本文讲的是NSA方程式泄漏工具包浅析,前日,臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers在steemit.com博客上提供了相关消息。据此,腾讯云鼎实验室对此进行了分析。本次被公开的工具包大小为117.9MB,包含23个黑客工具,其中部分文件显示NSA曾入侵中东SWIFT银行系统,工具包下载接见文后参考信息。

解密后的工具包:

 

其中Windows目录包括Windows利用工具和相关攻击代码,swift目录中是银行攻击的一些证据,oddjob目录是植入后门等相关文档。

Windows 目录:

Windows目录下包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响windows多个平台。

其中有三个目录较为重要:

A、Exploits:

包含了很多漏洞利用工具,这里摘取一些进行简要介绍:

经过初步梳理,重点关注对win server有影响的几个工具,更多工具展示见参考3。

Explodingcan                   IIS漏洞利用工具,只对Windows2003有影响
Eternalromance             SMB 和 NBT漏洞利用工具,影响端口139和445
Emphasismine              通过IMAP漏洞攻击,攻击的默认端口为143
Englishmansdentist      通过SMTP漏洞攻击,默认端口25
Erraticgopher          通过RPC漏洞攻击,端口为445
Eskimoroll              通过kerberos漏洞进行攻击,默认攻击端口88
Eclipsedwing          MS08-67漏洞利用工具
Educatedscholar   MS09-050漏洞利用工具
Emeraldthread        MB和 Netbios 漏洞利用工具,使用445端口和 139端口
Zippybeer                       SMTP漏洞利用工具,默认端口 445
Eternalsynergy               SMB漏洞利用工具,默认端口 445
Esteemaudit           RDP漏洞利用工具,默认攻击端口为3389

B、FUZZBUNCH:

是一个类似 MSF的漏洞利用平台工具,python编写。

C、Specials:

ETERNALBLUE:利用SMB漏洞,攻击开放445端口的windows机器。

影响范围如图:

ETERNALCHAMPION:利用SMB漏洞,攻击开放445端口的windows机器。

影响范围如图:

可以看出,其中多个工具,对于Windows Server系统均有覆盖。

ODDJOB目录:

支持向如下系统中植入后门代码,可以对抗avria和norton的检测。

工具包中提供了一个常见反病毒引擎的检测结论。

SWIFT文件夹:

存放一些金融信息系统被攻击的一些信息。部分被入侵的机器信息如下:

下面excel文件表明,方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。

其中一个入侵日志:

对我们的警示:

本次公开的工具包中,包含多个 Windows 漏洞的利用工具,只要Windows服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445和3389端口。在未来的一段时间内,互联网上利用这些公开的工具进行攻击的情况会比较多,除了提醒用户,发布预警外,需要加强入侵监控和攻击防范。

临时缓解措施:

1)升级系统补丁,确保补丁更新到最新版本。

2)使用防火墙、或者安全组配置安全策略,屏蔽对包括445、3389在内的系统端口访问。

原文发布时间为:2017年4月16日
本文作者:云鼎实验室 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

NSA方程式泄漏工具包浅析相关推荐

  1. ”NSA武器库-永恒之蓝“与“Wannacry蠕虫勒索软件”的双剑合璧

    5月12日起,大规模勒索病毒软件在全球蔓延,我国大量行业企业内网受到攻击,教育网受损严重,据悉,大量学校电脑感染勒索病毒,重要文件被加密. 这是不法分子利用NSA黑客武器库泄露的"永恒之蓝& ...

  2. CISCO 零日漏洞 CVE-2016-6415,由NSA方程组泄露档案中探得

    NSA 方程式小组泄露档案中暗藏新漏洞 思科(CISCO)揭示了一个新的0day漏洞--CVE-2016-6415,由影子经纪人盗取NSA方程式小组的档案中发现. 今年8月,一组叫做影子经纪人的黑客入 ...

  3. 影子经纪人再次归来,公开密码解密更多NSA黑客工具!连中国运营商都被入侵过?...

    影子经纪人再次归来,公开密码解密更多NSA黑客工具!连中国运营商都被入侵过? 我们最近一次报道Shadow Brokers的消息是在今年1月份,当时Shadow Brokers似乎已经"决定 ...

  4. 年终盘点丨细数2017云栖社区20大热点话题(附100+话题清单)

    2017,你在聚能聊里分享了多少内容?贡献了多少话题?又收获了多少呢?社区聚能聊不仅可以请教技术难题,探讨热点话题,也可以八卦日常生活,分享码农们的点点滴滴. 程序员的世界不止是眼前的代码,一样有诗和 ...

  5. 2017-2018-2 20155314《网络对抗技术》Exp5 MSF基础应用

    2017-2018-2 20155314<网络对抗技术>Exp5 MSF基础应用 目录 实验内容 实验环境 基础问题回答 预备知识 实验步骤--基于Armitage的MSF自动化漏洞攻击实 ...

  6. 基于Armitage的MSF自动化集成攻击实践

    基于Armitage的MSF自动化集成攻击实践 目录 0x01 实践环境 0x02 预备知识 0x03 Armitage基础配置 0x04 Nmap:Armitage下信息搜集与漏洞扫描 0x05 A ...

  7. BlackArch-Tools

    BlackArch-Tools 简介安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 B ...

  8. 第5章域内横向移动分析及防御

    目录 第5章域内横向移动分析及防御 5.1 常用Windows远程连接和相关命令 5.1.1 IPC 5.1.2使用Windows自带的工具获取远程主机信息 5.1.3计划任务 5.2Windows系 ...

  9. mysql psm 编程_【SQL】持久性存储模块PSM

    1. 创建PSM函数和过程 创建过程: CREATE PROCEDURE 名字 (参数) 局部声明: 过程体: 创建函数: CREATE FUNCTION 名字 (参数) RETURNS 类型 局部声 ...

最新文章

  1. 64位虚拟机下asm()语法_用Hyper-V在win10中创建虚拟机,简单快捷,不用安装其它软件...
  2. Scala的partition函数
  3. 江苏大学21考研计算机技术上岸
  4. AcWing 895. 最长上升子序列(LIS朴素做法)
  5. 第一次注册苹果开发者账号
  6. 全DIY主题+小工具 正版Win7桌面新体验windows7旗舰版主
  7. 苹果手机投影到墙上_针对商业用户倾情打造,明基E582智能无线投影仪体验
  8. 图解Java类加载机制
  9. 基于三菱PLC的两轴圆弧插补
  10. 中南大学19软工上岸青年的一点考研经验
  11. docker集群部署dble
  12. 神经元的结构示意图手绘,神经元的结构图手绘
  13. 2013中国Linux内核开发者大会亮点汇总
  14. 计算机开机后无法网络拨号怎样处理,电脑不能上网了怎么办?教你宽带故障排查方法...
  15. DAMA数据管理知识体系指南之数据安全管理
  16. 着眼未来 巅峰对决 | “智算之道—2020人工智能应用挑战赛”圆满收官!
  17. 34---JS基础-----switch练习
  18. linux常用命令_Linux常用命令 unzip
  19. 苹果电脑怎么安装python库_Mac环境下安装python库时出现ModuleNotFoundError: No module named 'XXX'...
  20. 计算机报名照片怎么在线修图

热门文章

  1. 单图像超分辨率重建示例代码解析
  2. python 代码库之遍历ttf字库编码和字符(含demo)
  3. table 表格如何设置单元格固定长度
  4. unity-动画 Animation read-only 问题
  5. 未能找到类型或命名空间名称“XXXX”(是否缺少 using 指令或程序集引用?)解决
  6. ElasticSearch健康检查localhost:9200 not reachable
  7. 转载:24岁,我终于有了我自己的公司(一个深圳创业者故事)
  8. 企业邮箱登录入口,企业邮箱在哪登录?邮箱ssl安全吗?
  9. 第三方支付机构有哪些?他们的资金是如何运作保障用户的资金安全的?
  10. tableau的动态参数和横向对比堆叠柱形图