E安全1月11日讯 臭名昭著的黑客团伙“影子经纪人”(Shadow Brokers)声称手头上掌握有“方程式组织”(Equation Group,为NSA效力的黑客组织)的工具,并包含篡改事件日志(Event Log)的插件。
如果黑客手头有68万美元,并有意入侵他人的计算机,就能购买攻击Windows系统的整个数据库,包含漏洞利用(Exploit)工具。
去年,“影子经纪人”因在网上兜售声称是NSA使用的绝密网络武器而登上头条。今年,影子经纪人卷土重来,这次售卖的是一套入侵Windows系统的漏洞利用工具。
这些工具包括一批Windows组件的漏洞检查工具(Fuzzer)——ZeroNet网站(点对点系统分散式网络)有售。攻击工具的价格从10比特币(约9000美元)到250比特币(约22.8万美元)不等。
上周,影子经纪人在Twitter上广而告之,并声称漏洞利用工具属于“方程式组织”。
Rendition InfoSec公司的创始人Jacob Williams在博文中表示,“除了截图中列出的名称和单独的Windows黑客工具价格,具体信息很少。”
Williams指出,“截图显示,其中一个漏洞可能包含服务器信息块(Server Message Block,SMB)零日漏洞,但未指出具体是哪一个漏洞。根据这个价格来看,买方倒希望是零日漏洞。这个价格购买已知漏洞,太过昂贵。”
Williams还表示,截图中罗列的大多数工具还有版本号,表明这些工具经过多次迭代。这似乎能让人相信所售漏洞利用是真实的。
他还指出,值得注意的是,其中一个插件表明,影子经纪人有工具,可用来修改与篡改Windows事件日志(Event Log)。事件响应和取证专家常使用Windows Event Log用于调查。攻击者已经在过去展现了清除事件日志或停止记录的能力,但修改事件日志被认为是非常先进的能力。
Williams警告称,“很显然,具备修改事件日志能力的攻击者可能会改变调查的游戏规则。如果影子经纪人向全世界公开这些代码(他们之前这样干过),就会破坏取证调查中的事件日志可靠性。”
Heimdal Security的安全专员Andra Zaharia表示,这些工具在服务器上执行,并用来攻击大量Windows平台的应用程序,包括浏览器。
她指出,“这些工具能利用攻击Windows特定类型的软件。例如,攻击者能将Flash漏洞利用嵌入黑进浏览器的工具。再如,列表中的Python工具旨在利用运行Microsoft的服务器。”
Zaharia补充道,影子经纪人似乎独家销售这些工具,在其它地方买不到
时间纯属巧合?
影子经纪人选择在这个时候售卖工具,真的与美国情报机构发布俄干涉美国大选报告无关?估计让人难以信服。
有人认为,影子经纪人是俄罗斯的组织,发布Windows漏洞利用工具是出于对这份报告的报复。与先前数据泄露事件不同的是,这次的数据泄露更胜一筹,展示了GUI工具和某些脚本执行的截图。但是,值得注意的是,这次没有提供工具证明数据泄露,只提供了工具的截图和描述。
还有一种说法是,影子经纪人并非俄罗斯人,在这个时候选择出售工具,是为了让俄罗斯背黑锅。然而,却没有办法验证这种说法的可信度。
另外,还有人认为影子经纪人这次的动作与美国发布报告无关。这种说法似乎最不可能。影子经纪人一定知道人们会分析揣测,因此,即使他们将售卖时间安排在报告发布之前,也会将两者联系起来。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
如果此文章侵权,请留言,我们进行删除。0day
文章评论