好了，現在隨便什么阿貓阿狗都能隨意劫持大量脆弱主機了。

“影子經紀人”再泄一批NSA“方程式小組”黑客工具。這次的料殺傷面更廣，從古早的 Windows 2000 到 近幾年廣泛使用的 Server 2012 和 Windows 7 和8，無一幸免，而且還都是些簡單易用的漏洞利用工具。

該工具包誰都能用，沒什么技術含量的腳本小子可以，老練的罪犯也可以。這就是一個可以用來入侵并控制全球數百萬主機的民族國家級絕密武器裝備庫。同時，這也正是山姆大叔用來黑進外國政府、電信公司、銀行和其他機構，監聽窺探情報的同款強力工具包。

從微軟Windows漏洞利用程序，到監視SWIFT銀行間支付的工具，這批文件無所不包。對本次被泄文檔和程序的分析仍在進行，但已揭示出思科防火墻和VPN網關也在該批工具目標范圍之列。

“影子經紀人”曾嘗試過拍賣這些被盜網絡武器，發現應者寥寥之后，這伙黑客便開始在網上免費放送了。

“影子經紀人也不想做到這一步的。竟然沒人愿意付點小錢讓我們閉嘴滾蛋，真是太糟糕了。”

博客帖子中，“影子經紀人”一如既往地忿忿道。

“影子經紀人寧愿跟邁克菲老爺子在荒島抱著辣妹飲酒作樂。如果大伙兒都挺過了第三次世界大戰，或許影子經紀人還能在下周來跟大伙兒打個招呼。誰知道我們下一次拿出啥東西呢？”

對IT經理和普通大眾而言，這批可追溯到2013年年中的Windows黑客武器，是最令人憂心的。里面包含了可用于黑進脆弱Windows系統的漏洞利用工具，從 Windows 2000 到 Windows 8 和 Server 2012 都沒能幸免，其中至少有4個是還沒放出補丁的零日漏洞利用。某些情況下，漏洞利用可通過SMB(服務器消息塊)、RDP(遠程桌面協議)、IMAP(互聯網郵件訪問協議i)和其他可能協議，經由內部網絡或互聯網發起。

如果你的機器上運行有這些服務，它們很可能會被這次放出的工具劫持——不是被網上的陌生人，就是被已經在你網絡中的惡意員工或惡意軟件劫持。如果你用的是最新的操作系統，比如 Windows 10，那這些黑客工具不會對你造成直接影響。我們私下默認山姆大叔的國外間諜目標，不是會將所有系統保持最新更新的那一類。

被泄文件還包含有NSA版Metasploit黑客工具包：FUZZBUNCH。

馬修·?；踩痰?Hacker House 共同創始人。他說，FUZZBUNCH是非常完備的工具包，可以通過少少的操作就滲透進服務器中。該工具包有在被侵入主機上安裝后門的模塊，可以遠程控制主機，輕松瀏覽文件系統。

這是任何人都能下載使用的民族國家工具包，任何人，只要具備一點點技術常識，就能下載并使用它在2分鐘之內黑了服務器。真是要多糟有多糟。

?；赋?，這批工具放出的時機——復活節前夕，也是相當重要的。西方世界大多數人在僵尸耶穌周末放松的時候，很多公司都會被這些網絡武器搞到束手無策。

NSA似乎一直都保有其有趣的命名習慣。這些文件中有個漏洞利用工具名為ENGLISHMANSDENTIST，是通過Outlook客戶端在用戶桌面電腦上觸發可執行代碼的。

其他例子還有：

ESKIMOROLL，Kerberos網絡認證協議漏洞利用，針對 Windows 2000、Server 2003、Server 2008 和 Server 2008 R2 域控制器。EMPHASISMINE，Lotus Domino 后續版本的遠程IMAP漏洞利用程序。ETERNALROMANCE，遠程SMB1網絡文件服務器漏洞利用，針對 Windows XP、Server 2003、Vista、Windows 7、Windows 8、Server 2008 和 Server 2008 R2。這也是該停止使用SMB1的又一原因——既老且弱。ETERNALBLUE，另一款SMB1和SMB2漏洞利用。下面的視頻展示的是ETERNALBLUE通過FUZZBUNCH侵入 Windows 2008 R2 SP1 x64 主機，安裝名為DOUBLEPULSAR的遠程命令執行工具。

ETERNALBLUE通過FUZZBUNCH #0day 在120秒內攻破 Windows 2008 R2 SP1 x64 主機。pic.twitter.com/I9aUF530fU

　　——Hacker Fantastic (@hackerfantastic) 2017年4月14日

ETERNALCHAMPION，另一個SMB2漏洞利用。ERRATICGOPHER，針對 Windows XP 和 Server 2003 的SMB漏洞利用。ETERNALSYNERGY，針對SMB3的遠程代碼執行漏洞利用，可能對最近的 Windows Server 2012 等操作系統起效。EMERALDTHREAD，往系統中釋放類震網植入物的SMB漏洞利用。ESTEEMAUDIT，針對 Windows Server 2003 和 Windows XP 的遠程RDP漏洞利用，目的是在系統中安裝隱藏間諜軟件。EXPLODINGCAN，微軟 IIS 6 漏洞利用，僅利用 Server 2003 上的WebDav。

主要攻擊工具

新聞發出時，微軟并未就此泄露做出任何評論，但其工程師們應該正忙于努力修復這些工具利用的漏洞。被利用的軟件大多已超出官方支持期限。鑒于微軟越來越保密的修復方式，關于被NSA利用的安全漏洞修復更新問題，希望他們能更開放些吧。

不安全的SWIFT

第二個目錄的標簽是SWIFT，但并不包含直接攻擊該銀行間支付系統的工具。但它能監視SWIFT銀行客戶所用服務機構中進行的支付交易。

SWIFT協會發言人稱：

“有2家服務機構的數據遭到未授權訪問的指控，SWIFT已經注意到了。SWIFT基礎設施或數據并未受到任何影響，但我們也理解，這2家服務機構及其客戶之前可能受到過未授權第三方的訪問。我們沒有證據表明我們的網絡或消息傳遞服務從未受到過未授權訪問。”

數據似乎源自2013年9月，詳細描述了操作者如何穿透防火墻并監視中東最大SWIFT服務機構EastNets的交易。

EastNets黑客所用工具之一被稱為JEEPFLEA_MARKET，該公司網絡架構PPT、系統口令，以及各分公司成千上萬雇員的賬戶被黑。

攻擊者在該公司防火墻上開辟了旁路通道，攻略了兩臺管理服務器，并由此在其9臺交易服務器上設置了監測站，將數據傳回以供分析。

在一份聲明中，EastNets首席執行官哈澤姆·穆希姆說：

雖然我們不能確定被公開的信息，但我們可以證實，EastNets客戶的數據沒有受到任何侵害。EastNets仍將繼續使用SWIFT認證服務機構的最高水平防護，來保證客戶數據完全安全。

EastNets黑客武器之二——JEEPFLEA_POWDER，瞄上了委內瑞拉和巴拿馬的EastNets合作伙伴——BCG商業電腦集團。管理員賬戶經由名為SECONDATE和IRONVIPER的攻擊代碼被黑，但當時并沒有任何數據被收集。

NSA盯上中東銀行一點不奇怪——恐怖主義威脅和美國在中東地區14年的戰爭都是恨充分的理由，而其對委內瑞拉和巴拿馬的關注，則可能與販毒資金或美國與這兩個國家的過節有關。

SWIFT是一個全球性的金融信息系統，全球數千家銀行和組織每天都在轉移數十億美元。

此文件夾包含PowerPoint演示文稿，證據，憑證和EastNets的內部架構（EastNets是中東最大的SWIFT服務商之一）。

該文件夾包括從Oracle數據庫查詢信息的SQL腳本，可查詢數據庫用戶列表和SWIFT消息。

SWIFT文件夾文件清單

泄露的數據還顯示方程式攻擊了部分銀行或機構：AI Quds Bank for Development & Investment，Qatar Foundation，Natexis Bank，United Bank，AI Hilal Islamic Bank，Warba Bank，Kuwait Petroleum Corp。

SWIFT文件夾中的Excel文件內容

Windows面臨的更多壞消息

方程式小組的ODDJOB文件夾，似乎包含運行在上至 Windows Server 2008 機器上的間諜軟件，而且，類似NSA其他惡意軟件，也是模塊化的：添加模塊就能增加功能。

該目錄包含使用說明，指導用戶通過微軟 IIS 7 設置ODDJOB。一旦安裝成功，該惡意軟件還可以遠程更新，獲取新的攻擊與監視工具。新代碼可以通過HTTP或HTTPS接收并安裝。

ODDJOB需要一個加密載荷。為加密該載荷，請打開創建器Builder，找到“載荷加密”部分。選擇一個未加密載荷，比如你想在目標系統上運行的某個程序。然后指定加密載荷文件名，再根據未加密載荷的類型，選擇是exe還是dll。

根據該惡意軟件隨附的Excel表格，ODDJOB對 Windows 2000、XP、Server 2003、Vista、Server 2008 和 Windows 7 有效——雖然都只是對企業版有效。

“這是ODDJOB起效版本的最壞情況估計。這些Windows版本中很多(比如 XP SP1)都可以以下載的方式獲取ODDJOB改進版。另外，ODDJOB V3 將從HTTPS優雅地退回HTTP。因此，拿不準的時候，往目標扔HTTPS。”

1. Windows文件夾

包含對Windows操作系統的許多黑客工具，但主要針對的是較舊版本的Windows（Windows XP中）和Server 2003，也有針對IBM Lotus Notes，Mdaemon，EPICHERO Avaya Call Server，Imail。

其中“ETERNALBLUE是一個0day RCE漏洞利用，影響最新的Windows 2008 R2 SERVER VIA SMB和NBT！”。

ETERNALBLUE文件夾內容

2. OddJob后門文件夾

包含基于Windows的植入軟件，并包括所指定的配置文件和有效載荷。雖然目前這種植入軟件的細節很少，但OddJob適用于Windows Server 2003 Enterprise（甚至Windows XP Professional）。

OddJob文件夾結構

當然，除了Microsoft Windows以外，受影響的產品還有： IBM Lotus Notes，Mdaemon， EPICHERO Avaya Call Server，Imail。

漏洞影響

據FOFA系統統計顯示，全球對外可能受到影響的超過750萬臺,中國可能有超過133萬受到影響。其中全球約有542萬的RDP服務和約有208萬的SMB協議服務運行在windows上（僅為分布情況，非實際漏洞影響），其中，中國地區超過101萬RDP服務對外開放，SMB協議超過32萬。

據白帽匯測試，從windows 2000到Windows2008都受到這工具包中影響，成功率非常之高。另外，內部網絡中也大多開啟445端口和139端口，也將會成為黑客滲透內網的大殺器。

RDP服務全球分布情況（僅為分布情況，非實際漏洞影響）

RDP服務中國地區分布情況（僅為分布情況，非實際漏洞影響）

Windows系統上SMB服務全球分布情況（僅為分布情況，非實際漏洞影響）

Windows系統上SMB服務中國分布情況（僅為分布情況，非實際漏洞影響）

漏洞利用

ETERNALBLUE漏洞利用模塊，windows7 sp1 64位版本和windows 2003 sp2 32版本測試成功截圖。

Windows 7 利用成功并反彈shell

Windows xp 利用成功

修復建議：

1.升級到微軟提供支持的Windows版本，并安裝補丁：

　　2.安裝相關的防護措施，如緩沖區溢出防御軟件，殺毒軟件。
3.無補丁的Windows版本，臨時關閉135、137、445端口和3389遠程登錄。

這堆漏洞現在情況如何？

這最新一波泄密大概會把NSA氣個倒仰。不僅僅因為其價值萬金的頂尖漏洞利用一夜蒸發，更因為現在他們知道自己方程式小組的好貨早幾個月前就在惡棍手里等著被曝光了。

有沒有可能，NSA考慮到這些工具已經暴露，就通報微軟、思科和其他廠商，搶在網上泄露前修復這些漏洞呢？微軟說：目前為止，針對“影子經紀人”泄露的材料，沒有任何人給出過任何形式的提醒。

現下任何人都可以下載所有這些網絡武器。有意黑美國的國家如今可用的工具又多了一波。更糟的是，地球上每個腳本小子都會去下載這些工具，就等著本周末在網上四處搗亂，肆意攻擊那些老舊脆弱系統。

注：文中部分內容由白帽匯提供