BenignCertain：NSA被黑事件，黑客组织泄漏了工具

一、前言

一转眼，我们又来到了这个熟悉又陌生的星期五了。在过去的这一周，网络安全领域中最“吸睛”的事件肯定非“NSA被黑事件”莫属了。美国时间2016年8月15日，一个名为“The Shadow Brokers”的黑客组织泄漏了大量黑客工具，并且他们还声称这些黑客工具是由美国国家安全局开发的。如果你还不了解这一事件的话，可以访问我们安全客的官方网站以了解详情。

二、泄漏文件如何获取?

基本的内容铺垫工作已经完成，接下来就不废话了，直接进入正题。

“The Shadow Brokers”此次公布的文件主要分为两个tar压缩文件：其中一个文件名为“eqgrp-free-file.tar.xz.gpg”，这份文件的解压密码为“theequationgroup”;另外一个压缩文件为“eqgrp-auction-file.tar.xz.gpg”。从“The Shadow Brokers”所想表达的意思来看，文件“eqgrp-auction-file.tar.xz.gpg”中应该包含有更多“劲爆”的内容。在比特币拍卖活动结束之后，这份文件的解压密钥将会提供给竞价最高的人。不过鉴于目前外界对这份文件有着各种各样的猜测，那么这份文件的真实价值到底有多少呢?也许只有那位竞价最高的人才会知道了。

目前大家可以从MEGA网盘下载这份文件，但是我们估计这份文件可能马上就会被删除了(就像GitHub一样)，所以感兴趣的读者请赶紧将文件下载下来保存好。截止本篇文章发稿前，这个地址仍然是可访问的，如果读者们发现地址已经失效了，可以在文章下方留下邮箱地址，小编会在看到回复后的第一时间将原始文件发送至您的邮箱。

../20220623/file.html(234.9MB)

下载完成之后，大家可以对比“sha256sum.txt”文件中提供的校验码来查验文件是否是原始文件。

光有解压密码(“theequationgroup”)是无法解密文件“eqgrp-free-file.tar.xz.gpg”的。由于文件采用了GPG算法来进行压缩加密，所以我们需要下载专用的工具来解压文件。

解压工具下载地址：点击下载(工具支持Windows/OS X/Linux/Android等主流操作平台)

工具的使用方法在这里就不进行讲解了，感兴趣的读者请自行搜索解决。将压缩文件“eqgrp-free-file.tar.xz.gpg”解压之后，我们将会得到下列文件：

你会发现，根目录的目录名称为“Firewall”，即“防火墙”。看来这些文件的确和“The Shadow Brokers”描述的一样，这些都是针对防火墙设备的黑客软件。点击“TOOLS”文件夹，你就会看到我们今天的主角了-“BenignCertain”。

注：如果各位对这份文件中其他的黑客工具感兴趣的话，请在评论下方留言，我们会给大家带来详细的后续报道!

在对BenignCertain工具进行讲解之前，先简单介绍一下“Firewall”目录下的其他工具。

-BANANAGLEE：针对Cisco和Juniper防火墙设备的攻击工具，可以用于在目标设备中植入恶意后门;

-BARGLEE：针对Juniper Netscreen设备的攻击工具;

-BLATSTING：用于穷举爆破的工具;

-BUZZDIRECTION：远程控制脚本;

-EXPLOITS：针对各个目标系统的漏洞利用代码;

-OPS：攻击过程中需要使用到的一些操作工具;

-SCRIPTS：攻击脚本资源;

-TOOLS：攻击辅助工具包;

-TURBO：针对不同设备的原始攻击代码;

注：对其他文件的感兴趣的读者可以点击这里了解更多的详细内容。

三、今天的主角-BenignCertain

通过本文的第二步操作，我们获取到了“BenignCertain”目录下的数据。那么这一个黑客工具到底有什么用呢?首先，我们看看该目录下到底有哪些文件。

为了解答这个问题，安全研究专家对这份工具进行了详细的分析。分析结果显示，这是一款针对思科PIX防火墙设备的远程漏洞利用工具。该工具可以向目标设备发送一个Internet密钥交换(IKE)数据包，并通过该数据包导出目标设备内存中的数据。攻击者在得到这些内存数据之后，便可以从中提取出RSA私钥和其他的一些敏感配置信息(例如防火墙的VPN配置信息)。

值得注意的是，这份黑客工具针对的是5.2(9)至6.3(4)版本的思科PIX防火墙，而这些版本的思科PIX产品早就已经停用了，所以这份工具实际上并不会产生多大的效应。

这份漏洞利用工具主要由三个二进制文件组成，每一个文件代表着漏洞利用过程中的一步单独操作。

首先，我们的第一步是执行“bc-genpkt”程序。这一步操作会生成一个IKE数据包，数据包的大小是可以任意指定的，其大小必须大于96字节，小于65536字节。除此之外，数据包中的部分内容也可以由攻击者控制。

在第一步操作中，我们生成了一个数据包文件，这份文件可以作为二进制文件“bc-id”的输入数据，“bc-id”负责将数据包发送至目标主机。

在对“bc-id”的源代码进行了分析之后，安全研究专家们发现，这个程序似乎会操作目标设备的内存数据，并在目标主机的响应信息中搜索目标数据。但是，安全专家Hector Martin认为，其中有部分代码是完全没有任何实际意义的。

随后，“bc-id”程序会输出一个文件，然后这个文件又会作为“bc-parser”程序的输入数据。而“bc-parser”程序主要负责对目标主机返回的响应数据进行解析处理。

“bc-parser”程序二进制代码中的字符串显示，该工具所提取出的信息中包含有目标主机中VPN的详细配置数据和RSA私钥。

值得注意的是，“bc-parser”程序还可以读取目标主机的内存数据。

除了上述的程序之外，该工具的目录下还包含有很多针对不同加密算法的payload。安全研究专家Maksym Zaitsev发现，该工具在其payload中还使用了ISAKMP协议(因特网安全协议与密钥管理协议)。

Maksym Zaitsev表示：“该工具会使用ISAKMP协议和AES、DES或者3DES等加密算法来加密其攻击payload。”

四、总结

思科公司在前两天正式宣布修复了两个与此次事件相关的漏洞，其中还包括一个0 day漏洞在内。从这一点看来，“The Shadow Brokers”此次泄漏的数据真实度非常高。再加上越来越多的安全专家开始对泄漏文件进行分析，随着时间的推移，事件的脉络也会愈发变得清晰。安全客也会在第一时间给大家带来与此次“NSA被黑事件”相关的最新报道。