美国NSA“方程式组织”使用的黑客工具列表及功能解释
E安全8月23日讯 一周以前,“影子经纪人”(The Shadow Brokers)在网上泄露大量数据,声称数据从“方程式组织”(Equation Group)盗取得来。
“影子经纪人”表示,他们泄露了60%的被窃文件,并在网上拍卖,承诺竞价最高者将获取剩下40%的数据。
自初次泄露以来,卡巴斯基实验室的安全研究人员证实,被泄数据与过去看到“方程式组织”恶意软件“The Intercept”相似。借助斯诺登从未公开的文件,研究人员发现被泄恶意软件与NSA网络武器存在关联。
“影子经纪人”泄露的包含行动细节的大多数网址(GitHub、Tumblr和PastBin)已关闭,另一个包含所有被泄文件的PasteBin网址也不复存在。
本文提供了“影子经纪人”泄露的文件列表以及功能解释。
列表来源出自Risk Based Security、安全专家Mustafa Al-Bassam、Matt Suiche、RST论坛的分析,以及其它研究人员在Twitter和GitHub上分享的多种漏洞利用。
下表使用的是Al-Bassam的分类。工具指的是可以部署多个植入程序和漏洞利用的软件数据包;植入程序(implant)是安装在被劫持设备上的恶意软件;漏洞利用指的是允许攻击者劫持设备、提取数据或部署植入程序/工具的漏洞。
名称 | 类型 | 描述 |
1212/DEHEX | 工具 | 将十六进制字符串转换为IP地址和端口的工具 |
BANANABALLOT | 植入程序 | BIOS 植入程序 |
BANANAGLEE | 植入程序 | 重启不持续的防火墙植入程序。 在Cisco ASA和PIX上运行 |
BANANALIAR | 工具 | 连接到(目前)未知的植入程序 |
BANNANADAIQUIRI | 植入程序 | 未知,与SCREAMINGPILLOW有关 |
BARGLEE | 植入程序 | 未证实的Juniper NetScreen 5.x防火墙植入程序 |
BARICE | 工具 | 部署BARGLEE的壳(shell) |
BARPUNCH | 植入程序 | BANANAGLEE与BARGLEE模块 |
BBALL | 植入程序 | BANANAGLEE模块 |
BBALLOT | 植入程序 | BANANAGLEE模块 |
BBANJO | 植入程序 | BANANAGLEE模块 |
BCANDY | 植入程序 | BANANAGLEE模块 |
BEECHPONY | 植入程序 | 防火墙植入程序 (BANANAGLEE前身) |
BENIGNCERTAIN | 工具 | 从思科PIX防火强提取VPN密钥的工具 |
BFLEA | 植入程序 | BANANAGLEE模块 |
BILLOCEAN | 工具 | 从飞塔Fortigate防火墙(可能有其它)提取序列号 |
BLATSTING | 植入程序 | 部署EGREGIOUSBLUNDER 和ELIGIBLEBACHELOR防火墙植入程序 |
BMASSACRE | 植入程序 | BANANAGLEE和BARGLEE模块 |
BNSLOG | 植入程序 | BANANAGLEE和BARGLEE模块 |
BOOKISHMUTE | 漏洞利用 | 未知防火墙的漏洞利用 |
BPATROL | 植入程序 | BANANAGLEE模块 |
BPICKER | 植入程序 | BANANAGLEE模块 |
BPIE | 植入程序 | BANANAGLEE和BARGLEE模块 |
BUSURPER | 植入程序 | BANANAGLEE模块 |
BUZZDIRECTION | 植入程序 | 未证实的飞塔Fortigate防火墙植入程序 |
CLUCKLINE | 植入程序 | BANANAGLEE模块 |
CONTAINMENTGRID | 漏洞利用 | 现成的有效载荷能通过漏洞利用传送。影响在TOS 3.3.005.066.1.运行的天融信防火墙 |
DURABLENAPKIN | 工具 | LAN连接上的数据包注入工具 |
EGREGIOUSBLUNDER | 漏洞利用 | 飞塔 FortiGate防火墙的远端控制设备(RCE)。影响的型号: 60、 60M、 80C、 200A、300A、400A、500A、 620B、800、5000、1000A、 3600和3600A |
ELIGIBLEBACHELOR | 漏洞利用 | 在TOS操作系统版本3.2.100.010、 3.3.001.050、 3.3.002.021和 3.3.002.030上运行的天融信防火墙漏洞利用 |
ELIGIBLEBOMBSHELL | 漏洞利用 | 天融信防火墙RCE,影响的版本:从3.2.100.010.1_pbc_17_iv_3 到 3.3.005.066.1 |
ELIGIBLECANDIDATE | 漏洞利用 | 天融信防火墙RCE,影响的版本:从3.3.005.057.1到3.3.010.024.1 |
ELIGIBLECONTESTANT | 漏洞利用 | 天融信防火墙RCE,影响的版本:从3.3.005.057.1 到 3.3.010.024.1。仅在ELIGIBLECANDIDATE之后运行 |
EPICBANANA | 漏洞利用 | 思科ASA特权升级(版本 711、712、 721、722、 723、 724、 80432、804、805、 822、 823、 824、 825、 831, 832) 和思科PIX (版本711、 712、721、722、 723、724、804) |
ESCALATEPLOWMAN | 漏洞利用 | 沃奇卫士产品特权升级。该公司表示较新版本不存在该问题。 |
EXTRABACON | 漏洞利用 | 思科ASA RCE, 版本:802、803、804、 805、821、 822、 823、 824、 825、831、 832、 841、 842、 843、 844 (CVE-2016-6366) |
FALSEMOREL | 漏洞利用 | 思科漏洞利用:如果设备开启Telnet服务,该漏洞提取“启用”密码 |
FEEDTROUGH | 植入程序 | Juniper NetScreen防火墙上的持续植入程序,部署BANANAGLEE和ZESTYLEAK |
FLOCKFORWARD | 漏洞利用 | 通过ELIGIBLEBOMBSHELL传送现成有效荷载。影响在TOS 3.3.005.066.1上运行的天融信防火墙 |
FOSHO | 工具 | 在漏洞利用中制作HTTP请求的Python库 |
GOTHAMKNIGHT | 漏洞利用 | 通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS 3.2.100.010.8_pbc_27上运行的天融信防火墙 |
HIDDENTEMPLE | 漏洞利用 | 通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS 3.2.8840.1运行的天融信防火墙 |
JETPLOW | 植入程序 | 用来在设备固件插入BANANAGLEE 的思科ASA 和 PIX 植入程序 |
JIFFYRAUL | 植入程序 | 思科PIX的BANANAGLEE模块 |
NOPEN | 工具 | 后渗透壳(post-exploitation shell)(攻击者使用的客户端、安装在目标设备上的服务器) |
PANDAROCK | 工具 | 连接至POLARPAWS的植入程序 |
POLARPAWS | 植入程序 | 未知厂商的防火墙植入程序 |
POLARSNEEZE | 植入程序 | 未知厂商的防火墙植入程序 |
SCREAMINGPLOW | 植入程序 | 思科ASA和PIX 植入程序,用来在设备固件中插入BANANAGLEE |
SECONDDATE | 工具 | WiFi和LAN网络上的数据包注入。与BANANAGLEE和BARGLEE一起使用 |
TEFLONDOOR | 工具 | 自毁Post-Exploitation Shell |
TURBOPANDA | 工具 | 连接到先前被泄HALLUXWATER植入程序的工具 |
WOBBLYLLAMA | 漏洞利用 | 通过ELIGIBLEBOMBSHELL漏洞利用传送现成有效载荷。影响在TOS 3.3.002.030.8_003上运行的天融信防护墙 |
XTRACTPLEASING | 工具 | 将数据转换为PCAP文件 |
ZESTYLEAK | 植入程序 | Juniper NetScreen防火墙植入程序 |
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。