NSA的Windows漏洞軍火庫泄漏:多個零日、利用工具可直接使用
Shadow Brokers(影子經紀人),過去八個月里出盡風頭、將NSA(美國國家安全局)以千兆計的網路攻擊武器泄漏到互聯網的黑客個體/團伙,剛剛又公布了NSA極其重要的數據。在周五(北京時間臨近下班)時候放出的這批數據,包括針對大多數版本Windows系統的強力漏洞利用和黑客工具、黑進全球SWIFT網路內多家銀行的代碼和證據等。
周五釋出的數據,接近300MB大小。Shadow Brokers稱數據偷自NSA,裡邊有可直接使用的多版本Windows系統漏洞利用工具,含Windows 8和2012;還有一個類似Metasploit的攻擊框架Fuzzbunch,用於執行具體攻擊操作。
加密版本只有不到200MB
審查內容的安全專家表示,這是Shadow Brokers迄今為止公布數據中最具破壞性的漏洞軍火庫。
「任何下載的人都可以使用這批攻擊工具,尤其是其中一些還是零日漏洞,沒有補丁,可以直接遠程命令執行。」安全專家之一、Hacker House聯合創始人Matthew Hickey進一步解釋道。
Windows零日漏洞
Hickey發現,泄漏數據中的Windows零日漏洞之一Eternalblue,利用伺服器消息塊和NetBT協議之中的缺陷,可以在最新的Windows 2008 R2系統上遠程命令執行;而另一個被稱作Eternalromance的黑客工具,有易操作界面和完美代碼,它直接利用TCP協議的139、445埠進行攻擊,漏洞成因未知。此次數據中以「eternal」(永恆)開頭命名的工具,均利用了Windows桌面和伺服器系統的未知漏洞。
顯示Eternalromance代碼的電腦桌面
Hickey目前記錄的工具列表如下:
ETERNALROMANCE?—?Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)
ENTERNALCHAMPION, ETERNALSYSTEM?—?Remote exploit up to Windows 8 and 2012
ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012)
EXPLODINGCAN?—?Remote IIS 6.0 exploit for Windows 2003
EWORKFRENZY?—?Lotus Domino 6.5.4 and 7.0.2 exploit
ETERNALSYNERGY?—?Windows 8 and Windows Server 2012
FUZZBUNCH?—?Exploit Framework (Similar to Metasploit) for the exploits.
黑進銀行
本次泄漏數據的另一部分,是可以黑掉銀行的攻擊代碼,特別針對中東地區的銀行。根據安全專家、Cloud Volumes聯合創始人Matt Suiche的分析,代號「Jeepflea_Market」的代碼曾經在2013年黑過中東地區最大SWIFT機構EastNets。EastNets負責監督當地SWIFT網路中的具體交易行為是否有反洗錢等行為。除了特定伺服器的詳實數據外,泄漏數據還包括專用工具,比如從Oracle資料庫提取資料庫用戶列表、SWIFT消息查詢數據的工具。
Suiche稱,這些工具可以讓NSA黑掉監督具體交易行為的SWIFT機構,以查找和恐怖分子相關的交易。「考慮到SWIFT機構數據本來就少(120),並且很容易黑掉(比如每家銀行一個IP),目前到底有多少個已經被黑掉了呢?」
Suiche還發現,有證據顯示巴勒斯坦地區的Al Quds發展與投資銀行曾經被特別關照過。
除了Windows零日漏洞、黑進銀行的攻擊代碼外,泄漏數據里還包括「Oddjob」軟體,這是一種通過HTTP傳輸控制來入侵電腦的植入工具和後門。
形勢愈加嚴峻
通過持續公布泄漏數據,Shadow Brokers牢牢吸引住美國和世界各地情報部門的關注。在過往幾次,他們還公布過可黑掉思科防火牆的零日漏洞。安全公司卡巴斯基的研究人員證實,他們分析過泄漏數據具有方程式組織的獨有簽名。方程式組織被認為是由NSA贊助的黑客團隊,在進行著最先進的黑客行動。今年1月,Shadow Brokers在一次煽動性言論後宣布暫停運轉,周五這次披露暗示著他們顯然還有更多秘密數據。
Shadow Brokers出現後,NSA在內部嚴查,至少逮捕了一家被指控偷走NSA黑客工具的供應商。但到現在為止,還沒有證據可以將被逮捕人員和Shadow Brokers聯繫起來。再次披露使形勢變得更加嚴峻,無疑打亂許多政府部門和下屬承包商的假日計劃。
附本次公布泄漏數據解密版本的地址:misterch0c/shadowbroker
本文翻譯自Arstechnica,如若轉載,請註明原文地址:tNSA的Windows漏洞軍火庫泄漏:多個零日、利用工具可直接使用 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※NSA被黑真相 數據從內部流出
※美國四的 NSA、CIA、FBI、DHS 有什麼不同?
※國家隊的黑客水平如何?
※CyanogenMod 將整合 NSA 開發的 SELinux,這具體有什麼用?