影子经纪人曝光的NSA大杀器可能与Stuxnet相关

AlexFrankly 2017-4-24 安全界 0 0

1492410817418-1211767.jpeg

上周五,神秘的影子经纪人(Shadow Brokers)再放大招,曝光了NSA使用的极具破坏性和杀伤力的Windows系统漏洞利用工具。研究人员发现,该工具可能与Stuxnet相关。

此次曝光的NSA大杀器中,有几处地方提及了先前被斯诺登披露的NSA绝密计划和软件,例如用来控制远程植入程序的“STRAITBIZARRE”,以及入侵SWIFT系统的“JEEPFLEA”项目,这些线索都侧面映证该批工具从NSA精英黑客团队“方程式组织”处获取的可能性。

与Stuxnet的相关性线索

脚本关联性

但令人诧异的是,在这批117.9MB的NSA网络武器中,竟然还包含了一个震网病毒(Stuxnet)所使用的工具。据赛门铁克公司Stuxnet研究人员Liam O’Murchu透露,该工具是针对Windows托管对象格式文件(MOF)的一个漏洞利用程序,其脚本start_dll.mof与Stuxnet中使用的脚本几乎一致。

但O’Murchu也表示,Stuxnet与影子经纪人曝光的NSA工具之间确实存在很强的关联性,但还没有足够证据来证明。目前来看,只能说可能性很强。因为在Stuxnet中发现的通用脚本,后来被研究人员逆向并添加到Metasploit公开库中利用,也就是说任何人都可使用Metasploit构造与Stuxnet十分相似的MOF文件漏洞利用脚本。但O’Murchu也说明,影子经纪人周五泄露的MOF文件漏洞利用工具最后编译时间为2010年9月9日,是Stuxnet首次被发现的三个月后,也即其逆向利用代码被添加到Metasploit前不久。

以下是该漏洞利用工具在Stuxnet中的部分代码:

Stuxnet-code-vs-Shadow-Brokers-exploit.png

以下是影子经纪人曝光的该工具部分脚本代码:

Stuxnet-code-vs-Shadow-Brokers-exploit-3.jpg

参考关联性

除此之外,其它研究人员还注意到另外一种关联,即两者均为MOF漏洞利用工具,并且其中出现了一些隐晦的参考,如影子经纪人曝光的该工具中ASCII艺术字体“WON THE GOLD MEDAL”(赢得金牌)字样。而Stuxnet行动的绝密代号据说就是“Olympic Games”。

C9YruQnW0AIWOGM.jpg

并且,奇怪的是,据在线恶意软件检测库Virus Total发现,杀软Avast把影子经纪人曝光的其它多个漏洞利用工具都通过特征检测识别Stuxnet蠕虫病毒。据反病毒分析专家 Joxean Koret表示,即使可能存在误报,但这种情况也非常奇怪,值得探究。

C9Xfn6FUAAIygfS (1).jpg

目前,该条关联线索可能是NSA黑客组织和Stuxnet代码开发人员最早的相关性技术证据。由此,我们不得不产生这样的疑问:难道是NSA精英黑客团队“方程式组织”参与了Stuxnet攻击事件?或者这根本就是一场组织严密的“嫁祸式攻击”?

*参考来源:motherboard,freebuf小编clouds编译,转载请注明来自Freebuf.com。

转载请注明来自华盟网,本文标题:《影子经纪人曝光的NSA大杀器可能与Stuxnet相关》

喜欢 (0) 发布评论