Shadow Brokers又爆NSA神级机密0day,i春秋一个箭步首发了在线实验环境!【转】

昨天一早大家朋友圈就开始被Shadow Brokers再次泄露美国NSA方程式组织一大波0day和机密文档的消息刷屏,国内外安全圈哗声一片。

为什么说再次呢,因为早在去年8月份的时候黑客组织 Shadow Brokers就声称攻破了给NSA开发网络武器的美国黑客团队方程式组织(Equation Group),并公开拍卖据称是美国政府使用的黑客工具。为了证明自己,Shadow Brokers还贴出了部分文件在网上,然后要求以100万比特币(现价约超过5亿美元)的价格进行拍卖,拍卖事件由于信息的扑朔迷离未能成功,但当时对几家全球路由器制造商确实造成了影响。

上周六Shadow Brokers又一次泄露了大量美国NSA的文件,其中深度披露了方程式组织的黑客攻击方法。当时在 Medium 上的一篇长博文中,Shadow Brokers 分享了一个可以打开所有加密文件夹的密码,披露理由是不满“政府军对平民使用了化学武器”,疑似指代美国政府早些时候对叙利亚空军基地发动的导弹袭击。根据 Twitter 上的爆料,这批漏洞主要针对 Linux,似乎包含了 EQGRP 这套 Linux 工具。

时至本周五(2017年4月14日),Shadow Brokers终于忍不住,放出了之前剩下的部分文件,文件一出如同核武器被泄露,在整个安全圈都炸开了锅,文件包含23个神级黑客工具,多个Windows 远程漏洞利用工具。

受影响的Windows 版本:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

基本全球70%的Windows 服务器可能都暴露在危险之中。其中的SWIFT文件包里还揭露了NSA 黑客曾入侵中东多国 SWIFT 银行系统的PPT和Excel文件。表明了NSA已经入侵并获得了世界各地许多银行的访问权,其中大多数位于中东,如阿联酋,科威特,卡塔尔,巴勒斯坦,也门。

i春秋SRC部落入驻品牌微软安全应急响应中心MSRC已经在当天发出公告:MSRC表示会对披露的漏洞进行了彻底调查,并且表明就本次遭到披露的漏洞而言,大多数都已经被修复。(公告翻译内容由i春秋SRC部落独家提供,详情请查看副标题)

以下是经过MSRC确认,已在更新中被解决的漏洞列表,建议大家及时更新电脑到最新版本。

代码名称 解决方案
“ EternalBlue 永恒之蓝 MS17-010解决
“ EmeraldThread 翡翠线 MS10-061解决
“ EternalChampion 永恒冠军 CVE-2017-0146CVE-2017-0147解决
ErraticGopher 漂泊地鼠 在Windows Vista发布之前就已经解决
“ EsikmoRoll 爱斯基摩卷 MS14-068解决
“ EternalRomance 永恒罗曼史 MS17-010解决
“ EducatedScholar受过教育的学者 ” MS09-050解决
“ EternalSynergy永恒协同 ” MS17-010解决
“ EclipsedWing 黯淡羽翼 MS08-067解决

(这些可爱的漏洞名都是i春秋SRC部落小伙伴独创哟)

剩下的三个漏洞——“ EnglishmanDentist英国牙医 ”,“ EsteemAudit 尊严审计”和“ ExplodingCan 爆炸罐头”,在Windows 7、Windows近期版本、Exchange 2010以及Exchange较新版本中没有得到复现,所以使用上述版本的用户不存在安全风险。但MSRC仍然建议用户在使用这些产品先前版本的用户升级到更新版本。

目前泄露文件已经公开

原文件下载地址:

https://yadi.sk/d/NJqzpqo_3GxZA4

解密密码:

Reeeeeeeeeeeeeee

感兴趣的技术人员可以下载研究,相关安全专家也给出了一些想法和解决方案。

除了拨网线,想不到别的办法。想想,这只人家泄露的一小部分呢。隐藏的大杀器不敢想像。

——锦行科技CTO Jannock

所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏过,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。剩下的就是请稳定好情绪,坐等微软出补丁。

——长亭科技.Monster

关于 The Shadow Brokers 刚放出来的那个工具包,微软发布公告指出其中所用的漏洞都已被修复。也就是说,如果你用 Windows 7、Windows 10 并且及时打补丁,就不用担心。

另一方面,我也注意到,其中一些 2017 年 3 月修复的漏洞,攻击工具的编译时间是 2011 年。也就是说 CIA 在手里至少捏了 6 年。

——腾讯玄武实验室.TK

这次暴露的NSA武器库漏洞体现了交叉覆盖的威力了,款款精品总有一款满足你。03年我设计完成的“潜入者”渗透测试系统比这还覆盖得多,当时连续好多年基本上是现实中的window通杀,现实中用这套系统成功控制了很多安装有防火墙的APT攻击者自身工作电脑。端口涉及到135、139、445、80、42、1433、1025-1030等,漏洞有upnp、msg、webdav、asp、ras、wins、dns等等。关键一点,我已经意识到对0day武器库的管理很重要。这套系统,真正的是一个活的漏洞武器库。

这次泄露,有可能是某个或者某些使用者个人机器或者肉鸡的工作目录被端,导致0day泄漏。其实“潜入者”就是针对NSA这种需求做的一套APT系统。03年的设计,理念到现在还是那么先进。

——腾讯湛泸实验室.yuange

而面对这种指哪儿打哪儿的神级漏洞,大家也不要太过紧张,i春秋实验部已经在第一时间进行了相关漏洞的复现工作,将被暴露出的工具包,搭建到虚拟环境中,并通过部分工具进行教授,来进行漏洞复现,并告知修复方案。

实验覆盖内容

1、MetaSploit的“兄弟”漏洞利用平台:FUZZBUNCH ;

2、无法被杀毒软件检测的 Rootkit 利用工具:ODDJOB ;

3、IIS 6.0 远程漏洞利用工具:EXPLODINGCAN ;

4、SMB 漏洞利用程序:ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD

攻击范围:已开放 445 端口的Windows;

5、RDP 服务的远程漏洞利用工具:ESTEEMAUDIT

攻击范围:已开放3389 端口的 Windows 机器

6、Kerberos 的漏洞利用攻击:ESKIMOROLL

攻击范围: Windows 2000/2003/2008/2008 R2 的域控制器;

7、SMB1 的重量级利用:ETERNALROMANCE

攻击范围:已开放 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限 。

此条目发表在未分类, 资源收集分类目录。将固定链接加入收藏夹。