Shadow Broker攻击事件分析报告

2016年9月9日 zheng, xianwei 安全动态

1. 概述

前段时间“暗影经纪人”(The Shadow Brokers)突然在Tunblr、Github 等网络平台上放出一些美国国家安全局(NSA)的内部资料和“方程式组织”使用的攻击工具,并声称这些数据是从“方程式组织”(Equation Group)盗取而来。我们称此为Shadow Broker攻击事件。

Shadow Broker攻击事件给网络安全领域造成巨大的震撼,因为这些数据看起来非常像是 NSA 的内部数据,而这些攻击工具代码之精巧,招数之奇幻,让人不得不相信这些数据正是来自世界上最先进的黑客团体“方程式组织”。

据悉,“暗影经纪人”目前只提供了60%的泄漏数据,剩下40%将在网上进行拍卖,承诺竞价最高者将获取剩下40%的数据。想要得到这些“优质文件”,大约需要100万个比特币,也就是5.68亿美金,或者38亿人民币。这个价格任何黑客组织或者商业公司都难以支付,如果不是故弄玄虚,那么能够买单的也只有国家机构了。

“暗影经纪人”表示,这些文件中包含有非常复杂的黑客工具,NSA曾使用这些工具进行间谍活动。“暗影经纪人”发布的数据有4000多个文件,压缩后大约256MB。据称这些文件中还包含一系列黑客工具,其中最早的黑客工具可以追溯到2010年。

国际著名信息安全机构卡巴斯基实验室的安全研究人员证实,被泄数据与过去看到的“方程式组织”恶意软件“The Intercept”相似。借助斯诺登从未公开的文件,研究人员认为被泄恶意软件与NSA网络武器存在关联。

遗憾的是,目前“暗影经纪人”泄露的包含行动细节的大多数网址(GitHub、Tumblr和PastBin)已关闭,另一个包含所有被泄文件的PasteBin网址也不复存在。当然这也为Shadow Broker攻击事件蒙上了一层更为神秘的面纱。

2. 关于Shadow Broker

“暗影经纪人”(The Shadow Brokers)是专门贩卖重磅信息的顶级黑客组织。在黑客“军火商”中,其“商业模式”是最为出众的一个,他们经常贩卖高级的攻击武器,当然也包括重要的世界军政信息。

“暗影经纪人”有能力让他的客户像依赖毒品一样依赖自己。因为他们往往会在竞争对手之间贩卖武器,就像瑞典在二战时期所做的那样。所有客户在发现对手也掌握了和自己一样的攻击能力之后,都会成为暗影经纪人的回头客,向他求更新的装备。

此前“暗影经纪人”(The Shadow Brokers)一直默默无闻,而在8月13日,一个以“The Shadow Brokers”命名的Twitter账号发帖并@了多家顶尖的全球新闻机构,发布了一条不同寻常的声明:该组织正在开展一轮5亿美元的网络武器拍卖。

“影子经纪人”拿“方程式组织”的战利品来炫耀自己的动机目前还不完全清楚。顶尖网络安全公司赛门铁克(Symantec)安全响应总监奥拉考克斯(Orla Cox)表示:“如果说是出于财务动机,这样的事你是不会去做的。”考克斯指出,网络武器通常是在“暗网(dark web)”上销售,或者由希望保持匿名的黑客使用。它们肯定不会在新闻门户网站上打广告。而且即使是最好的网络武器,也不会打包标5亿美元的价格。

英国联合部队司令部(Joint Forces Command)前网络战军官、现任智库英国皇家联合军种研究院(RUSI)高级研究员的尤安劳森(Ewan Lawson)表示:“影子经纪人此前并不存在,却在现在这个时间点出现,而且在使用一直累积到现在的情报,这意味着这完全是某个精心策划的有目标行动的一部分,是为了特定目的”。

3.关于“方程式组织”(Equation Group)

“方程式组织”(Equation Group)被外界认为是无所不能,可以黑掉所有已知系统的黑客团队,该组织已经存在余20年。不过,这个奇怪的名字不是他们自己取的,而是最早由卡巴斯基发现命名的。之所以命名为“方程组”,是因为这个黑客团队的加密水平无人能出其右。据悉2010年毁掉伊朗核设施的震网病毒(Stuxnet)和 火焰病毒(Flame)就出自“方程式组织”之手。据说这些攻击活动还得到了美国政府的资助。尽管各种各样关于“方程式组织”的流言满天飞,但是这些说法从未得到过证实。

据国外安全专家分析,黑客组织方程式的行踪可以追溯至2001年,甚至更早,1996年时就有活 跃迹象,团体成员数超过60人。“方程式组织”被评价为现有最隐秘、最先进、最复杂的具有高度威胁的黑客组织。

2015年,卡巴斯基在全球42个国家发现了“方程组”的500个感染行为。但是连卡巴自己都承认,这只是冰山一角,因为这个黑客团队制造的“武器”拥有超强的自毁能力,绝大多数进攻完成之后,不会留下任何痕迹。

值得注意的是,虽然卡巴斯基实验室在去年曝光了“方程式组织”,但是安全研究专家们当时也并没有明确表示该黑客组织在为美国国家安全局工作。由于该组织某些高调的攻击行动代号与NSA泄密者Edward Snowden(斯诺登)泄漏文件中记载的活动信息十分相似,所以外界才会怀疑该组织与NSA有关联。

4.  “方程式组织”的入侵模式

在卡巴斯基实验室检测到的方程式黑客组织的七种攻击方式中,有四种都是利用0day漏洞实现的。其中还有卡巴斯基实验室未研究出的漏洞利用攻击方式,主要针对装有洋葱路由TOR的火狐浏览器。

卡巴斯基实验室在分析研究中还发现,在入侵过程中,“方程组”可以一次利用一个程序链上的十个漏洞。但其所设置的蠕虫病毒对攻击目标的尝试攻击次数总共不会超过三次,如果第一次尝试未成功,会接着进行第二次与第三次尝试,如果三次尝试都没有攻击成功,他们就会放弃攻击此目标。

另有安全专家发现,利用了曾破坏伊朗核工厂铀浓缩计划的病毒(Stuxnet)中就包含有Fanny 蠕虫病毒的漏洞入侵技术。

不仅如此,“方程式组织”还能够从隔离网络中获取数据,该组织使用的恶意软件Fanny使用了一种独特的基于USB的命令和控制机制,允许攻击者向来隔绝网络之外回传送数据。具体来说,这是一个包含一个隐藏区域的U盘,它可以从未联网的计算机上收集基础系统信息;而当该U盘被插入到联网计算机上时,恶意软件Fanny会将收集到的系统信息发送至C&C(命令和控制中心)。

作为史上最强的网络攻击组织,“方程式组织”拥有一个庞大而强悍的攻击武器库。传统的病毒往往是单兵作战,攻击手段单一,传播途径有限,而“方程式组织”动用了多种病毒工具协同作战,发动全方位立体进攻,著名的恶意间谍软件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 和GrayFish等。

最近,The Intercept公布了新一轮的Snowden泄密文档,其中有许多工具与本次泄露的工具存在很强的关联,比如说Snowden披露的文档中包含一款SECONDDATE利用工具,这个工具可在网络层干涉web请求,并将之重定向至FOXACID服务器,“操作手册”第28页提到,NSA雇员必须使用ID,来标记发往FOXACID服务器的受害者,里面提到ID为ace20468bdf13579,这个ID就在本次The Shadow Brokers泄露的14个不同的文件中有出现。

这些工具究竟可以用来做什么呢?安全研究人员测试了EXTRABACON利用工具,确认利用这款工具,在不需要提供有效身份凭证的情况下,就可以访问思科防火墙:这款工具利用Cisco ASA软件SNMP协议中的0-day漏洞(CVE-2016-6366),可致“未经授权的远程攻击者”完全控制设备。

此外,还有利用思科一些更早漏洞的0-day利用工具,比如利用思科CVE-2016-6367漏洞的,这个漏洞存在于Cisco ASA软件的命令行界面解析器中,可致未经授权的本地攻击者构造DoS攻击条件,以及存在执行任意代码的风险——泄露的EPICBANANA以及JETPLOW工具都利用了该漏洞。

再举个例子,“方程式组织”攻击库中还有一款工具能够解密思科PIX VPN流量,在主板固件中植入恶意程序,这种攻击方式几乎无法检测到,也没法删除。这次波及到的厂商包括了思科、Juniper、Fortinet等,尤为值得一提的是,泄露工具中也包含针对国内天融信防火墙产品的漏洞利用工具。

5. “方程式组织”的攻击目标

根据国外安全厂商目前所掌握的证据,“方程式组织”已经活跃了20年之久,从2001年到现在,该组织已经在伊朗、俄罗斯、叙利亚、香港、英国、美国、中国等全球超过30个国家感染了数千个,甚至上万个受害者,其中中国是感染率最高的国家之一,被列为重灾区。

该组织只针对关键目标进行攻击,目标受害者包括政府和外交机构、电信行业、航空行业、能源行业、核能研究机构、石油和天然气行业、军工行业、大众媒体、交通行业以及金融机构等。

6.“方程式组织”所攻击的防火墙及解决方案

Shadow Brokers组织公开的入侵工具中包括五家路由器制造商的漏洞利用代码,这五家公司包括:sper、Fortinet和两家中国公司——陕西网云和北京天融信。如图1所示,这些存在漏洞的防火墙厂商基本上都位于中美两国。

  • 思科

思科已经释出了修复补丁。

  • Fortinet

Fortinet也发布了安全公告。

  • 天融信

天融信在上周末释出了补丁,确定了漏洞的存在。

天融信称,影响的防火墙产品包括:3.3.005.097不含)之前版本,3.3.005.097(不含)之前版本,3.3.010.095(不含)之前版本,3.3.017.056(不含)之前版本,3.3.020.053(不含)之前版本,称攻击者可以“通过精心构造的特定数据参数绕过系统安全认证,从而获取执行权限并可执行特定代码”。

天融信确认2546台防火墙受到影响,并给出了两种解决方案:

  • 由于漏洞利用需要在防火墙管理权限开放的条件下进行,而防火墙通常无需向互联网开放该管理权限,因此针对Shadow Broker攻击,可以关闭防火墙相应接口的WebUI、GUI等管理权限,以快速堵住Shadow Broker漏洞;
  • 系统升级。
  • 陕西网云

从其网站上看,陕西网云似乎是天融信的一家代理商,到目前为止,在其网站上还没有发现相应安全公告。

  • Juniper

到目前为止Juniper没有发布安全通知,旗下Netscreen防火墙去年曾曝出后门漏洞。

7. 结论

“暗影经纪人”突然在Tunblr、Github 等网络平台上放出一些美国国家安全局(NSA)的内部资料和“方程式组织”使用的攻击工具引起网络安全领域的震动,其动机还不清楚。不过“方程式组织”使用的攻击工具中部分可以用来攻击网络防火墙设备,其中包括思科、Juniper、Fortinet和两家中国公司——陕西网云和北京天融信,这类产品在中国大陆的市场占有率大约为70%,因此,需要一起国内安全界的高度重视,及时对相关设备和系统打补丁或进行系统升级。

相关的安全防火墙品牌产品在高校的使用率非常的,需要引起各个学校的重视,尽快联系自己管辖的涉事品牌设备的厂商获取相应的解决方案。

8. 参考信息

Comments are currently closed.


Powered by http://wordpress.org/ and http://www.hqpremiumthemes.com/