ShadowBrokers最终兑现了他们的承诺,公布了解密密钥,解锁了据称充满了美国国家安全局黑客工具的被盗“拍卖”文件。

上周末,黑客组织ShadowBrokers公布了“拍卖”文件的解密密钥。该组织声称,去年夏天泄露的信息中包括了“拍卖”文件收购了据报道,这是一个著名的黑客团队,负责高度复杂的恶意软件活动,如火焰和Stuxnet,可能与某些三个字母的政府机构有关。

虽然集团的欲一夕致富的计划出售拍卖文件1 m的天文要价比特币(约$ 1186510000 .00美元作为今天的)可能也以惊人的失败告终,团队已经兑现了他们的承诺,最终释放被盗信息应该要求回报不被接受。对我们来说,即使不是不可能,也很难核实黑客的说法,或将归属归属于适当的组织,但在档案中包含了一些有趣的信息,我们将在这里记录一些早期的发现。

这把钥匙是在一场高度政治化的长篇大论中被公开的,特朗普总统的演讲涉及方方面面,从奥巴马医改、高盛,到叙利亚、史蒂文·班农(Steven Bannon)和约翰·麦凯恩(John McCain)。史诗式的咆哮讨论了1798年的《外国人与煽动叛乱法》、社会集体主义、白人特权、俄罗斯,甚至是Magog (我也得查一下。这似乎最适用于伊斯兰教对这个词的解释。由维基百科)。对于美国公民和任何高中英语老师的眼睛的推动,这是一个值得读充满语法、拼写和标点错误的(尽管,牛津逗号用得很好),似乎在整个书面方言和文化引用似乎使用。所有这些都似乎是刻意的假旗,以帮助隐藏与原始攻击相关的人/组的身份。

利用

转储中有许多工具具有备注和代码,表示可能对针对各种软件和产品的漏洞利用。大多数文件似乎都瞄准了基于Linux和Solaris的服务器。虽然许多漏洞从多年前为许多利用时期,但有些人回到2003年,他们仍然可以在遗留系统上使用。虽然我们无法确认以下利用的真实性,但我们将在下面的收藏中提供一个小片段。

ElatedMonkey是针对cPanel远程管理Web界面的本地特权升级漏洞,目前至少通过24版:

ElginGamble是一个“公共”漏洞,影响Linux 2.6.13 - 2.6.17.4创建一个cron脚本,能够生成根shell:

Ptrace / forkpty.是影响Linux 2.2 - 2.4的内核漏洞:

Engagenaughty.是Apache和SSL Exploit:

EasyStreet似乎是利用sendmail的某种UDP Exploit:

EBBSHAVE是影响Solaris RPC服务版本2.10的漏洞:

EXCELBERWICK是基于UNIX的系统上的XMLRPC.php的远程漏洞:

工具

除了上面的漏洞部分选择之外,转储还包含许多工具,实用程序和脚本,以便在发生系统的成功开发后部署。

Strifeworld是TCP会话记录器,从2001年开始:

EndlessDonut帮助部署监视代理并维护一个干净的记录:

Ys.auto是一个包含多个脚本,它帮助部署各种rat病毒和系统监视器。一个有趣的脚注是,福特汽车公司的IP地址出现在“示例”部分的一些文件中:

ELECTRICSLIDE.pl是一个PERL脚本,正如X0RZ.,模仿中文浏览器,具有假的接受语言:

许多文档参考大鼠(远程访问木马)的部署到妥协的机器。绝大多数这些文件似乎针对各种Solaris,Linux和FreeBSD客户端 - 只要基于他们的命名约定。对这些文件的其他分析肯定会在未来几天发布:

还似乎是参考手机信息的许多工具,文档或脚本。

Cdrprint.pl是一种脚本,它接收CDR记录并使它们变得漂亮。CDR记录是呼叫信息或其他通信交易(短信)通过处理设施或设备时产生的数据记录。根据我的理解,这些数据还附有“定义”文件,有助于分析收集到的具体手机数据:

在target .py文件中,有与Sprint电信的俄罗斯分部相关的字符串和IP地址:

这堆垃圾中包含的信息非常广泛,安全研究人员需要一些时间来消化。虽然许多漏洞似乎是公开的,而且相当古老,但这些漏洞在遗留系统上仍然有用的可能性并不大。

但是在周末花费的时间倾注于数据后,我未能发现阴影布的价值初始询问1米比特币的档案,其中档案上有公众已知的(和可能修补的)漏洞,约会到2003年的漏洞。没有任何东西似乎没有任何东西比2013年更近,所以信息很可能过时,甚至可能没有使用过。这似乎是阴影布会或巨大的恶作剧的巨大失败,因为他们可以认为这些信息在被问到的任何地方都值得这一点。但仍有很多信息要分析,因此时间可能会证明这种初步评估。我们将继续分析包含的信息和基于Windows的文件,并如果新信息可用,请更新此帖子。

无论如何,另一个公开的有价值信息的公开内容再次提醒我们OPSEC的价值和安全数据保留。