又一波大规模0day攻击泄漏-华盟网

又一波大规模0day攻击泄漏

华盟学院山东省第二期线下学习计划
方程式又一波大规模0day攻击泄漏

就在昨晚,Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 23 个最新黑客工具,甚至揭露 NSA 黑客曾入侵中东多国 SWIFT 银行系统。目前文件已在 GitHub 上公开,消息一出各国安全人员纷纷开始挖掘这一宝贵文件。目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。


故事还要从一年前说起,2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美金)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers” 的拍卖也因此一直没有成功。


北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。

这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):

  • EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具
  • ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
  • 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。
  • ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。
  • FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
  • ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
  • ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具。
  • ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。

命名为 Windows 文件夹中的黑客工具适用于较早版本的 WindowsNT、windows 2000、XP、windows 7、windows 8等等。

这些文件包含多个 Windows 神洞的利用工具,只要 Windows 服务器开了135、445、3389 其中的端口之一,有很大概率可以直接被攻击,这相比于当年的 MS08-067 漏洞有过之而无不及啊,如此神洞已经好久没有再江湖上出现过了。
 
掏出 Exp 试了一波,果然是一打一个准,这些工具的截图如下:
而最近一批文件表明,NSA 曾入侵世界各地几家银行 SWIFT 系统。专家表示 SWIFT 文件夹中一些 PPT 包含关于 EastNets 的内部架构和数据,这是中东最大的 SWIFT 服务机构之一。
文件中的 SQL 脚本,可用于查询 Oracle 数据库以获取广泛的信息,包括用户列表和 SWIFT 消息查询。文件夹中的 Excel 文件还显示了 NSA 联系“方程式黑客组织”已经对全球多家银行进行黑客入侵,其中大部分是中东国家(即 阿联酋,科威特,卡塔尔,巴勒斯坦和也门)。
www.idc126.com

缓解措施

所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏过,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。
剩下的就是请稳定好情绪,坐等微软出补丁。

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论