方程式黑客工具再次流出 国内企业将受威胁!

2017-04-19   

上周五晚上,Shadow Brokers公布了第三批NSA(美国国家安全局)使用的网络入侵工具。泄露的资料中包括一整套完整的入侵和控制工具。泄露资料中包括FuzzBunch 攻击平台,DanderSpiritz 远控平台,和一个复杂的后门oddjob,同时还包括NSA 对swift进行攻击的一些资料信息。经分析这一次泄露出来的工具涉及的面更广,危害也更大。

上周五晚上,Shadow Brokers公布了第三批NSA(美国国家安全局)使用的网络入侵工具。泄露的资料中包括一整套完整的入侵和控制工具。泄露资料中包括FuzzBunch 攻击平台,DanderSpiritz 远控平台,和一个复杂的后门oddjob,同时还包括NSA 对swift进行攻击的一些资料信息。经分析这一次泄露出来的工具涉及的面更广,危害也更大。

回顾

  • 在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织,窃取了大量机密文件,并将部分文件公开到互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。
  • 北京时间 2017 年 4 月 8 日,“Shadow Brokers” 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。
  • 北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,“Shadow Brokers” ,在推特上放出了第二波保留的部分文件, 此次发现其中包括数个黑客工具。

此次方程式黑客工具的流出,疑似已波及到部分国内企业,瑞星安全工程师针对其中的部分工具FuzzBunch、DanderSpiritz进行了详尽的分析。同时,瑞星安全云、瑞星虚拟化系统安全软件、瑞星ESM(瑞星下一代网络版杀毒软件)及瑞星防毒墙等一系列企业级软硬件产品已均可有效拦截由该工具引起的黑客攻击,广大用户应及时做好防范措施,以免遭受严重损失。

FuzzBunch 攻击平台

FuzzBunch攻击平台主要是通过远程溢出攻击网络上存在漏洞的机器,攻击成功后植入指定后门。该平台类似于大名鼎鼎的Metasploit工具,但更先进的是它使用的exp几乎全是操作系统级的远程溢出0day,攻击目标几乎囊括了全系列的WINDOS系统。虽然微软与上月在MS17-010中放出了补丁,但对于那些没有及时打补丁和内网中的用户来说,这几乎就是一个灾难。

此次放出来的exp大部分是针对SMB协议的,SMBv1、SMBv2和SMBv3的都有,不难看出NSA非常钟情于SMB协议的漏洞。受影响的操作系统从Windows NT,Xp到2012全线覆盖。在部分python源码里面显示工具开发早与2012年,几乎所有的exp都是系统级的远程溢出,不需要什么钓鱼啊,访问网页啊,打开文档等用户交互操作,只要能访问到你机器,就可以攻击,而且是指哪打哪,细思恐极啊!可想而知,这些年来NSA通过这些漏洞在互联网上来去,几乎就是如入无人之境。此处放出来的文件分析发现还并不是所有的文件,不排除有更多的更先进的工具NSA正在使用。

FuzzBunch平台使用的exp

平台框架由python开发,功能采用模块化实现,易于扩展。主要模块如下表所示:

FuzzBunch功能模块

平台使用类似MSF,采用傻瓜化操作,只要指定攻击的IP、Exploit和Payload就可以进行工作。Exp相对稳定,在几台测试的未打补丁的机器上都能成功溢出。

使用Eternalblue溢出XP成功

使用Eternalchampion溢出xp成功

Eternalblue溢出成功后默认在用户的机器上植入Darkpulsar Payload。该Payload的功能相对较少,主要功能有执行shellcode和加载DLL。为以后植入复杂的后门做准备。

这些攻击工具危害是巨大的,好在微软在上个月发布的MS17-010的补丁中对这些个漏洞进行了修复。用户未了避免被攻击,需及时更新补丁,由于Windows XP和2003,微软已经停止更新,用户必须手动关闭139,445和3389等端口,避免受到攻击。

DanderSpiritz 远控平台

DanderSpiritz是泄露工具中的一整套完整的远控平台。由java实现的框架,python实现的插件系统。和许多世面上常见的后门的模式类似,可以主动连接控制端也可以等客户端反弹回来。还有一种模式比较有意思,Trigger模式,向指定的主机发送一个HTTP包或一封邮件去触发后门。

主界面截图

平台可以配置生成PeedleCheap后门。后门可以是EXE也可以是DLL,支持32位和64位系统。

配置选项中可以指定监听的端口,可以指定反弹的IP和端口,还可以指定要注入的进程名。同时还会生成一对RSA公私钥,供后门中使用。

配置成功生成的后门

后门可以通过Darkpulsar进行植入,也可以单独以文件的形式进行植入,该后门的功能丰富,终端、文件操作等所有想要的功能都具备了。是一个功能非常全面的后门。

终端支持的命令

DanderSpiritz中的功能不仅只有这一个后门那么简单,具体有哪些能力还在研究中,随着研究的深入,肯定还会有新的功能被发掘出来。

总结

从这些泄露的攻击工具中不难看出NSA的攻击步骤,先使用FuzzBunch平台进行溢出攻击,溢出成功后加载Darkpulsar,再通过Darkpulsar植入 PeedleCheap,最终反弹到DanderSpiritz平台。

此次泄露的是完整的一套攻击工具,任何人拿来都经过一定的摸索就可以拿来使用,进行攻击。虽然微软补丁已经发布,FuzzBunch平台可能会失去其作用,但是DanderSpiritz却可以拿来一直使用,危害较大。

[责任编辑:瑞瑞]