0x01 概述
日前,据称是美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。360安全卫士官方微博发布红色警报称,经紧急验证这些工具真实有效,360正密切监测和响应此次网络世界的重大灾难级危机。
日前,据称是美国国家安全局(NSA)旗下的NSA方程式组织刚刚在博客上又发布了一批新的材料出来,这是一批惊人的材料,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具,和NAS方程式组织对swift银行系统进行入侵的数据。今天,360安全卫士官方微博发布红色警报称,经紧急验证这些工具真实有效,360正密切监测和响应此次网络世界的重大灾难级危机。
这批材料中包含了三个文件夹:
- Windows:包含Windows漏洞,注入和有效载荷
- swift :NSA组织攻击各国银行SWIFT系统的操作说明
- oddjob :与ODDJOB后门相关的文档
这批材料中包含了23个工具。这些工具包含了对多个Windows版本的漏洞利用,其中不乏0day,可以说不需要用户任何操作,只要联网就可以远程攻击,和多年前的冲击波、震荡波、Conficker等蠕虫一样可以瞬间血洗互联网。据我们分析后发现大概有2000万个在线网站可能受RDP漏洞影响,350万个在线网站可能受到这批材料中的FUZZBUNCH工具的ETERNAL攻击,195万台Windows 2008电脑可能受到ETERNALBLUE工具的影响。
这些工具有OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等等。
这些工具几乎可以影响所有版本的Microsoft Windows系统!包括Windows NT,Windows 2000,Windows 2003,Windows 2008,Windows 2008 R2,Windows Server 2010 SP0,Windows XP,,Windows Vista,Windows 7,Windows 8。
从Win 2000到Windows 8都可能受到影响。
ETERNALBLUE – 针对Windows 2008 SP1 x64,Windows 2008 R2系统(SMBV1 SMBv2 0day)
ETERNALCHAMP – 针对Windows XP,2003,Vista,2008,7,8系统(0day)
ENGLISHMANSDENTIST – 似乎是一个针对Outlook Exchange WebAccess远程攻击漏洞(可能是0day)
EXPLODINGCAN – 针对Windows 2003的远程IIS 6.0漏洞
EWORKFRENZY – Lotus Domino 6.5.4和7.0.2漏洞利用
ETERNALROMANCE – 针对Windows XP,Server 2003,Server 2008和Server 2008 R2,Vista,Windows 7,Windows 8,的TCP端口445远程SYSTEM漏洞
ESTEEMEDAUDIT – 似乎是针对Windows XP到Windows 2003的终端服务漏洞
ESKIMOROLL – 针对Windows 2000到Windows 2008 R2服务器的Kerberos漏洞利用。
ERRATICGOPHER – 针对Windows XP到 Windows 2003 SP2的远程RRAS漏洞
EMPHASISMINE – 针对6.5.4-8.5.2的Lotus Domino 远程IMAP漏洞利用
EMERALDTHREAD – 针对Windows XP到Windows 2003 SP2的一个漏洞
EDUCATEDSCHOLAR – 针对Windows Vista和Windows 2008的MS09-050的漏洞
ECLIPSEDWING – 针对Windows 2000到Windows 2003 SP2的MS08-067的漏洞
EasyBee – 针对MDaemon消息服务器的一个远程漏洞
EasyPi – 针对Win NT – Win2003的Lotus邮件漏洞
ETERNALSYNERGY – 针对Windows 8 SP0和Windows Server 2012 SP0版本
DOUBLEPULSAR -在多个RING-0内核版本上运行的有效载荷
还有更多工具正在整理测试,欢迎大家一起来讨论测试这些工具,若有错误地方,也欢迎大家指出纠正。
据微软称,这些工具中使用的漏洞中除了三个早已不再支持的系统漏洞没有被修复外,其它的漏洞早已修复。
0x02 文件夹概述
OddJob文件夹
包含了基于Windows的后门,其包括所指定的配置文件和有效载荷。OddJob适用于Windows Server 2003 Enterprise到Windows XP 专业版的Windows版本。
windows文件夹
包含了针对Windows系统的许多工具,其中某些工具内使用0day漏洞来工具Windows系统,据分析这批工具起码用到了20多个不同的漏洞,其中15个被包含在了FuzzBunch的自动化框架工具中,这些工具几乎可以影响所有Windows系统版本。
swift文件夹
包含NSA方程式组织入侵多个国家SWIFT交易系统的证据,这包括了从Oracle数据库搜索信息的SQL脚本,如数据库账号密码列表和SWIFT消息查询,还包含有Excel文件,这表明了NSA方程式组织获得了世界各地许多银行的访问权,其中大部分来自中东国家,如阿联酋,科威特,卡塔尔,巴勒斯坦,也门。同时也有文件指出了前段时间孟加拉国的某银行8亿1千万美元被窃取的线索。
0x03 材料地址
gpg加密文件下载地址:https://yadi.sk/d/NJqzpqo_3GxZA4 密码:Reeeeeeeeeeeeeee
已解密文件下载地址:https://github.com/x0rz/EQGRP_Lost_in_Translation
文件目录:https://gist.github.com/misterch0c/08829bc65b208609d455a9f4aeaa2a6c
NSA方程式组织博客地址:https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
0x04 防御方法
SA武器公开将引发网络世界的腥风血雨。对个人用户来说,木马黑产很可能会改造NSA武器对普通网民发动攻击,制作出类似冲击波的蠕虫大规模传播,此次事件的影响不亚于一场核弹危机。对企业来说,国内大量高校、政府单位、国企以及互联网公司正在使用Windows服务器和办公电脑,漏洞涉及的系统组件也属于企业办公基础服务,如果没有及时应对,企业将面临着被不法分子轻易入侵渗透的风险。
360安全卫士官方微博紧急建议广大网民,临时关闭135、137、445端口和3389远程登录,并注意更新安全产品进行防御,用户还可以使用360安全卫士的“防黑加固”功能降低系统被远程攻击的风险
360企业安全官方微博也向客户也临时发布了解决方案:检查Windows服务器的配置,如果对外的SMB服务器是不必要的,请尽快关闭;对于RDP远程终端服务设置防火墙规则,只允许可信来源IP的访问;对于Windows2003的IIS 6.0关闭WebDAV功能。
据分析,NSA这批武器是2012-2013年左右泄露的,且支持对WindowsXP x64位这样小众系统版本的攻击,呈现出非常精细化运作的特点。目前公开的数据仅仅是NSA武器库的冰山一角,MottoIN和360会持续对这次灾难级网络威胁密切关注并即时响应。
*来源:360,theshadowbrokers,MottoIN整理发布
原创文章,作者:Stbird,转载:http://www.mottoin.com/news/100690.html
私信小编,NSA,百度网盘里面有哦