刚刚过去的这个周末,影子经纪人(Shadow Brokers)和方程式(Equation Group)赚足了安全圈媒体的眼球。一个名为影子经纪人的组织或个人声称入侵了网络间谍组织方程式,并在社交媒体上公开了从方程式获取的大量网络攻击工具包。而根据各类媒体的报道,方程式组织与美国国家安全局(NSA)有着千丝万缕的联系,本次影子经纪人曝光的部分文件中也显示了NSA曾经入侵中东SWIFT(环球银行金融电信协会)银行系统的证据。
DanderSpritz框架是这次公开的攻击工具包中很有价值的一个。早在斯诺登的棱镜门事件中,就曾经曝光过DanderSpritz一词:该框架是NSA用于全球监控的网络武器,可被用于多种作业场景,如下图中FIREWALK工具用于网络流量采集和注入,其说明中就提到了DanderSpritz:
DanderSpritz不执行攻击或入侵功能,执行攻击和入侵功能主要是通过工具包中的另一个被称为NSA版Metasploit黑客工具包的Fuzzbunch框架实现的。DanderSpritz是成功入侵渗透后管理的平台,简单讲就是用来管理入侵成功后的受控机器,也就是俗称的“肉鸡”。
启动界面看起来很霸气:
DanderSpritz是一个Java外壳的框架,包含控制台和一些配置管理选项。在控制台输入help命令,可以看到能对肉鸡执行众多功能强大的管理命令:
其中eventlogclear、eventlogedit命令可以完全清除系统安全日志。根据安恒安全研究院在Windows Server 2008 R2版本上的测试,上述命令可以删除单条日志,这意味着系统管理员可能完全无法觉察系统已经被入侵。
最主要的是内置了25种Payload,用于生成跟肉鸡建立连接的后门和代理功能模块:
通过Fuzzbunch框架成功入侵目标后,可以利用安装在肉鸡上的远程命令执行工具Doublepulsar的RunDLL命令加载这些Payload,然后通过主动或反向监听等方式建立连接:
到此目标系统已被DanderSpritz完全接管,可以进行各种控制操作:
另外,Fuzzbunch在利用exploit攻击成功后使用RunDLL方式植入后门默认选择的是lsass.exe进程,也可以自定义选择其他的进程:
由于RunDLL只植入在内存中,目标系统是看不到这个模块文件的,不过可以通过线程查看工具看到加载状态:
总体来说,从这次公开的工具框架可以看出,方程式的渗透测试平台已经在多年前就集成化、模块化了。而且手握0day,植入后门并不需要考虑持久化,因为即使机器重启丢失后门连接,攻击者利用这些0day沿着之前入侵的套路重新控制肉鸡并非难事。根据安恒安全研究院的测试结果,本次曝光的大量0day漏洞利用工具利用方式简单且成功率高,可能会对使用 Windows操作系统的用户造成重大影响。
安恒信息再次提醒Windows操作系统用户,及时及时安装微软的补丁,将系统升级至最新版本。对于较早的已不在服务期内的版本(Windows 7之前版本,Windows Server 2008之前版本和Exchange 2010之前版本),请将系统升级到服务期内的版本并及时安装可用的补丁。0day
文章评论