臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers 在 steemit.com博客上提供了相关消息。

本次被公开的工具包大小为117.9MB,包含23 个黑客工具,其中部分文件显示 NSA 曾入侵中东 SWIFT 银行系统,工具包下载接见文后参考信息。

解密后的工具包:

其中 Windows 目录包括 Windows 利用工具和相关攻击代码,swift 目录中是银行攻击的一些证据,oddjob 目录是植入后门等相关文档。

Windows 目录:

Windows目录下包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响windows多个平台。

其中有三个目录较为重要:

A、Exploits:

包含了很多漏洞利用工具,这里摘取一些进行简要介绍:

经过初步梳理,重点关注对win server有影响的几个工具,更多工具展示见参考3。

  • Explodingcan IIS 漏洞利用工具,只对 Windows 2003有影响

  • Eternalromance SMB 和 NBT 漏洞利用工具,影响端口139 和445

  • Emphasismine 通过 IMAP漏洞攻击,攻击的默认端口为143

  • Englishmansdentist 通过 SMTP 漏洞攻击,默认端口25

  • Erraticgopher 通过 RPC 漏洞攻击,端口为445

  • Eskimoroll 通过 kerberos 漏洞进行攻击,默认攻击端口88

  • Eclipsedwing MS08-67 漏洞利用工具

  • Educatedscholar MS09-050 漏洞利用工具

  • Emeraldthread MB 和 Netbios 漏洞利用工具,使用445 端口和139 端口

  • Zippybeer SMTP 漏洞利用工具,默认端口445

  • Eternalsynergy SMB 漏洞利用工具,默认端口445

  • Esteemaudit RDP 漏洞利用工具,默认攻击端口为3389

B、FUZZBUNCH:

是一个类似 MSF的漏洞利用平台工具,python编写。

C、Specials:

ETERNALBLUE :利用 SMB 漏洞,攻击开放445 端口的 windows 机器。

影响范围如图:

ETERNALCHAMPION :利用SMB漏洞,攻击开放445端口的windows机器。

影响范围如图:

可以看出,其中多个工具,对于windows server系统均有覆盖。

ODDJOB目录:

支持向如下系统中植入后门代码,可以对抗 avria 和 norton 的检测。

工具包中提供了一个常见反病毒引擎的检测结论。

SWIFT文件夹:

存放一些金融信息系统被攻击的一些信息。部分被入侵的机器信息如下:

下面excel文件表明,方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。

其中一个入侵日志:

对我们的警示:

本次公开的工具包中,包含多个 Windows 漏洞的利用工具,只要 Windows 服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445 和3389 端口。在未来的一段时间内,互联网上利用这些公开的工具进行攻击的情况会比较多,除了提醒用户,发布预警外,需要加强入侵监控和攻击防范。

临时缓解措施:

1、升级系统补丁,确保补丁更新到最新版本。

2、使用防火墙、或者安全组配置安全策略,屏蔽对包括445 、3389 在内的系统端口访问。

参考附录:

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
https://github.com/x0rz/EQGRP_Lost_in_Translation
https://zhuanlan.zhihu.com/p/26375989
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

此文已由作者授权腾讯云技术社区发布,转载请注明文章出处

黑客工具包ShadowBrokers浅析的更多相关文章

  1. 【经典漏洞案例】NSA黑客工具包——Windows 0day验证实验

    还记得今年4月中旬,Shadow Brokers(影子经纪人)黑客组织发布出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,此工具集覆盖大量的Windows服务 器,可以被任何 ...

  2. PC-大概最全的黑客工具表了

    纯真IP数据库查询程序 ­ remote administrator ­ (rar解密)ZiperelloV2.0 汉化版.zip ­ (代理跳板)SkSockServer1.09.zip ­ [ar ...

  3. "WannaCry"勒索病毒用户处置指南

    "WannaCry"勒索病毒用户处置指南   原文: http://mp.weixin.qq.com/s/ExsribKum9-AN1ToT10Zog    卡巴斯基,下载官网:h ...

  4. 3000本IT书籍下载地址

    http://www.shouce.ren/post/d/id/112300    黑客攻防实战入门与提高.pdfhttp://www.shouce.ren/post/d/id/112299    黑 ...

  5. 关于Windows勒索病毒以及445端口防护

    前两天,与这个周末,5月12日起,Onion.WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,大量个人和企业.机构用户中招. 与以往不同的是,这次的新变种病毒添加了NSA(美国国家安 ...

  6. Setup "EQGRP_Lost_in_Translation" Of NAS

    Setup "EQGRP_Lost_in_Translation" Of NAS 1.前言: 北京时间4月14号晚,TheShadowBrokers在steemit.com博客上放 ...

  7. python实战===2017年30个惊艳的Python开源项目 (转)

    本文转自:http://www.sohu.com/a/216723120_115128 摘要:本文来自Mybridge,介绍了过去一年里30个惊艳的Python开源项目.点击每一个都可以在GitHub ...

  8. mestasploit笔记 :MS17-010

    实验环境 操作机 :Kali 2017 操作机IP:172.16.11.2 目标机:Windows 7 目标机IP:172.16.12.2 实验目的 认知Windows远程溢出漏洞的危害 知悉MS17 ...

  9. Python开源项目Top30

    原文地址:https://www.cnblogs.com/stoker/p/9101825.html No 1:Home-assistant (v0.6+) 基于Python 3的开源家庭自动化平台[ ...

随机推荐

  1. python----异常处理(二)

    格式如下: try:     pass except Exception as e:#如果上面出错,执行下面代码     pass else:#try如果没出错执行此下面代码     pass fin ...

  2. Android Issue分析方法(用anr来说明)

    Log的产生大家都知道 , 大家也都知道通过DDMS来看log , 但什么时候会产生log文件呢 ?一般在如下几种情况会产生log文件 . 1,程序异常退出 , uncaused exception ...

  3. 开源项目Universal Image Loader for Android 说明文档 (1) 简介

     When developing applications for Android, one often facesthe problem of displaying some graphical ...

  4. jdk1.8 HashMap 实现 数组+链表/红黑树

    转载至 http://www.cnblogs.com/leesf456/p/5242233.html 一.前言 在分析jdk1.8后的HashMap源码时,发现网上好多分析都是基于之前的jdk,而Ja ...

  5. nodejs express project

    user root install express npm install express -g install express... npm install express-generator -g ...

  6. Qt图形视图体系结构示例解析(视图、拖拽、动画)

    本博的示例来自与QT Example:C:\Qt\Qt5.9.3\Examples\Qt-5.9.3\widgets\graphicsview\dragdroprobot 将通过分析示例完成主要功能: ...

  7. C#进阶之路(七)反射的应用

    反射在C#中的应用还是很多的,但它对代码的性能有一定影响. 反射的性能: 使用反射来调用类型或者触发方法,或者访问一个字段或者属性时clr 需要做更多的工作:校验参数,检查权限等等,所以速度是非常慢的 ...

  8. 选择第n大的数(分治法和排列实现)

    个人心得:在买的书上看到的一个经典分治题,题目意思就是给定一个数组,求第k小的数. 第一反应就是排序,然后返回第k-1位置的数就可以了,这样算法的复杂度是nlongn,在快速排序的基础下还是挺不错的. ...

  9. sublime text3 中设置默认浏览器,并且设置快捷键

    1.打开packageControl   对应快捷键  command + shift + p 2.输入install package 3.安装插件 SideBarEnhancements 4.安装了 ...

  10. push()、shift()与pop()、unshift()、splice()

    1.末端的添加和移除:push()是用来在数组末端添加项,pop()在数组末端移除项: 2.前端的添加和移除:shift()在移除数组的第一个项(前端),unshift()在数组前端添加项: 3.pu ...