美国NSA方程式组织(Equation Group)被The Shadow Brokers(影子经纪人)hack出来并免费分享了源码。

相关工具及源码可以在以下链接下载(免费可解部分):

其文件夹相关介绍可以在以下链接查看: https://musalbas.com/2016/08/16/equation-group-firewall-operations-catalogue.html

内容简介

主要涉及的源码内容是针对防火墙的扫描器、漏洞利用框架等等:

  • BLATSTING — 穷举爆破
  • EXPLOITS — 漏洞利用代码
  • OPS — 攻击操作控制工具包
  • SCRIPTS — 脚本资源引用库
  • TOOLS — 辅助工具包(编码转换、IP格式转换、加密解密装换等等)

其中EXPLOIT文件夹下主要是一些内容:

EGREGIOUSBLUNDER(EGBL) :Fortigate(飞塔)防火墙,利用HTTP cookie溢出漏洞来实现远程代码执行。影响60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600, 和 3600A型号。这些防火墙的型号可以通过检查防火墙HTTP header中的ETag判断。该漏洞并不是Avast检查出的 CVE-2006-6493。 点击查看该漏洞

ELIGIBLEBACHELOR(ELBA) :运行TOS操作系统的天融信防火墙的漏洞利用文件,影响版本3.2.100.010, 3.3.001.050, 3.3.002.021 and 3.3.002.030. 攻击向量未知,但是有类似于XML的payload,以<?tos length="001e:%8.8x"?> 开头。

ELIGIBLEBOMBSHELL(ELBO) :天融信防火墙远程代码执行,利用了HTTP cookie 命令注入漏洞,影响版本 3.2.100.010.1pbc17iv3 to 3.3.005.066.1 ,通过ETag 验证检查版本。

ELIGIBLECANDIDATE (ELCA) :天融信防火墙HTTP cookie 注入导致的命令注入漏洞,影响版本 3.3.005.057.1 to 3.3.010.024.1 。

ELIGIBLECONTESTANT(ELCO):天融信防火墙HTTP POST 参数注入导致的命令执行漏洞,影响版本3.3.005.057.1 to 3.3.010.024.1 。

EPICBANANA(EPBA):影响一系列思科设备,包括 Cisco Adaptive Security Appliance (ASA) 和Cisco Private Internet eXchange (PIX) 设备的提权漏洞,利用了思科设备的默认登录凭证。影响ASA 版本 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, 832 ,以及PIX 版本 711, 712, 721, 722, 723, 724, 804 。

ESCALATEPLOWMAN(ESPL):WatchGuard 防火墙的未知版本,通过ifconfig命令的代码执行漏洞进行提权 。

EXTRABACON(EXBA):影响一系列思科设备,包括Cisco Adaptive Security Appliance (ASA) ,影响ASA 版本 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, 844,利用了SNMP的溢出漏洞,需要明确目标的更新时间和软件版本 。

相关资讯

根据国外媒体的最新爆料,美国国家安全局(NSA)貌似遭到了黑客的攻击。这个黑客团伙声称他们入侵了“Equation Group”(方程式组织),并将他们从该黑客组织的计算机系统中所获取到的大部分黑客工具全部泄漏在了互联网上。

这一黑客团伙自称为“The Shadow Brokers”(影子经纪人),目前他们已经开始在网上逐步公开盗窃所得的数据了。除此之外,该黑客团伙还表示,他们手中目前仍掌握着大量的机密数据,他们计划在网上举行一次拍卖会,并将这些机密信息出售给竞价最高的竞标者。 我知道这一切听起来的确让人有些难以置信,但是有些安全研究专家则表示:他们对泄漏数据和黑客工具进行了分析测试,从分析结果来看,此次事件的可信度非常高。 关于Equation Group(方程式组织) 众所周知,Equation Group这一黑客团伙与美国国家安全局(NSA)的关系一直十分密切。而且外界也普遍认为,Equation Group是美国国家安全局的一个下属部门。很多安全研究专家表示,Equation Group这一黑客组织所拥有的技术无论是从复杂程度还是从其先进程度来看,都已经超越了目前绝大多数的黑客团体,而且该黑客组织已经活跃了二十多年了。

根据卡巴斯基安全实验室在2015年所发表的一篇报告,卡巴斯基实验室的安全研究专家将Equation Group黑客组织形容为世界上最先进的黑客组织。Equation Group还与此前臭名昭著的Regin攻击、震网病毒(Stuxnet)攻击,以及Flame恶意软件平台有关,而且据说这些攻击活动还得到了美国政府的资助。尽管各种各样关于EquationGroup黑客组织的流言满天飞,但是这些说法从未得到过证实。 值得注意的是,虽然卡巴斯基实验室在去年曝光了Equation Group,但是安全研究专家们当时也并没有明确表示该黑客组织在为美国国家安全局工作。由于该组织某些高调的攻击行动代号与NSA泄密者Edward Snowden(斯诺登)泄漏文件中记载的活动信息十分相似,所以外界才会怀疑该组织与NSA有关联。

就在两天以前,“The Shadow Brokers”黑客组织已经将部分泄漏文件公布在了例如Github和Tumblr等网络平台上,但是这些文件在本篇报道发稿之前就已经被删除了。值得注意的是,在这些文件中还包括有NSA用于大规模监控活动的黑客工具在内。该黑客组织表示,如果他们收到了一百万个比特币(总价值大约为五亿六千八百万美金),那么他们就会将所有的泄漏文件全部发布出来。 据了解,这伙黑客目前只提供了百分之六十的泄漏数据,剩下百分之四十的数据将会提供给拍卖竞价最高的人。该黑客组织表示,这些文件中包含有非常复杂的黑客工具,NSA此前曾使用过这些来进行间谍活动。The Shadow Broker发布的数据压缩后大小约为256MB,据称这些文件中还包含有一系列黑客工具,其中最早的黑客工具可以追溯到2010年。虽然外界无法立刻验证这些数据的有效性,而且也无法确定这些工具是否属于Equation Group黑客组织,但是从批处理脚本和python脚本的编码情况来看,这些数据肯定出自某些非常先进的黑客组织之手。 除此之外,在泄漏的文件中不仅包含有C&C服务器的安装脚本和配置文件,而且还有一些针对美国路由器和防火墙等网络设备制造商(例如Cisco,Juniper和Fortinet)的黑客工具。

根据目前所获取到的泄漏文件来看,其中有些黑客工具的名称与泄密者Edward Snowden(爱德华·斯诺登)泄漏的文档中记载的名称是相同的,例如“BANANAGLEE”和“EPICBANANA”。 The Shadow Brokers”的黑客表示:“我们一直都在跟踪Equation Group的网络通信流量,并且成功地入侵了Equation Group。我们从他们的网络系统中发现了大量的网络武器。你可以从上图中看到,我们会给大家免费提供部分文件。所以不用怀疑,我们提供的肯定是目前世界上最好的黑客工具。” 虽然这些泄漏文件的真实性目前还未得到证实,但是大部分安全专家都认为其可信度非常高。 Comae Technologies网络安全公司的创始人Matt Suiche认为:“我还没有对泄漏的漏洞利用工具进行测试,但是从表面上看,这些工具的合法性是毋庸置疑的。”

Motherboard网站认为,The Shadow Broker这一行为的具体动机目前尚不清楚,但如果这些数据是真实的,那么此次攻击事件绝对会成为历史上最严重的一次网络攻击事件了。 为了竞拍剩下百分之四十的泄漏数据,并增加这些信息的可信度,“TheShadow Brokers”还专门发布了一份“邀请函”,并在这份“邀请函”中对这些数据进行了描述。