频道栏目
首页 > 资讯 > 安全资讯 > 正文

NSA方程式又一波0day攻击泄露 覆盖全球70%的Windows服务器

2017-04-15 10:40:07           
收藏   我要投稿

NSA方程式又一波0day攻击泄露 覆盖全球70%的Windows服务器,北京时间 2017 年 4 月 14 日晚,Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 23 个最新黑客工具,甚至揭露 NSA 黑客曾入侵中东多国 SWIFT 银行系统。目前文件已在 GitHub 上公开,消息一出各国安全人员纷纷开始挖掘这一宝贵文件。,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。

文件中的黑客工具代号分别是 OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar。

 

\

 

Shadow Brokers这次公布的文件当中包含了多个精美的 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。

目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

 

\

 

这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):

EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具

ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。

除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。

ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。

FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。

ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。

ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具。

ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。

这些文件包含多个 Windows 神洞的利用工具,只要 Windows 服务器开了135、445、3389 其中的端口之一,有很大概率可以直接被攻击,这相比于当年的 MS08-067 漏洞有过之而无不及啊,如此神洞已经好久没有再江湖上出现过了。

这些工具的截图如下:

\
\
\
\

除 Windows 以外,“Shadow Brokers” 泄露的数据还显示方程式攻击了中东一些使用了 SWIFT银行结算系统的银行。专家表示 SWIFT 文件夹中一些 PPT 包含关于 EastNets 的内部架构和数据,这是中东最大的 SWIFT 服务机构之一。

\

文件中的 SQL 脚本,可用于查询 Oracle 数据库以获取广泛的信息,包括用户列表和 SWIFT 消息查询。文件夹中的 Excel 文件还显示了 NSA 联系“方程式黑客组织”已经对全球多家银行进行黑客入侵,其中大部分是中东国家(即 阿联酋,科威特,卡塔尔,巴勒斯坦和也门)。

\

不过 EastNets 当晚在官方发布公告否认公司系统曾遭黑客入侵,并质疑文档内容的真实性。

缓解措施

所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏过,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。

剩下的就是请稳定好情绪,坐等微软出补丁。

上一篇:快禁用App不必要的权限 手机传感器可能在监视你
下一篇:NSA武器泄漏引发网络世界“核弹危机” 360发布紧急响应措施
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站