臭名昭著的方程式組織工具包再次被公開,TheShadowBrokers 在 steemit.com博客上提供了相關消息。
本次被公開的工具包大小爲117.9MB,包含23 個黑客工具,其中部分文件顯示 NSA 曾入侵中東 SWIFT 銀行系統,工具包下載接見文後參考信息。
解密後的工具包:
其中 Windows 目錄包括 Windows 利用工具和相關攻擊代碼,swift 目錄中是銀行攻擊的一些證據,oddjob 目錄是植入後門等相關文檔。
Windows 目錄:
Windows目錄下包含了各種漏洞利用工具,在exploits中包含了豐富的漏洞利用工具,可影響windows多個平臺。
其中有三個目錄較爲重要:
A、Exploits:
包含了很多漏洞利用工具,這裏摘取一些進行簡要介紹:
經過初步梳理,重點關注對win server有影響的幾個工具,更多工具展示見參考3。
-
Explodingcan IIS 漏洞利用工具,只對 Windows 2003有影響
-
Eternalromance SMB 和 NBT 漏洞利用工具,影響端口139 和445
-
Emphasismine 通過 IMAP漏洞攻擊,攻擊的默認端口爲143
-
Englishmansdentist 通過 SMTP 漏洞攻擊,默認端口25
-
Erraticgopher 通過 RPC 漏洞攻擊,端口爲445
-
Eskimoroll 通過 kerberos 漏洞進行攻擊,默認攻擊端口88
-
Eclipsedwing MS08-67 漏洞利用工具
-
Educatedscholar MS09-050 漏洞利用工具
-
Emeraldthread MB 和 Netbios 漏洞利用工具,使用445 端口和139 端口
-
Zippybeer SMTP 漏洞利用工具,默認端口445
-
Eternalsynergy SMB 漏洞利用工具,默認端口445
-
Esteemaudit RDP 漏洞利用工具,默認攻擊端口爲3389
B、FUZZBUNCH:
是一個類似 MSF的漏洞利用平臺工具,python編寫。
C、Specials:
ETERNALBLUE :利用 SMB 漏洞,攻擊開放445 端口的 windows 機器。
影響範圍如圖:
ETERNALCHAMPION :利用SMB漏洞,攻擊開放445端口的windows機器。
影響範圍如圖:
可以看出,其中多個工具,對於windows server系統均有覆蓋。
ODDJOB目錄:
支持向如下系統中植入後門代碼,可以對抗 avria 和 norton 的檢測。
工具包中提供了一個常見反病毒引擎的檢測結論。
SWIFT文件夾:
存放一些金融信息系統被攻擊的一些信息。部分被入侵的機器信息如下:
下面excel文件表明,方程式組織可能對埃及、迪拜、比利時的銀行有入侵的行爲。
其中一個入侵日誌:
對我們的警示:
本次公開的工具包中,包含多個 Windows 漏洞的利用工具,只要 Windows 服務器開了25、88、139、445、3389 等端口之一,就有可能被黑客攻擊,其中影響尤爲嚴重的是445 和3389 端口。在未來的一段時間內,互聯網上利用這些公開的工具進行攻擊的情況會比較多,除了提醒用戶,發佈預警外,需要加強入侵監控和攻擊防範。
臨時緩解措施:
1、升級系統補丁,確保補丁更新到最新版本。
2、使用防火牆、或者安全組配置安全策略,屏蔽對包括445 、3389 在內的系統端口訪問。
參考附錄:
https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
https://github.com/x0rz/EQGRP_Lost_in_Translation
https://zhuanlan.zhihu.com/p/26375989
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
此文已由作者授權騰訊雲技術社區發佈,轉載請註明文章出處