NSA的Windows漏洞军火库泄漏:多个零日、利用工具可直接使用

本文讲的是NSA的Windows漏洞军火库泄漏:多个零日、利用工具可直接使用,Shadow Brokers(影子经纪人),过去八个月里出尽风头、将NSA(美国国家安全局)以千兆计的网络攻击武器泄漏到互联网的黑客个体/团伙,刚刚又公布了NSA极其重要的数据。在周五(北京时间临近下班)时候放出的这批数据,包括针对大多数版本Windows系统的强力漏洞利用和黑客工具、黑进全球SWIFT网络内多家银行的代码和证据等。

周五释出的数据,接近300MB大小。Shadow Brokers称数据偷自NSA,里边有可直接使用的多版本Windows系统漏洞利用工具,含Windows 8和2012;还有一个类似Metasploit的攻击框架Fuzzbunch,用于执行具体攻击操作。

加密版本只有不到200MB

审查内容的安全专家表示,这是Shadow Brokers迄今为止公布数据中最具破坏性的漏洞军火库

任何下载的人都可以使用这批攻击工具,尤其是其中一些还是零日漏洞,没有补丁,可以直接远程命令执行。”安全专家之一、Hacker House联合创始人Matthew Hickey进一步解释道。

Windows零日漏洞

Hickey发现,泄漏数据中的Windows零日漏洞之一Eternalblue,利用服务器消息块和NetBT协议之中的缺陷,可以在最新的Windows 2008 R2系统上远程命令执行;而另一个被称作Eternalromance的黑客工具,有易操作界面和完美代码,它直接利用TCP协议的139、445端口进行攻击,漏洞成因未知。此次数据中以“eternal”(永恒)开头命名的工具,均利用了Windows桌面和服务器系统的未知漏洞。

显示Eternalromance代码的电脑桌面

Hickey目前记录的工具列表如下:

ETERNALROMANCE — Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)

ENTERNALCHAMPION, ETERNALSYSTEM — Remote exploit up to Windows 8 and 2012

ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012)

EXPLODINGCAN — Remote IIS 6.0 exploit for Windows 2003

EWORKFRENZY — Lotus Domino 6.5.4 and 7.0.2 exploit

ETERNALSYNERGY — Windows 8 and Windows Server 2012

FUZZBUNCH — Exploit Framework (Similar to Metasploit) for the exploits.

黑进银行

本次泄漏数据的另一部分,是可以黑掉银行的攻击代码,特别针对中东地区的银行。根据安全专家、Cloud Volumes联合创始人Matt Suiche的分析,代号“Jeepflea_Market”的代码曾经在2013年黑过中东地区最大SWIFT机构EastNets。EastNets负责监督当地SWIFT网络中的具体交易行为是否有反洗钱等行为。除了特定服务器的详实数据外,泄漏数据还包括专用工具,比如从Oracle数据库提取数据库用户列表、SWIFT消息查询数据的工具。

Suiche称,这些工具可以让NSA黑掉监督具体交易行为的SWIFT机构,以查找和恐怖分子相关的交易。“考虑到SWIFT机构数据本来就少(120),并且很容易黑掉(比如每家银行一个IP),目前到底有多少个已经被黑掉了呢?”

Suiche还发现,有证据显示巴勒斯坦地区的Al Quds发展与投资银行曾经被特别关照过。

除了Windows零日漏洞、黑进银行的攻击代码外,泄漏数据里还包括“Oddjob”软件,这是一种通过HTTP传输控制来入侵电脑的植入工具和后门。

形势愈加严峻

通过持续公布泄漏数据,Shadow Brokers牢牢吸引住美国和世界各地情报部门的关注。在过往几次,他们还公布过可黑掉思科防火墙的零日漏洞。安全公司卡巴斯基的研究人员证实,他们分析过泄漏数据具有方程式组织的独有签名。方程式组织被认为是由NSA赞助的黑客团队,在进行着最先进的黑客行动。今年1月,Shadow Brokers在一次煽动性言论后宣布暂停运转,周五这次披露暗示着他们显然还有更多秘密数据。

Shadow Brokers出现后,NSA在内部严查,至少逮捕了一家被指控偷走NSA黑客工具的供应商。但到现在为止,还没有证据可以将被逮捕人员和Shadow Brokers联系起来。再次披露使形势变得更加严峻,无疑打乱许多政府部门和下属承包商的假日计划。

原文发布时间为:2017年4月15日

本文作者:longye

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2025-01-24 22:06:00

NSA的Windows漏洞军火库泄漏:多个零日、利用工具可直接使用的相关文章

ShadowBroker放大招-多种Windows零日利用工具公布

  北京时间2017年4月14日,Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,影响程度非常巨大.除Microsoft Windows以外,受影响的产品还有: IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail. 事件时间轴 在2016 年 8 月有一个 "Shadow Brokers" 的黑客组织号称入侵了

瑞星联手微软第一时间升级Windows漏洞特征库

本报讯 近日,瑞星和微软达成协议,成为目前国内唯一一家MAPP(微软主动保护计划)安全软件合作伙伴.根据协议,瑞星可以在微软发布补丁之前,提前获取漏洞的相关信息,并在第一时间升级漏洞特征库. 微软MAPP计划的目的是为了整合全球安全方面的资源,经过考核的安全厂商,可以提早获取微软漏洞的相关信息,IBM.思科都是加入该计划的早期成员.微软曾表示,MAPP项目将提前告知软件提供商相关的技术细节,从而免去了厂商对微软补丁分析.查找漏洞的麻烦.传统上微软发布补丁之后,安全厂商要进行长时间的测试和研究,用

Windows版Safari浏览器现一处严重零日缺陷

5月13日消息,据国外媒体报道称,丹麦IT安全公司Secunia和美国计算机应急响应小组在Windows版苹果Safari浏览器中发现一处严重的零日缺陷. 该缺陷会导致计算机受到远程攻击. 美国计算机应急响应小组高管威尔·多尔曼在该机构网站上表示,利用该缺陷的攻击代码已经被公开发布到互联网上,"我们已经证实Windows版Safari 4.0.5会受到攻击,其他版本也可能受到影响". 多尔曼称,尽管苹果尚未发布补丁软件修正该缺陷,但用户只需禁用JavaScript代码功能,就不会受到攻

Zerodium悬赏100万美元征集Tor零日漏洞

Tor是一款常用的网络隐私保护工具,漏洞经纪人Zerodium目前正在收集Tails Linux/Windows环境下运行的Tor浏览器(禁用JavaScript)的零日漏洞,并设置了一百万美元的奖池.   不论你使用Tor的匿名浏览是为了保护隐私.逃避审查还是进行暗网交易,你恐怕不会喜欢这个消息:Tor已经成为了靶子,原因是一家漏洞经纪人正在悬赏Tails Linux/Windows环境下运行的Tor浏览器的零日漏洞.这些零日漏洞将卖给在政府雇员Johnny Law. 漏洞经纪人Zerodiu

微软修复严重零日漏洞和Outlook错误

本周二,微软发布了5个 安全公告,修复了两个零日漏洞,其中包括在Windows帮助和支持中心(正在受到攻击者攻击)中的一个严重漏洞.MS10-042解决了严重的帮助和支持中心漏洞(6月5日由谷歌工程师Tavis Ormandy披露).自披露以来,恶意攻击就企图以该漏洞为目标.该远程代码执行漏洞影响Windows XP和Windows Server 2003用户.微软表示,该组件没有正确地验证恶意网址,使攻击者能在受害者访问恶意网站或点击电子邮件中的恶意链接之后,控制受害者的计算机.另外两个公告也

美中央情报局监听“军火库”遭泄密曝光,全球智能设备沦为帮凶

2017年,在<麻省理工科技评论>公布的年度十大突破性技术中,有一项技术特别引入注目,即僵尸物联网(Botnets of Things).该项技术可以感染并控制摄像头.监视器以及其他消费电子产品的恶意软件,可造成大规模的网络瘫痪.而这项技术的重要意义在于,基于这种恶意软件的僵尸网络对互联网的破坏能力将会越来越大,也会越来越难阻止. 很明显,技术的发展给人们的生活所带来不一定都是正面的,负面的威胁也随之在增加.而刚刚在美国发生的泄密事件再一次凸显了这些威胁的存在,给人以深刻的启示. 3 月 7

NSA Eternalblue SMB漏洞分析

本文讲的是NSA Eternalblue SMB漏洞分析,在Shadow Brokers公开的NSA黑客工具中,Eternalblue(永恒之蓝)是影响Windows平台的SMB漏洞攻击工具.360Vulcan Team的@pgboy1988对此漏洞进行了技术分析. 环境 EXPLOIT: Eternalblue-2.2.0.exe TARGET: win7 sp1 32bits srv.sys 6.1.7601.17514 srvnet.sys 6.1.7601.17514 PATCH: MS

突发!32TB Windows 10核心数据泄漏,被人上传至第三方公开网站

本文讲的是突发!32TB Windows 10核心数据泄漏,被人上传至第三方公开网站,据外媒The Register报道,微软Windows操作系统内部大量组件和核心代码泄漏,正在网络上传播. 这些泄漏的数据多达32TB,包括微软未公开发行的安装镜像和软件规划蓝图,被人压缩成8TB的包,在本周稍早时候上传至betaarchive.com.据传这些机密数据是今年3月份左右从微软内部泄漏的. 泄漏数据的代码部分叫"Shared Source Kit",有看过内容的人透露,里边有Window

如何在Kali Linux上编译Windows漏洞!

Mingw-w64是一个用于创建Windows应用程序的自由和开源软件开发环境. Mingw-w64最初叫Mingw32,它当时不支持64位架构. 在本教程中,我们将讨论如何使用Mingw-64在 Kali Linux上编译Windows漏洞. 让我们开始在Kali Linux上安装Mingw-w64. 1.在Kali Linux上安装Mingw-w64 默认情况下,Kali Linux 2016.2和更低版本上未安装Mingw-w64. 因此,我们需要先安装它,然后才能在Linux上编译Win