (1).jpg


业内安全人士对Xtecher称,事后的防御,大家都可以做到,实际上是同一类产品,在产品上操作即可。


国内知名网络安全人士袁哥在社交媒体上发表了言论(已获授权):虽然很多漏洞估计是收购的,利用代码也写得不是很好。最有价值的是这个平台的设计者知道哪些漏洞有价值,形成交叉覆盖。这就如战场的火力网,交叉全覆盖比单一的武器价值大很多。这种覆盖率达到一定级别后,在现实中基本可以做到想入侵谁就入侵谁,这就是指哪打哪和打哪指哪的巨大区别。


此外,有人士分析了源代码,提出了令人深思的问题:发现有些目录不存在,是否是因为还有其他工具没有泄露,NSA在12年就写出了这样的工具,那现在呢?


参考来源:


1.Richard, Lawler. Microsoft says it already patched 'Shadow Brokers' NSA leaks[EB/OL]. http://t.cn/RXfRKdz.


2.Clare, Baldwin, and, Joseph, Menn. Hacker documents show NSA tools for breaching global money transfer system[EB/OL]. http://dwz.cn/5MUWKb.


3.Sphinx. “血雨腥风”将至?方程式组织黑客工具包再曝光,大量针对Windows系统严重0day泄露[EB/OL]. http://www.freebuf.com/news/131994.html.


4.北京白帽汇科技有限公司. ShadowBroker放大招-多种Windows零日利用工具公布[EB/OL]. http://www.baimaohui.net/static_pages/71.


5.腾讯安全联合实验室. 腾讯电脑管家解读 Shadow Brokers泄密事件[EB/OL]. http://slab.qq.com/news/tech/1565.html.

打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

账号登录

重置密码

还没有账号?立即注册>

账号注册

已有账号?立即登录>注册企业会员

重置密码

返回

绑定手机