从这几天网上公开的信息和材料分析,美国的NSA很可能已经被黑。一个名为“The ShadowBrokers”的黑客组织声称他们黑进了方程式黑客组织(Equation Group)–一个据称与美国情报机构国家安全局(NSA)有关系的网络攻击组织,并下载了他们大量的攻击工具(包括恶意软件、私有的攻击框架及其它攻击工具)。上周末它们在网上公布了部分的资料,并发起了一次拍卖,声明在收到100万个比特币(当前价值约为5.6亿刀)后将公布剩余的资料。许多人员从对已公开资料的分析判断,The Shadow Brokers在网上公布的资料具有比较高的真实性。
文件下载地址:https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU
下载并解压缩文件后,其中有两个重要的文件,“eqgrp-free-file.tar.xz.gpg“和”eqgrp-auction-file.tar.xz.gpg“。两个文件都被使用GPG加密算法加密了,第一个根据提供的密码可以被解密出来,第二个要等拍卖结束后他们才会将解密密钥发给最高竞标者。他们描述说第二个加密文件包含了更有价值的内容。(其他几个文件为签名校验,可自行校验)
可使用支持GPG算法的工具解密“eqgrp-free-file.tar.xz.gpg“文件,工具下载链接:https://files.gpg4win.org/gpg4win-2.3.2.exe,解密密码:theequationgroup。
解密并解压缩“eqgrp-free-file.tar.xz.gpg“文件后,可以看到里面有个Firewall的文件夹。从文件夹的名称可以得出目前公布的资料应该都是针对防火墙设备的。
分析各文件夹名称及内容,各自对应的信息如下所示:
l OPS –攻击操作控制工具包;
l BANANAGLEE– Cisco & Juniper Devices;
l BARGLEE–Juniper Netscreen Devices;
l BLATSTING –穷举爆破;
l BUZZDIRECTION–远控脚本,此文件夹内含两个相同功能、不同版本的脚本;
l EXPLOITS–各目标系统漏洞的利用代码;
l SCRIPTS– 攻击脚本资源引用库;
l TOOLS– 辅助工具包(编码转换、IP格式转换、加密解密装换等等);
l TURBO–一些不同版本的二进制文件。
写个脚本把目录下的所有文件遍历下,列出各文件创建时间,排序下可以判断最早的文件创建于2009年,最晚的创建于2013年,且2013年创建的文件最多。
在BANANAGLEE/Install/SCP/文件夹下,可以看到很多asa开头的文件,基本可以判断这些型号的CISCO防火墙均受影响。
同样,在BANANAGLEE及BARGLEE文件夹下,还可以找到针对其他厂商的防火墙文件。
在各Install文件夹下,都有一个LP文件夹,里面都是针对各防火墙型号的攻击脚本,有pl、py、sh和其他可执行文件几种类型。从执行脚本时给出的提示可以大概感受到脚本的厉害,而具体的利用方法还需要进一步研究。
在EXPLOITS文件夹中,可以看到有以下子文件夹:
从目前已知的分析结果来看,各子文件夹对应的防火墙信息如下:(天融信也在其中)
l EGBL = EGREGIOUS BLUNDER (Fortigate Firewall + HTTPD exploit (apparently 2006 CVE )
l ELBA = ELIGIBLE BACHELOR
l ELBO = ELIGIBLE BOMBSHELL (Chinese TOPSEC firewall versions 3.3.005.057.1to 3.3.010.024.1)
l ELCA = ELIGIBLE CANDIDATE
l ELCO = ELIGIBLE CONTESTANT
l EPBA = EPIC BANANA
l ESPL = ESCALATE PLOWMAN
l EXBA = EXTRA BACON (Cisco Adaptive Security Appliance v8.0 to v8.4)
各子文件夹内都是具体的利用脚本,里面说明了各脚本支持的攻击目标版本。而所有的攻击手法和利用方法,都还需进一步研究。
最后,在SCRIPTS文件夹下,有个tunnel.py的文件,里面有段代码图,很好的描述了tunnel攻击的流程:穿透防火墙,直达内网目标。(从截图的最后一行注释来看,难道高级模式还没完成?而其代码部分确实是与simple模式是相同的。)
根据最新消息,Cisco已经确认了泄露文件中的一个SNMP 0day漏洞,利用该漏洞可重载系统或远程执行命令,但目前仍未发布修复补丁,参考链接。而Fortinet也表明低于4.x版本的防火墙也受The Shadow Brokers所泄露漏洞的影响,建议用户升级至5.x版本。
以上,从目前已知的情况来看,如果此次公布的资料都是真的(可信度极高),这又将是一次严重的安全事件,媲美甚至将超过去年发生的Hacking Team事件的影响。包括美国的思科、Juniper、Fortinet及中国的天融信等公司在内的众多路由器和防火墙设备都将受到安全威胁。而具体的影响目前还无法评估,我们将继续深入跟踪此事件的进展和影响。