除了永恆之藍，美國 NSA 方程式組織中，還有哪些大殺器是需要警惕的？

---

影響微軟產品的漏洞攻擊工具一共12個：

1. EternalBlue（永恆之藍） : SMBv1 漏洞攻擊工具，影響所有Windows平台，還在支持期的系統打上MS17-010 可以免疫，不再支持期的系統，可以禁用SMBv1（配置註冊表或組策略，需要重啟）

2. EmeraldThread（翡翠纖維）: SMBv1漏洞攻擊工具，影響XP、2003、Vista、2008、Windows7、2008 R2，已經被MS10-061修復。

3.EternalChampion（永恆王者）: SMBv1漏洞攻擊工具，影響全平台，已經被MS17-010修復，不在支持期的系統，可以禁用SMBv1（配置註冊表或組策略，需要重啟）

4.ErraticGopher（古怪地鼠）: SMB漏洞攻擊工具，隻影響XP和2003，不影響Vista以後的系統，微軟說法是Windows Vista發布的時候修復了這個問題，但是並未提供針對XP和2003的補丁編號。

5.EskimoRoll（愛斯基摩卷）：Kerberos漏洞攻擊工具，影響2000/2003/2008/2008 R2/2012/2012R2 的域控伺服器，已經被MS14-068修復。漏洞在Windows 2000 Server當中也存在，但是沒有補丁。

6.EternalRomance（永恆浪漫）: SMBv1漏洞攻擊工具，影響全平台，被MS17-010修復，不在支持期的系統，可以禁用SMBv1（配置註冊表或組策略，需要重啟）

7. EducatedScholar（文雅學者） : SMB漏洞攻擊工具，影響VISTA和2008，已經被MS09-050修復.

8. EternalSynergy（永恆增效）: SMBv3漏洞攻擊工具，影響全平台，被MS17-010修復，不在支持期的系統，建議禁用SMBv1和v3（配置註冊表或組策略，需要重啟）

9. EclipsedWing（日食之翼）：Server netAPI漏洞攻擊工具，其實就是MS08-067，影響到2008的全平台，打上補丁就行。

10.EnglishManDentist（英國牙醫）：針對Exchange Server的遠程攻擊工具，受影響版本不明，但微軟說仍在支持期的Exchange Server不受影響，建議升級到受支持版本

11.EsteemAudit(尊重審計）：針對XP/2003的RDP遠程攻擊工具，無補丁，不在支持期的系統建議關閉RDP禁用，或者嚴格限制來源IP

12. ExplodingCan（爆炸罐頭）：針對2003 IIS6.0的遠程攻擊工具，需要伺服器開啟WEBDAV才能攻擊，無補丁，不再支持期的系統建議關閉WEBDAV，或者使用WAF，或者應用熱補丁

其他受影響產品和對應工具5個：

EasyBee（輕鬆蜂）：MDaemon郵件伺服器系統，建議升級或停用

EasyPi（輕鬆派）：Lotus Notes ，建議升級或停用

EwokFrenzy（狂暴伊沃克）：Lotus Domino 6.5.4~7.0.2 建議升級或停用

EmphasisMine(說重點）：IBM Lotus Domino 的IMAP漏洞，建議升級或停用

ETRE：IMail 8.10~8.22遠程利用工具，建議升級或停用

---

就發幾個圖片，這樣比較直觀。

工具列表和解釋在答案最後一張圖。

具體分析看文末的文章鏈接。

文中有個下載鏈接，有興趣的可以自己下載。

這是方程式組織(Equation Group)泄露的工具包。

文件下載地址：

https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKUhttps://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU

解壓密碼：theequationgroup

來源：【轉載】美國NSA「方程式組織」使用的黑客工具列表及功能解釋 - 知乎專欄

【轉載】Shadow-Brokers所泄露文件的介紹、技術分析（上） - 知乎專欄

---

啟明星辰實驗室的分析報告：警惕下一個「永恆之藍」：

http://mp.weixin.qq.com/s/aX5LVfBW82A7nEaUnm_6lQ

---

經討論發現一種即使本地的通訊傳輸皆可攔截的情況，也可以保證私鑰不可解的方法

可以用作者的公鑰加密了usr的私鑰，然後usr把加密後的私鑰傳給作者，作者用自己的私鑰把usr的私鑰解密出來，這樣就保證了傳輸回來的私鑰每個是都是唯一的，本地再把公鑰解出來，就相當於解除的AES的密鑰，這樣AES的密鑰每個人也是唯一的，這就保證了加密的唯一性，即使在傳輸過程中通信被攔截也沒有問題，因為關鍵的解密放在作者哪裡。

本人才疏學淺，歡迎指正

----------------------------------原文-------------------------------------------

有好多人最近不斷問我重複的問題，我統一回復一下

第一，交錢基本不管用，先假設一個人交了錢，因為採用RSA非對稱加密，要解密作者就必須把私鑰鑰傳回來才能解密，想想私鑰傳回本地的時候要是安全人員攔截了，把私鑰公佈於世，全世界所有文件都可解了，他們就前功盡棄了。即使私鑰傳輸的時候是加密的，但要用密鑰的時候總要解密出來，現在病毒樣本人人都有，反彙編一下就可以獲取解密方式和加密的後密鑰。所以想投資比特幣的人省省吧，之後該跌了。解密的唯一方法就是等作者放出密鑰，之後各大廠商就回爭相寫出解密程序，相信我，他會放出來的。

還有說能完美破解RSA2048位演算法的，要是存在的話這個世界的信息體系就崩潰了，銀行安全性就崩潰了，網銀支付寶什麼的通通崩潰，絕大多數加密傳輸都會變得毫無作用，數字證書也沒用了，數字簽名也沒用了基於https的一切都沒有安全性，你的電腦密碼手機密碼通通都是屁，你信嗎。不過這個世界還真存在一個這樣的人，沒錯，在《神盾局特工》里[em]e100[/em]，你找他來吧

第二，那個死亡開關的事，其實不是那個英國小哥有多吊，別整天yy些英雄主義。這其實是個自我保護機制，不是作者為了防止病毒擴散的緊急按鈕，它的作用是檢測自己是不是在沙箱中運行，以免放出的病毒被殺軟查殺。很多安全防護系統都採用「沙箱」機制，它不同於虛擬機，對於個體程序它能完全模擬成真實環境。在沙箱封閉環境中試運行程序，監控它有沒有異常行為，沙箱機製為了防止病毒起疑心，一般對於病毒發出的網路請求先予以攔截，後返回模擬響應請求。這個詭異的地址就是count這種沙箱機制的策略，因為這麼詭異的地址一定不存在，要是我向這個地址發送請求了，它居然還響應了，說明這肯定不科學，說明我有可能被人算計了，，[em]e400841[/em]可能在沙箱裡面，我就不把加密程序釋放出來，以免被查殺。因為一旦被查殺但一個，就會收錄到殺軟的雲病毒庫里，那它就回更早的大範圍被查殺，耽誤了病毒的散播。

第三，這個SMB暫時還不要開，打過補丁的無所謂，目前對於高版本的windows，方程式還有好幾個可用的expolit，以免之後出現其他expolit變種，比如Doublepulsar（這個目前的影響範圍絲毫不遜色於所謂的永恆之藍）還有兩三個「永恆系列」都跟這個效果差不多。這個445正常的埠，只不過被利用了而已，怪教育網不封埠的，那你們導員想聯網列印文件都不行，想給別的學校共享文件都不行。

第四，也不要啥東西都放在百度雲里，畢竟寄人籬下到時候你的數據都是別人說了算，比如我那hackedteam的種子，說違規就違規，不讓看也不讓下，你還想在雲里作備份，到時候備份也不給你了，還給你限速，所以還是自己用樹莓派搭個NAS踏實。所以好人不一定不是壞人，壞人也會一直壞。半夜純手機打，挺累的，別一聲不吭就複製成不

---

此次泄露出來的有

模塊==&> 漏洞 ==&>影響系統 ==&>默認埠

1. Easypi ==&> IBM Lotus Notes漏洞==&>Windows NT, 2000 ,XP, 2003==&>3264
2. Easybee ==&> MDaemon WorldClient電子郵件伺服器漏洞 ==&> WorldClient 9.5, 9.6, 10.0, 10.1
3. Eternalblue ==&> SMBv2漏洞(MS17-010) ==&> Windows XP(32),Windows Server 2008 R2(32/64),Windows 7(32/64) ==&> 139/445
4. Doublepulsar ==&> SMB和NBT漏洞 Windows XP(32), Vista, 7, Windows Server 2003, 2008, 2008 R2 ==&> 139/445
5. Eternalromance ==&> SMBv1漏洞(MS17-010)和 NBT漏洞 ==&> Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2 ==&> 139/445
6. Eternalchampion ==&> SMB和NBT漏洞 ==&> Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2, 2012, Windows 8 SP0 ==&> 139/445
7. Eternalsynergy ==&> SMB和NBT漏洞 ==&> Windows 8, Windows Server 2012 ==&> 139/445
8. Explodingcan ==&> IIS6.0遠程利用漏洞 ==&> Windows Server 2003 ==&> 80
9. Emphasismine ==&> IMAP漏洞 ==&> IBM Lotus Domino 6.5.4, 6.5.5, 7.0, 8.0, 8.5 ==&> 143
10. Ewokfrenzy ==&> IMAP漏洞 ==&> IBM Lotus Domino 6.5.4, 7.0.2 == &>143
11. Englishmansdentist ==&> SMTP漏洞 ==&> ==&>25
12. Erraticgopher ==&> RPC漏洞 ==&> Windows XP SP3, Windows 2003 ==&> 445
13. Eskimoroll ==&> kerberos漏洞 ==&> Windows 2000, 2003, 2003 R2, 2008, 2008 R2 ==&> 88
14. Eclipsedwing ==&> MS08-067漏洞 ==&> Windows 2000, XP, 2003 ==&> 139/445
15. Educatedscholar ==&> MS09-050漏洞 ==&> Windows vista, 2008 ==&> 445
16. Emeraldthread ==&> SMB和NBT漏洞 ==&> Windows XP, 2003 ==&> 139/445
17. Zippybeer ==&> SMTP漏洞 ==&> ==&> 445
18. Esteemaudit ==&> RDP漏洞 ==&> Windows XP, Windows Server 2003 ==&> 3389

翻譯成中文一股中二的氣息(??? ?? ???)

---

預測第二波WannaCry勒索病毒攻擊即將到來！

NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。
解決方案：勒索蠕蟲病毒文件恢復工具
檢測工具下載

關於永恆之藍（MS17-010）漏洞

如果攻擊者向 Windows SMBv1 伺服器發送特殊設計的消息，那麼其中最嚴重的漏洞可能允許遠程執行代碼。

漏洞名稱：

Microsoft Windows SMB遠程任意代碼執行漏洞 (MS17-010)

包含如下CVE：

CVE-2017-0143 嚴重 遠程命令執行

CVE-2017-0144 嚴重 遠程命令執行

CVE-2017-0145 嚴重 遠程命令執行

CVE-2017-0146 嚴重 遠程命令執行

CVE-2017-0147 重要 信息泄露

CVE-2017-0148 嚴重 遠程命令執行

漏洞描述

SMBv1 server是其中的一個伺服器協議組件。

Microsoft Windows中的SMBv1伺服器存在遠程代碼執行漏洞。

遠程攻擊者可藉助特製的數據包利用該漏洞執行任意代碼。

以下版本受到影響：Microsoft Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8.1，Windows Server 2012 Gold和R2，Windows RT 8.1，Windows 10 Gold，1511和1607，Windows Server 2016。

上個月的帖子 NSA黑客工具泄露 網路世界的災難級危機 - 知乎專欄

---

AES加密演算法（懷疑）

我跟著的教授懷疑AES有問題，他說NIST在選擇演算法的時候，前面幾輪都是考量安全性，結果最後一輪居然變成考量速度了。現在的AES本質上是一個矩陣M求逆的問題，可靠性存疑。而且AES在加密中運用的比例很高（看過一個數據，大概60%左右 ），很可能是NSA的陰謀吧。話說回來，DES以及triple DES雖然至今沒發現問題，但是可能s-box存在未公布的弱點。反正在加密安全這一塊還是不要信任美國佬的標準為好。

---

沒有用的，絕大多數高等級漏洞就是NSA要求微軟加進去的後門。甚至前不久爆出來的，連橢圓加密庫都嵌入了後門。利用這些後門，NSA已經開發了很多武器級的病毒，一般的網路安全機構別說殺毒了，連看都看不懂。比如搞垮伊朗離心機的震網病毒，要不是加入了不攻擊普通民用系統的指令，互聯網早不知道癱了多少次了。

只要大家用著windows和tcp/ip協議，那在NSA面前就和裸奔沒什麼區別，防不勝防。甚至這次所謂的泄露，也許只是一次演習。

---

很久以前|?ω?｀)還在混著黑圈的我，和各位大佬討論茴香豆有幾種寫法的時候，出來一個名叫上帝之門的後台爆破軟體，據稱可暴力破解windows系統後台管理密碼，然後一星期後被騰訊和諧，無法下載|?ω?｀)

---

中科大

」潘老師，我們被勒索了，說強行解開要一萬年」

「哦，用什麼解要一萬年？」

「這。。」

「這不是解開了嗎，繼續實驗」

瞎編的瞎編的瞎編的

老潘還沒這麼牛。。。

---

無論打多少補丁，在nsa面前都是裸奔，Mac安卓同理，這些都是遠程執行最高許可權指令的武器級別的後門啊

現在你知道為什麼涉及國家安全的電腦要斷網了吧？

---

微軟對漏洞埠的處理

除了安全更新，微軟3月份的時候沒有識別針對SMBv1漏洞的緩解因素，微軟批評美國政府沒有通知這個漏洞。

隨著事件的擴大，微軟近期則分析了黑客界臭名昭著的 Shadow Brokers（黑客組織號影子經紀人）流出的據稱率屬於NSA（美國國家安全局）下黑客組織Equation（代號方程式）開發的漏洞工具針對的Windows系統的漏洞，工程師們已經對披露的漏洞進行了調查，大部分漏洞截至14號已經被修補了。

NSA黑客武器庫中攻擊程序列表：

微軟在3月14號對SMB漏洞發布了伺服器安全更新告示MS17-010顯示，更新的程序修正了伺服器消息塊（SMB）對特別請求的處理方式，微軟把3月14號的安全公告的重要指數定為Critical（重要）。

WannaCry變種

之前的病毒阻止域名已經被網路安全研究員MalwareTech搶注，WannaCry病毒製作者花費了2天時間發布變種不包含關閉開關的蠕蟲病毒。

網路安全研究員發現，二次病毒感染的電腦50%+位於俄羅斯。

WannaCry二次病毒由兩部份構成：勒索軟體病毒、SMB蠕蟲病毒。

此次WannaCrypt病毒引發了其他勒索軟體模仿WannaCrypt病毒的界面：

另外，61款測試的殺毒工具中有部分殺毒軟體對WannaCry.EXE病毒程序放行：

截至今天中午，240+勒索筆交易達成。

比特幣今天的成交價：

一般勒索軟體的工作原理

傳播病毒的手段：

病毒作者可能利用各種把戲來說服你下載他們的文件，平時不要隨便接觸不良網站的文件，接收到不明郵件和附件不要隨便點開下載（這類郵件包含不限於各種通過稅收通知形式、不明罰款賬單形式的郵件、不明網路掙錢渠道的郵件）。

WannaCrypt病毒利用RSA+AES加密演算法加密計算機上的各類文件（RSA加密演算法是一種非對稱加密演算法，美國聯邦政府採用的一種區塊加密標準。1977年由羅納德·李維斯特（Ron Rivest）、阿迪·薩莫爾（Adi Shamir）和倫納德·阿德曼（Leonard Adleman）一起提出的）。

一般勒索軟體的工作原理圖

WannaCry病毒的應對措施

此次病毒主要針對的windows版本：Windows XP,Windows 8, Windows Server2003，Windows Server 2008，Windows 8.1等舊版win系統。

①打補丁

Windows 8安全更新程序

Windows 7 64位系統安全更新程序

②蠕蟲WannaCry病毒只是勒索軟體猖獗的開始？ - 知乎專欄

---

他們玩的都是未來武器，和我們不是一個時代的了。膜拜吧。。。。。

---

推薦閱讀：