美国NSA“方程式组织”使用的黑客工具列表及功能解释
E安全8月23日讯 一周以前,“影子经纪人”(The Shadow Brokers)在网上泄露大量数据,声称数据从“方程式组织”(Equation Group)盗取得来。
“影子经纪人”表示,他们泄露了60%的被窃文件,并在网上拍卖,承诺竞价最高者将获取剩下40%的数据。
自初次泄露以来,卡巴斯基实验室的安全研究人员证实,被泄数据与过去看到“方程式组织”恶意软件“The Intercept”相似。借助斯诺登从未公开的文件,研究人员发现被泄恶意软件与NSA网络武器存在关联。
“影子经纪人”泄露的包含行动细节的大多数网址(GitHub、Tumblr和PastBin)已关闭,另一个包含所有被泄文件的PasteBin网址也不复存在。
本文提供了“影子经纪人”泄露的文件列表以及功能解释。
列表来源出自Risk Based Security、安全专家Mustafa Al-Bassam、Matt Suiche、RST论坛的分析,以及其它研究人员在Twitter和GitHub上分享的多种漏洞利用。
下表使用的是Al-Bassam的分类。工具指的是可以部署多个植入程序和漏洞利用的软件数据包;植入程序(implant)是安装在被劫持设备上的恶意软件;漏洞利用指的是允许攻击者劫持设备、提取数据或部署植入程序/工具的漏洞。
| 名称 | 类型 | 描述 |
| 1212/DEHEX | 工具 | 将十六进制字符串转换为IP地址和端口的工具 |
| BANANABALLOT | 植入程序 | BIOS 植入程序 |
| BANANAGLEE | 植入程序 | 重启不持续的防火墙植入程序。
在Cisco ASA和PIX上运行 |
| BANANALIAR | 工具 | 连接到(目前)未知的植入程序 |
| BANNANADAIQUIRI | 植入程序 | 未知,与SCREAMINGPILLOW有关 |
| BARGLEE | 植入程序 | 未证实的Juniper NetScreen 5.x防火墙植入程序 |
| BARICE | 工具 | 部署BARGLEE的壳(shell) |
| BARPUNCH | 植入程序 | BANANAGLEE与BARGLEE模块 |
| BBALL | 植入程序 | BANANAGLEE模块 |
| BBALLOT | 植入程序 | BANANAGLEE模块 |
| BBANJO | 植入程序 | BANANAGLEE模块 |
| BCANDY | 植入程序 | BANANAGLEE模块 |
| BEECHPONY | 植入程序 | 防火墙植入程序 (BANANAGLEE前身) |
| BENIGNCERTAIN | 工具 | 从思科PIX防火强提取VPN密钥的工具 |
| BFLEA | 植入程序 | BANANAGLEE模块 |
| BILLOCEAN | 工具 | 从飞塔Fortigate防火墙(可能有其它)提取序列号 |
| BLATSTING | 植入程序 | 部署EGREGIOUSBLUNDER 和ELIGIBLEBACHELOR防火墙植入程序 |
| BMASSACRE | 植入程序 | BANANAGLEE和BARGLEE模块 |
| BNSLOG | 植入程序 | BANANAGLEE和BARGLEE模块 |
| BOOKISHMUTE | 漏洞利用 | 未知防火墙的漏洞利用 |
| BPATROL | 植入程序 | BANANAGLEE模块 |
| BPICKER | 植入程序 | BANANAGLEE模块 |
| BPIE | 植入程序 | BANANAGLEE和BARGLEE模块 |
| BUSURPER | 植入程序 | BANANAGLEE模块 |
| BUZZDIRECTION | 植入程序 | 未证实的飞塔Fortigate防火墙植入程序 |
| CLUCKLINE | 植入程序 | BANANAGLEE模块 |
| CONTAINMENTGRID | 漏洞利用 | 现成的有效载荷能通过漏洞利用传送。影响在TOS 3.3.005.066.1.运行的天融信防火墙 |
| DURABLENAPKIN | 工具 | LAN连接上的数据包注入工具 |
| EGREGIOUSBLUNDER | 漏洞利用 | 飞塔 FortiGate防火墙的远端控制设备(RCE)。影响的型号: 60、 60M、 80C、 200A、300A、400A、500A、 620B、800、5000、1000A、 3600和3600A |
| ELIGIBLEBACHELOR | 漏洞利用 | 在TOS操作系统版本3.2.100.010、 3.3.001.050、 3.3.002.021和 3.3.002.030上运行的天融信防火墙漏洞利用 |
| ELIGIBLEBOMBSHELL | 漏洞利用 | 天融信防火墙RCE,影响的版本:从3.2.100.010.1_pbc_17_iv_3 到 3.3.005.066.1 |
| ELIGIBLECANDIDATE | 漏洞利用 | 天融信防火墙RCE,影响的版本:从3.3.005.057.1到3.3.010.024.1 |
| ELIGIBLECONTESTANT | 漏洞利用 | 天融信防火墙RCE,影响的版本:从3.3.005.057.1 到 3.3.010.024.1。仅在ELIGIBLECANDIDATE之后运行 |
| EPICBANANA | 漏洞利用 | 思科ASA特权升级(版本 711、712、 721、722、 723、 724、 80432、804、805、 822、 823、 824、 825、 831, 832) 和思科PIX (版本711、 712、721、722、 723、724、804) |
| ESCALATEPLOWMAN | 漏洞利用 | 沃奇卫士产品特权升级。该公司表示较新版本不存在该问题。 |
| EXTRABACON | 漏洞利用 | 思科ASA RCE, 版本:802、803、804、 805、821、 822、 823、 824、 825、831、 832、 841、 842、 843、 844 (CVE-2016-6366) |
| FALSEMOREL | 漏洞利用 | 思科漏洞利用:如果设备开启Telnet服务,该漏洞提取“启用”密码 |
| FEEDTROUGH | 植入程序 | Juniper NetScreen防火墙上的持续植入程序,部署BANANAGLEE和ZESTYLEAK |
| FLOCKFORWARD | 漏洞利用 | 通过ELIGIBLEBOMBSHELL传送现成有效荷载。影响在TOS 3.3.005.066.1上运行的天融信防火墙 |
| FOSHO | 工具 | 在漏洞利用中制作HTTP请求的Python库 |
| GOTHAMKNIGHT | 漏洞利用 | 通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS 3.2.100.010.8_pbc_27上运行的天融信防火墙 |
| HIDDENTEMPLE | 漏洞利用 | 通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS 3.2.8840.1运行的天融信防火墙 |
| JETPLOW | 植入程序 | 用来在设备固件插入BANANAGLEE 的思科ASA 和 PIX 植入程序 |
| JIFFYRAUL | 植入程序 | 思科PIX的BANANAGLEE模块 |
| NOPEN | 工具 | 后渗透壳(post-exploitation shell)(攻击者使用的客户端、安装在目标设备上的服务器) |
| PANDAROCK | 工具 | 连接至POLARPAWS的植入程序 |
| POLARPAWS | 植入程序 | 未知厂商的防火墙植入程序 |
| POLARSNEEZE | 植入程序 | 未知厂商的防火墙植入程序 |
| SCREAMINGPLOW | 植入程序 | 思科ASA和PIX 植入程序,用来在设备固件中插入BANANAGLEE |
| SECONDDATE | 工具 | WiFi和LAN网络上的数据包注入。与BANANAGLEE和BARGLEE一起使用 |
| TEFLONDOOR | 工具 | 自毁Post-Exploitation Shell |
| TURBOPANDA | 工具 | 连接到先前被泄HALLUXWATER植入程序的工具 |
| WOBBLYLLAMA | 漏洞利用 | 通过ELIGIBLEBOMBSHELL漏洞利用传送现成有效载荷。影响在TOS 3.3.002.030.8_003上运行的天融信防护墙 |
| XTRACTPLEASING | 工具 | 将数据转换为PCAP文件 |
| ZESTYLEAK | 植入程序 | Juniper NetScreen防火墙植入程序 |
