Equation Group泄露文件分析
*本文原创作者:白泽安全团队,本文属FreeBuf原创奖励计划,未经许可禁止转载
从这几天网上公开的信息和材料分析,美国的NSA很可能已经被黑。
一个名为“The ShadowBrokers”的黑客组织声称他们黑进了方程式黑客组织(Equation Group)–一个据称与美国情报机构国家安全局(NSA)有关系的网络攻击组织,并下载了他们大量的攻击工具(包括恶意软件、私有的攻击框架及其它攻击工具)。
上周末它们在网上公布了部分的资料,并发起了一次拍卖,声明在收到100万个比特币(当前价值约为5.6亿刀)后将公布剩余的资料。许多人员从对已公开资料的分析判断,The Shadow Brokers在网上公布的资料具有比较高的真实性。
文件下载地址:https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
下载并解压缩文件后,其中有两个重要的文件,“eqgrp-free-file.tar.xz.gpg“和”eqgrp-auction-file.tar.xz.gpg“。
两个文件都被使用GPG加密算法加密了,第一个根据提供的密码可以被解密出来,第二个要等拍卖结束后他们才会将解密密钥发给最高竞标者。
他们描述说第二个加密文件包含了更有价值的内容。(其他几个文件为签名校验,可自行校验)
可使用支持GPG算法的工具解密“eqgrp-free-file.tar.xz.gpg“文件,工具下载链接:https://files.gpg4win.org/gpg4win-2.3.2.exe,解密密码:theequationgroup。
解密并解压缩“eqgrp-free-file.tar.xz.gpg“文件后,可以看到里面有个Firewall的文件夹。从文件夹的名称可以得出目前公布的资料应该都是针对防火墙设备的。
分析各文件夹名称及内容,各自对应的信息如下所示:
l OPS –攻击操作控制工具包; l BANANAGLEE– Cisco & Juniper Devices; l BARGLEE–Juniper Netscreen Devices; l BLATSTING –穷举爆破; l BUZZDIRECTION–远控脚本,此文件夹内含两个相同功能、不同版本的脚本; l EXPLOITS–各目标系统漏洞的利用代码; l SCRIPTS– 攻击脚本资源引用库; l TOOLS– 辅助工具包(编码转换、IP格式转换、加密解密装换等等); l TURBO–一些不同版本的二进制文件。
写个脚本把目录下的所有文件遍历下,列出各文件创建时间,排序下可以判断最早的文件创建于2009年,最晚的创建于2013年,且2013年创建的文件最多。
在BANANAGLEE/Install/SCP/文件夹下,可以看到很多asa开头的文件,基本可以判断这些型号的CISCO防火墙均受影响。
同样,在BANANAGLEE及BARGLEE文件夹下,还可以找到针对其他厂商的防火墙文件。
在各Install文件夹下,都有一个LP文件夹,里面都是针对各防火墙型号的攻击脚本,有pl、py、sh和其他可执行文件几种类型。从执行脚本时给出的提示可以大概感受到脚本的厉害,而具体的利用方法还需要进一步研究。
在EXPLOITS文件夹中,可以看到有以下子文件夹:
从目前已知的分析结果来看,各子文件夹对应的防火墙信息如下:(天融信也在其中)
l EGBL = EGREGIOUS BLUNDER (Fortigate Firewall + HTTPD exploit (apparently 2006 CVE )
各子文件夹内都是具体的利用脚本,里面说明了各脚本支持的攻击目标版本。而所有的攻击手法和利用方法,都还需进一步研究。
最后,在SCRIPTS文件夹下,有个tunnel.py的文件,里面有段代码图,很好的描述了tunnel攻击的流程:穿透防火墙,直达内网目标。(从截图的最后一行注释来看,难道高级模式还没完成?而其代码部分确实是与simple模式是相同的。)
根据最新消息,Cisco已经确认了泄露文件中的一个SNMP 0day漏洞,利用该漏洞可重载系统或远程执行命令,但目前仍未发布修复补丁。
而Fortinet也表明低于4.x版本的防火墙也受The Shadow Brokers所泄露漏洞的影响,建议用户升级至5.x版本。
以上,从目前已知的情况来看,如果此次公布的资料都是真的(可信度极高),这又将是一次严重的安全事件,媲美甚至将超过去年发生的Hacking Team事件的影响。
包括美国的思科、Juniper、Fortinet及中国的天融信等公司在内的众多路由器和防火墙设备都将受到安全威胁。而具体的影响目前还无法评估,我们将继续深入跟踪此事件的进展和影响。
*本文原创作者:白泽安全团队,本文属FreeBuf原创奖励计划,未经许可禁止转载
- 数据结构 | 栈
- mybatis 针对SQL Server 的 主键id生成策略
- 算法 | 排序算法图形化比较:快速排序、插入排序、选择排序、冒泡排序
- WCF 添加 RESTful 支持,适用于 IIS、Winform、cmd 宿主
- 在CentOS 7上安装Nginx服务器
- 卷积神经网络 | 深度学习笔记1
- 【直播】我的基因组65:看看哪些基因的突变较多,哪些较少
- angular之interceptors拦截器
- js list数据 转 树状 层级 JSON,递归生成树状 层级 JSON
- jquery 图片文件转base64 显示
- AngularJS 用 $http.jsonp 跨域SyntaxError问题
- 简单的java socket 示例
- Hadoop二次开发环境构建
- Android EditText 获得输入焦点 以及requestfocus()失效的问题
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 算法和数据结构:归并排序
- 算法和数据结构: 二 基本排序算法
- 非中间人就没法劫持TCP了吗?
- HW在即——红队活动之Lnk样本载荷篇
- 用正则表达式修改html字符串的所有div的style样式
- 深入理解 WebSecurityConfigurerAdapter【源码篇】
- 算法和数据结构: 十二 无向图相关算法基础
- 算法和数据结构: 十一 哈希表
- 【DB笔试面试849】在Oracle中,在没有配置ORACLE_HOME环境变量的情况下,如何获取ORACLE_HOME目录?
- 算法和数据结构: 九 平衡查找树之红黑树
- 算法和数据结构: 七 二叉查找树
- Python 面向对象编程(下篇)
- 算法和数据结构: 符号表及其基本实现
- 算法和数据结构:堆排序
- mysql 优化海量数据插入和查询性能