淘新聞

方程式駭客工具再次流出 國內企業將受威脅!

上週五晚上,Shadow Brokers公佈了第三批NSA(美國國家安全局)使用的網路入侵工具。洩露的資料中包括一整套完整的入侵和控制工具。洩露資料中包括FuzzBunch攻擊平臺,DanderSpiritz遠控平臺,和一個複雜的後門oddjob,同時還包括NSA對swift進行攻擊的一些資料資訊。經分析這一次洩露出來的工具涉及的面更廣,危害也更大。

回顧:

●在2016年8月有一個“Shadow Brokers”的駭客組織號稱入侵了方程式組織,竊取了大量機 密檔,並將部分檔公開到互聯網上,方程式(Equation Group)據稱是NSA(美國國家安全局)下屬的駭客組織,有著極高的技術手段。這部分被公開的檔包括不少隱蔽的地下的駭客工具。

●北京時間2017年4月8日,“Shadow Brokers”公佈了保留部分的解壓縮密碼,有人將其解壓縮後的上傳到Github網站提供下載。

●北京時間2017年4月14日晚,繼上一次公開解壓密碼後,“Shadow Brokers”,在推特上放出了第二波保留的部分檔, 此次發現其中包括數個駭客工具。

此次方程式駭客工具的流出,疑似已波及到部分國內企業,瑞星安全工程師針對其中的部分工具FuzzBunch、DanderSpiritz進行了詳盡的分析。同時,瑞星安全雲、瑞星虛擬化系統安全軟體、瑞星ESM(瑞星下一代網路版殺du軟體)及瑞星防du牆等一系列企業級軟硬體產品已均可有效攔截由該工具引起的駭客攻擊,廣大用戶應及時做好防範措施,以免遭受嚴重損失。

FuzzBunch攻擊平臺

FuzzBunch攻擊平臺主要是通過遠端溢出攻擊網路上存在漏洞的機器,攻擊成功後植入指定後門。該平臺類似於大名鼎鼎的Metasploit工具,但更先進的是它使用的exp幾乎全是作業系統級的遠端溢出0day,攻擊目標幾乎囊括了全系列的WINDOS系統。雖然微軟與上月在MS17-010中放出了補丁,但對於那些沒有及時打補丁和內網中的用戶來說,這幾乎就是一個災難。

此次放出來的exp大部分是針對SMB協議的,SMBv1、SMBv2和SMBv3的都有,不難看出NSA非常鍾情於SMB協議的漏洞。受影響的作業系統從WindowsNT,Xp到2012全線覆蓋。在部分python源碼裡面顯示工具開發早與2012年,幾乎所有的exp都是系統級的遠端溢出,不需要什麼釣魚啊,訪問網頁啊,打開文檔等用戶交交互操作,只要能訪問到你機器,就可以攻擊,而且是指哪打哪,細思恐極啊!可想而知,這些年來NSA通過這些漏洞在互聯網上來去,幾乎就是如入無人之境。此處放出來的檔分析發現還並不是所有的檔,不排除有更多的更先進的工具NSA正在使用。

FuzzBunch平臺使用的exp

平臺框架由python開發,功能採用模組化實現,易於擴展。主要模組如下表所示:

FuzzBunch功能模組

平臺使用類似MSF,採用傻瓜化操作,只要指定攻擊的IP、Exploit和Payload就可以進行工作。Exp相對穩定,在幾台測試的未打補丁的機器上都能成功溢出。

使用Eternalblue溢出XP成功

使用Eternalchampion溢出xp成功

Eternalblue溢出成功後默認在用戶的機器上植入Darkpulsar Payload。該Payload的功能相對較少,主要功能有執行shellcode和載入DLL。為以後植入複雜的後門做準備。

這些攻擊工具危害是巨大的,好在微軟在上個月發佈的MS17-010的補丁中對這些個漏洞進行了修復。用戶未了避免被攻擊,需及時更新補丁,由於Windows XP和2003,微軟已經停止更新,用戶必須手動關閉139,445和3389等埠,避免受到攻擊。

DanderSpiritz遠控平臺

DanderSpiritz是洩露工具中的一整套完整的遠控平臺。由java實現的框架,python實現的外掛程式系統。和許多世面上常見的後門的模式類似,可以主動連接控制端也可以等用戶端反彈回來。還有一種模式比較有意思,Trigger模式,向指定的主機發送一個HTTP包或一封郵件去觸發後門。

主介面截圖

平臺可以配置生成PeedleCheap後門。後門可以是EXE也可以是DLL,支援32位元和64位元系統。

配置選項中可以指定監聽的埠,可以指定反彈的IP和埠,還可以指定要注入的進程名。同時還會生成一對RSA公私密金鑰,供後門中使用。

配置成功生成的後門

後門可以通過Darkpulsar進行植入,也可以單獨以檔的形式進行植入,該後門的功能豐富,終端、檔操作等所有想要的功能都具備了。是一個功能非常全面的後門。

終端支援的命令

DanderSpiritz中的功能不僅只有這一個後門那麼簡單,具體有哪些能力還在研究中,隨著研究的深入,肯定還會有新的功能被發掘出來。

總結

從這些洩露的攻擊工具中不難看出NSA的攻擊步驟,先使用FuzzBunch平臺進行溢出攻擊,溢出成功後載入Darkpulsar,再通過Darkpulsar植入PeedleCheap,最終反彈到DanderSpiritz平臺。

此次洩露的是完整的一套攻擊工具,任何人拿來都經過一定的摸索就可以拿來使用,進行攻擊。雖然微軟補丁已經發佈,FuzzBunch平臺可能會失去其作用,但是DanderSpiritz卻可以拿來一直使用,危害較大。