查看原文
其他

美国NSA“方程式组织”使用的黑客工具列表及功能解释

2016-08-23 E安全 E安全

E安全8月23日讯 一周以前,影子经纪人The Shadow Brokers)在网上泄露大量数据,声称数据从方程式组织Equation Group)盗取得来。

“影子经纪人”表示,他们泄露了60%的被窃文件,并在网上拍卖,承诺竞价最高者将获取剩下40%的数据。

自初次泄露以来,卡巴斯基实验室的安全研究人员证实,被泄数据与过去看到“方程式组织”恶意软件“The Intercept”相似。借助斯诺登从未公开的文件,研究人员发现被泄恶意软件与NSA网络武器存在关联。

“影子经纪人”泄露的包含行动细节的大多数网址(GitHub、Tumblr和PastBin)已关闭,另一个包含所有被泄文件的PasteBin网址也不复存在。

本文提供了“影子经纪人”泄露的文件列表以及功能解释。

列表来源出自Risk Based Security、安全专家Mustafa Al-Bassam、Matt Suiche、RST论坛的分析,以及其它研究人员在Twitter和GitHub上分享的多种漏洞利用。

下表使用的是Al-Bassam的分类。工具指的是可以部署多个植入程序和漏洞利用的软件数据包;植入程序(implant)是安装在被劫持设备上的恶意软件;漏洞利用指的是允许攻击者劫持设备、提取数据或部署植入程序/工具的漏洞。

名称

类型

描述

1212/DEHEX

工具

将十六进制字符串转换为IP地址和端口的工具

BANANABALLOT

植入程序

BIOS 植入程序

BANANAGLEE

植入程序

重启不持续的防火墙植入程序。

在Cisco ASA和PIX上运行

BANANALIAR

工具

连接到(目前)未知的植入程序

BANNANADAIQUIRI

植入程序

未知,与SCREAMINGPILLOW有关

BARGLEE

植入程序

未证实的Juniper NetScreen 5.x防火墙植入程序

BARICE

工具

部署BARGLEE的壳(shell)

BARPUNCH

植入程序

BANANAGLEE与BARGLEE模块

BBALL

植入程序

BANANAGLEE模块

BBALLOT

植入程序

BANANAGLEE模块

BBANJO

植入程序

BANANAGLEE模块

BCANDY

植入程序

BANANAGLEE模块

BEECHPONY

植入程序

防火墙植入程序 (BANANAGLEE前身)

BENIGNCERTAIN

工具

从思科PIX防火强提取VPN密钥的工具

BFLEA

植入程序

BANANAGLEE模块

BILLOCEAN

工具

从飞塔Fortigate防火墙(可能有其它)提取序列号

BLATSTING

植入程序

部署EGREGIOUSBLUNDER 和ELIGIBLEBACHELOR防火墙植入程序

BMASSACRE

植入程序

BANANAGLEE和BARGLEE模块

BNSLOG

植入程序

BANANAGLEE和BARGLEE模块

BOOKISHMUTE

漏洞利用

未知防火墙的漏洞利用

BPATROL

植入程序

BANANAGLEE模块

BPICKER

植入程序

BANANAGLEE模块

BPIE

植入程序

BANANAGLEE和BARGLEE模块

BUSURPER

植入程序

BANANAGLEE模块

BUZZDIRECTION

植入程序

未证实的飞塔Fortigate防火墙植入程序

CLUCKLINE

植入程序

BANANAGLEE模块

CONTAINMENTGRID

漏洞利用

现成的有效载荷能通过漏洞利用传送。影响在TOS 3.3.005.066.1.运行的天融信防火墙

DURABLENAPKIN

工具

LAN连接上的数据包注入工具

EGREGIOUSBLUNDER

漏洞利用

飞塔 FortiGate防火墙的远端控制设备(RCE)。影响的型号: 60、 60M、 80C、 200A、300A、400A、500A、 620B、800、5000、1000A、 3600和3600A

ELIGIBLEBACHELOR

漏洞利用

在TOS操作系统版本3.2.100.010、 3.3.001.050、 3.3.002.021和 3.3.002.030上运行的天融信防火墙漏洞利用

ELIGIBLEBOMBSHELL

漏洞利用

天融信防火墙RCE,影响的版本:从3.2.100.010.1_pbc_17_iv_3 到 3.3.005.066.1

ELIGIBLECANDIDATE

漏洞利用

天融信防火墙RCE,影响的版本:从3.3.005.057.1到3.3.010.024.1

ELIGIBLECONTESTANT

漏洞利用

天融信防火墙RCE,影响的版本:从3.3.005.057.1 到 3.3.010.024.1。仅在ELIGIBLECANDIDATE之后运行

EPICBANANA

漏洞利用

思科ASA特权升级(版本 711、712、 721、722、 723、 724、 80432、804、805、 822、 823、 824、 825、 831, 832) 和思科PIX (版本711、 712、721、722、 723、724、804)

ESCALATEPLOWMAN

漏洞利用

沃奇卫士产品特权升级。该公司表示较新版本不存在该问题。

EXTRABACON

漏洞利用

思科ASA RCE, 版本:802、803、804、 805、821、 822、 823、 824、 825、831、 832、 841、 842、 843、 844 (CVE-2016-6366)

FALSEMOREL

漏洞利用

思科漏洞利用:如果设备开启Telnet服务,该漏洞提取“启用”密码

FEEDTROUGH

植入程序

Juniper NetScreen防火墙上的持续植入程序,部署BANANAGLEE和ZESTYLEAK

FLOCKFORWARD

漏洞利用

通过ELIGIBLEBOMBSHELL传送现成有效荷载。影响在TOS 3.3.005.066.1上运行的天融信防火墙

FOSHO

工具

在漏洞利用中制作HTTP请求的Python库

GOTHAMKNIGHT

漏洞利用

通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS  3.2.100.010.8_pbc_27上运行的天融信防火墙

HIDDENTEMPLE

漏洞利用

通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS 3.2.8840.1运行的天融信防火墙

JETPLOW

植入程序

用来在设备固件插入BANANAGLEE 的思科ASA 和 PIX 植入程序

JIFFYRAUL

植入程序

思科PIX的BANANAGLEE模块

NOPEN

工具

后渗透壳(post-exploitation shell)(攻击者使用的客户端、安装在目标设备上的服务器)

PANDAROCK

工具

连接至POLARPAWS的植入程序

POLARPAWS

植入程序

未知厂商的防火墙植入程序

POLARSNEEZE

植入程序

未知厂商的防火墙植入程序

SCREAMINGPLOW

植入程序

思科ASA和PIX 植入程序,用来在设备固件中插入BANANAGLEE

SECONDDATE

工具

WiFi和LAN网络上的数据包注入。与BANANAGLEE和BARGLEE一起使用

TEFLONDOOR

工具

自毁Post-Exploitation Shell

TURBOPANDA

工具

连接到先前被泄HALLUXWATER植入程序的工具

WOBBLYLLAMA

漏洞利用

通过ELIGIBLEBOMBSHELL漏洞利用传送现成有效载荷。影响在TOS 3.3.002.030.8_003上运行的天融信防护墙

XTRACTPLEASING

工具

将数据转换为PCAP文件

ZESTYLEAK

植入程序

Juniper NetScreen防火墙植入程序

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存