NSA神级机密文件再泄露,i春秋首发在线实验环境!

昨天一早大家朋友圈就开始被ShadowBrokers再次泄露美国NSA方程式组织一大波0day和机密文档的消息刷屏,国内外安全圈哗声一片。

为什么说再次呢,因为早在去年8月份的时候黑客组织ShadowBrokers就声称攻破了给NSA开发网络武器的美国黑客团队方程式组织(EquationGroup),并公开拍卖据称是美国政府使用的黑客工具。为了证明自己,Shadow

Brokers还贴出了部分文件在网上,然后要求以100万比特币(现价约超过5亿美元)的价格进行拍卖,拍卖事件由于信息的扑朔迷离未能成功,但当时对几家全球路由器制造商确实造成了影响。

上周六ShadowBrokers又一次泄露了大量美国NSA的文件,其中深度披露了方程式组织的黑客攻击方法。当时在Medium上的一篇长博文中,ShadowBrokers分享了一个可以打开所有加密文件夹的密码,披露理由是不满「政府军对平民使用了化学武器」,疑似指代美国政府早些时候对叙利亚空军基地发动的飞弹袭击。根据Twitter

上的爆料,这批漏洞主要针对Linux,似乎包含了EQGRP这套Linux工具。

时至本周五(2017年4月14日),ShadowBrokers终于忍不住,放出了之前剩下的部分文件,文件一出如同核武器被泄露,在整个安全圈都炸开了锅,文件包含23个神级黑客工具,多个Windows远程漏洞利用工具。

受影响的Windows版本:WindowsNT,Windows2000、WindowsXP、Windows2003、WindowsVista、Windows7、Windows8,Windows2008、Windows2008R2、WindowsServer2012SP0

基本全球70%的Windows伺服器可能都暴露在危险之中。其中的SWIFT文件包里还揭露了NSA黑客曾入侵中东多国SWIFT银行系统的PPT和Excel文件。表明了NSA已经入侵并获得了世界各地许多银行的访问权,其中大多数位于中东,如阿联,科威特,卡达,巴勒斯坦,叶门。

i春秋SRC部落入驻品牌微软安全应急响应中心MSRC已经在当天发出公告:MSRC表示会对披露的漏洞进行了彻底调查,并且表明就本次遭到披露的漏洞而言,大多数都已经被修复。(公告翻译内容由i春秋SRC部落独家提供,详情请查看副标题)

以下是经过MSRC确认,已在更新中被解决的漏洞列表,建议大家及时更新电脑到最新版本。

代码名称

解决方案

「EternalBlue永恆之蓝」

由MS17-010解决

「EmeraldThread翡翠线」

由MS10-061解决

「EternalChampion永恆冠军」

由CVE-2017-0146和CVE-2017-0147解决

「ErraticGopher漂泊地鼠」

在WindowsVista发布之前就已经解决

「EsikmoRoll爱斯基摩卷」

由MS14-068解决

「EternalRomance永恆罗曼史」

由MS17-010解决

「EducatedScholar受过教育的学者」

由MS09-050解决

「EternalSynergy永恆协同」

由MS17-010解决

「EclipsedWing黯淡羽翼」

由MS08-067解决

(这些可爱的漏洞名都是i春秋SRC部落小伙伴独创哟)

剩下的三个漏洞——「EnglishmanDentist英国牙医」,「EsteemAudit尊严审计」和「ExplodingCan爆炸罐头」,在Windows7、Windows近期版本、Exchange2010以及Exchange较新版本中没有得到复现,所以使用上述版本的用户不存在安全风险。但MSRC仍然建议用户在使用这些产品先前版本的用户升级到更新版本。

目前泄露文件已经公开

原文件下载地址:

解密密码:

Reeeeeeeeeeeeeee

感兴趣的技术人员可以下载研究,相关安全专家也给出了一些想法和解决方案。

除了拨网线,想不到别的办法。想想,这只人家泄露的一小部分呢。隐藏的大杀器不敢想像。

——锦行科技CTOJannock

所有Windows伺服器、个人电脑,包括XP/2003/Win7/Win8,Win10最好也不要漏过,全部使用防火墙过泸/关闭137、139、445埠;对于3389远程登录,如果不想关闭的话,至少要关闭智慧卡登录功能。剩下的就是请稳定好情绪,坐等微软出补丁。

——长亭科技.Monster

关于TheShadowBrokers刚放出来的那个工具包,微软发布公告指出其中所用的漏洞都已被修复。也就是说,如果你用Windows7、Windows10并且及时打补丁,就不用担心。

另一方面,我也注意到,其中一些2017年3月修复的漏洞,攻击工具的编译时间是2011年。也就是说CIA在手里至少捏了6年。

——腾讯玄武实验室.TK

这次暴露的NSA武器库漏洞体现了交叉覆盖的威力了,款款精品总有一款满足你。03年我设计完成的「潜入者」渗透测试系统比这还覆盖得多,当时连续好多年基本上是现实中的window通杀,现实中用这套系统成功控制了很多安装有防火墙的APT攻击者自身工作电脑。埠涉及到135、139、445、80、42、1433、1025-1030等,漏洞有upnp、msg、webdav、asp、ras、wins、dns等等。关键一点,我已经意识到对0day武器库的管理很重要。这套系统,真正的是一个活的漏洞武器库。

这次泄露,有可能是某个或者某些使用者个人机器或者肉鸡的工作目录被端,导致0day泄漏。其实「潜入者」就是针对NSA这种需求做的一套APT系统。03年的设计,理念到现在还是那么先进。

——腾讯湛泸实验室.yuange

而面对这种指哪儿打哪儿的神级漏洞,大家也不要太过紧张,i春秋实验部已经在第一时间进行了相关漏洞的复现工作,将被暴露出的工具包,搭建到虚拟环境中,并通过部分工具进行教授,来进行漏洞复现,并告知修复方案。

实验覆盖内容

1、MetaSploit的「兄弟」漏洞利用平台:FUZZBUNCH;

2、无法被杀毒软体检测的Rootkit利用工具:ODDJOB;

3、IIS6.0远程漏洞利用工具:EXPLODINGCAN;

4、SMB漏洞利用程序:ERRATICGOPHER、ETERNALBLUE、ETERNALSYNERGY、ETERNALCHAMPION、EDUCATEDSCHOLAR、EMERALDTHREAD

受影响范围:已开放445埠的Windows;

5、RDP服务的远程漏洞利用工具:ESTEEMAUDIT

受影响范围:已开放3389埠的Windows机器

6、Kerberos的漏洞利用实验:ESKIMOROLL

受影响范围:Windows2000/2003/2008/2008R2的域控制器;

7、SMB1的重量级利用:ETERNALROMANCE

受影响范围:已开放445埠的WindowsXP,2003,Vista,7,Windows8,2008,2008R2并提升至系统权限。

当神级漏洞和工具爆出的一刻,只有快速了解和掌握它,才能更好的防止它带来的安全威胁,而方程式被泄露的这些文件,更是具有核武器一般的威力。

如此难得的一个黑客组织文件泄露,大家一定不希望错过这个历史时刻。想在第一时间一窥究竟,快来跟随i春秋实验室小哥的脚步,一键开启身临其境的实验复现吧!前往i春秋学院官网首页体验在线实验环境吧~