【突發新聞】「血雨腥風」將至？方程式組織黑客工具包再曝光，大量針對Windows系統嚴重0day泄露

上周末，Shadow Brokers公布了一批美國國家安全局所使用的黑客工具，而這周我們又迎來了Shadow Brokers的「每周武器推送」，新公布的文件能夠遠程攻破Windows系統，文件也顯示NSA同時也將目標瞄準了全球數家使用SWIFT系統的銀行機構。

去年8月份Shadow Brokers在網上放出方程式組織的入侵工具，這個「方程式組織」隸屬於NSA旗下。當時Shadow Brokers將工具打包成了2部分，其中一部分300MB提供免費下載，另外一部分加密文檔則以100萬比特幣的價格出售，可能是100萬比特幣的價格過於高昂導致無人問津，上周Shadow Brokers主動公布了這份300MB文件的解壓密碼。人們發現文件中包含Solaris操作系統遠程root 0day和NSA採用TOAST框架來清除Unix日誌的情況。

現在Shadow Brokers小組又在博客中發布了一份新的117.9 MB的加密文件，博客的標題為」Lost in Translation」，博客中，黑客小組公布了解壓密碼」Reeeeeeeeeeeeeee」。

安全專家@x0rz已經在GitHub上傳了解壓後的所有文件，文件中包含23款新的黑客工具。

這些工具被命名為OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar等。

文件概覽

解壓後的文件包含三個文件夾：Windows, Swift和OddJob。

Windows文件夾中包含眾多針對舊版Windows操作系統的黑客工具，影響的範圍包括Windows XP和Server 2003。

「ETERNALBLUE是一個能夠通過SMB和NBT影響最新版本Windows 2008 R2 SERVER的RCE 0day漏洞！」一位名叫Hacker Fantastic的安全研究人員稱。

另一個目錄是OddJob，OddJob能夠運行在Windows Server 2003 Enterprise到Windows XP專業版的系統上。文件夾中包含一個基於Windows的植入軟體並且包含一些配置文件和payload。目前關於這個植入軟體的信息比較少。

不過，安全人員使用在線掃描服務VirusTotal後發現，這些Windows exp能夠繞過所有主流殺毒軟體。安全架構師Kevin Beaumont通過Twitter證實，這些工具之前沒有被發現過。

安全研究員x0rz在twitter上表示，這次泄露的文件中只需要一些0day就能夠「黑掉全世界」了。

這次泄露的文件中最值得注意的就是一個名為SWIFT的文件夾，其中包含了NSA對SWIFT銀行系統發動攻擊的相關證據。

SWIFT（全球銀行間電信協會）是一個全球性的金融信息系統，每天全球數千家銀行和組織都通過這個系統進行轉賬，轉賬的數額高達數十億美元。

SWIFT文件夾包含EastNets的一些PPT文檔、相關的證據、一些登錄憑證和內部架構，EastNets是中東最大的SWIFT服務機構之一。

「SWIFT服務局在涉及SWIFT交易和信息時，相當於銀行的『雲』;銀行的交易由SWIFT服務局通過Oracle資料庫和SWIFT軟體進行託管和管理。」安全研究員Matt Suiche在一篇

中解釋道。

文件夾中包含了一個SQL腳本，用以從Oracle資料庫中查找信息如資料庫用戶和SWIFT信息。

除此之外，文件夾中還包含了一些Excel文件，文件表明方程式組織已經攻擊並且成功進入了世界上的很多銀行，大部分的銀行都位於阿聯酋、科威特、卡達、巴勒斯坦和葉門。

「巴勒斯坦銀行的SWIFT主機運行著Windows 2008 R2系統。因此NSA使用FUZZBUNCH成功入侵。」

不過，EastNets隨後發表聲明，否認服務局被入侵，並稱攻擊的相關報道「完全是假的、毫無根據的」。EastNets網路內部安全小組全面檢查了伺服器，沒有任何黑客入侵或者漏洞跡象。

「EastNets服務局運行在一個單獨的安全網路上，無法通過公共網路訪問。」

目前研究人員發現的exp包括：

ETERNALROMANCE：一款遠程提權漏洞(SYSTEM許可權)，針對的系統包含Windows XP到Windows 2008，通過TCP埠445進行利用

ENTERNALCHAMPION, ETERNALSYSTEM：針對Windows 8 and 2012的遠程利用

ETERNALBLUE：針對Windows XP to Windows 2012的SMB和NBT

EXPLODINGCAN：針對Windows 2003 IIS 6.0遠程利用

EWORKFRENZY：針對Lotus Domino 6.5.4和7.0.2

ETERNALSYNERGY：針對Windows 8和Windows Server 2012

FUZZBUNCH：一款類似Metasploit的Exploit框架

目前，安全研究人員們都在對相關文件進行深度的分析，之後也會有更多詳情爆光，FreeBuf也會時刻關注最新進展。

修復建議

此次嚴重0day漏洞主要影響SMB和RDP服務，以下內容僅為臨時處置方案：

在微軟發布官方補丁之前，建議臨時關閉SMB服務，可參考這裡。

PS C:WINDOWSsystem32> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

EnableSMB1Protocol EnableSMB2Protocol
—————— ——————
True True

PS C:WINDOWSsystem32> Set-SmbServerConfiguration -EnableSMB1Protocol $false
PS C:WINDOWSsystem32> Set-SmbServerConfiguration -EnableSMB2Protocol $false
PS C:WINDOWSsystem32> Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

EnableSMB1Protocol EnableSMB2Protocol
—————— ——————
False False

建議所有 Windows 伺服器、個人電腦，包括 XP/2003/Win7/Win8，Win 10 ，全部使用防火牆過濾/關閉 137、139、445埠；對於 3389 遠程登錄，如果不想關閉的話，至少關閉智能卡登錄功能。

相關資源

GitHub：https://github.com/x0rz/EQGRP_Lost_in_Translation

網盤下載地址：

https://yadi.sk/d/NJqzpqo_3GxZA4

*參考來源：THN & Medium，本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！