近期，hadow Brokers（影子經(jīng)紀(jì)人）不斷披露一些黑客相關(guān)的敏感資料，其中包括很多高含金量的黑客工具等等。隨著國內(nèi)外信息安全愛好者們陸續(xù)對這些敏感資料的不斷深入的挖掘，一批從美國國安局（NSA）流出的想當(dāng)有分量的黑客惡意軟件工具庫被眾多信息安全愛好者關(guān)注，不管是安全研究人員還是犯罪分子中都積極加入“淘金”行列，以尋求可利用的資源。

NSA已經(jīng)將其中的“AES-NI”勒索軟件升級為“NSA利用版”，該勒索軟件開發(fā)者宣稱其已可利用EsteemAudi與EternalBlue對設(shè)備進行感染、加密其中文件并發(fā)布贖金要求。

E安全小編提示，EsteemAudi與EternalBlue是"影子經(jīng)紀(jì)人"上周披露的另外兩款惡意工具。是SMB（Server Message Block，服務(wù)器消息塊）與RDP（遠程桌面協(xié)議）的漏洞利用工具，二者目前已經(jīng)被公諸于眾。

多份國外安全論壇的帖子顯示，部分勒索軟件受害者仍在運行未安裝安全補丁或者已經(jīng)不再受到技術(shù)支持的Windows服務(wù)器。目前還沒有關(guān)于此款新型勒索軟件的獨立有效的證據(jù)（即不配合EsteemAudi與EternalBlue情況下的獨立入侵能力），但該勒索軟件的作者聲稱他們已經(jīng)開始使用這款NSA版本。

　　推薦閱讀：

NSA方程式又一波0day攻擊泄露 覆蓋全球70%的Windows服務(wù)器

賽門鐵克公司安全技術(shù)與響應(yīng)團隊負(fù)責(zé)人連姆·奧默舒表示，EsteemAudit與EternalBlue屬于最易于獲取的惡意工具，而其具體威脅水平則取決于實際使用方式。

陳舊設(shè)備易被攻擊

奧默舒還沒有對AES-NI惡意軟件進行檢查，但他表示Shadow Brokers提供的這兩款工具的源代碼早在4月8日就已經(jīng)泄露，這意味著網(wǎng)絡(luò)犯罪分子能夠輕松獲取并利用其攻擊仍未安裝相關(guān)漏洞補丁的各類陳舊設(shè)備。

該惡意軟件作者在郵件采訪中表示，其僅僅編寫了特定Payload DLL并利用此漏洞將其注入至遠程設(shè)備的對應(yīng)進程當(dāng)中。需要強調(diào)的是，NSA的專家們確實將其轉(zhuǎn)化為一款非常強大且具備高度定制化特性的黑客工具，其中甚至使用了類似于Metasploit的自有框架。

Metasploit是一款滲透測試軟件，允許攻擊者輕松高效地利用一整套工具儲備對目標(biāo)實施打擊。而這套框架的NSA版本于上周五披露，并被定名為Fuzzbunch。

奧默舒指出，一旦其中某款工具宣告失敗，則操作者即會轉(zhuǎn)向下一款工具。如此不斷反復(fù)，直到他們找到能夠切實起效的攻擊方法。E安全小編提請注意，大家必須確保已經(jīng)安裝更新補丁、其余一切正常并鎖定薄弱環(huán)節(jié)，因為攻擊者的這一整套工具集將對受害者環(huán)境進行輪番掃描直到發(fā)現(xiàn)可利用的不當(dāng)配置。這也讓安全人員意識到防范攻擊者發(fā)動入侵是一項多么艱巨的任務(wù)。

無論AES-NI是否會使用NSA提供的相關(guān)攻擊漏洞，專家們認(rèn)為此次曝光的大批量惡意工具都將在網(wǎng)絡(luò)犯罪領(lǐng)域掀起新的定制化波瀾。

上周末AES-NI受害者提供的勒索軟件說明

奧默舒領(lǐng)導(dǎo)下的賽門鐵克團隊在上周末一直加緊對此輪披露的數(shù)據(jù)進行分析。盡管此次泄露內(nèi)容中不涉及任何0day漏洞，但奧默舒的團隊仍然從中發(fā)現(xiàn)了不少操作說明與工具，研究人員將能夠借此了解攻擊者的行動方式。

奧默舒指出，“我們已經(jīng)觀察到與攻擊活動開展相關(guān)的說明內(nèi)容以及實現(xiàn)原理。其中提到了這些黑客曾經(jīng)做過什么、使用了哪些安全漏洞、結(jié)果如何、駐留在目標(biāo)設(shè)備上的時長、收集到了哪些信息以及具體網(wǎng)絡(luò)布局。”

奧默舒的團隊長久以來一直在追蹤并分析NSA攻擊者，包括對愛德華·斯諾登于2013年披露的各項惡意工具進行檢查。而這些分析工作的主要意義，在于制定與之對應(yīng)的安全策略及規(guī)程以增強“戰(zhàn)略性”防御能力。

奧默舒表示，現(xiàn)在賽門鐵克又掌握了NSA方面所使用的具體工具信息，并且發(fā)現(xiàn)了大量與構(gòu)建惡意軟件工具相關(guān)的資料。

例如如何運行服務(wù)器端工具與惡意軟件通信工具及一份指導(dǎo)手冊，這份手冊對如何設(shè)置端點惡意軟件并利用服務(wù)器端腳本與該惡意軟件進行通信進行了說明。除此之外，還發(fā)現(xiàn)多種能夠幫助攻擊者成功入侵目標(biāo)設(shè)備的工具，這些工具甚至能夠幫助攻擊者探索目標(biāo)網(wǎng)絡(luò)或者橫向移動以竊取密碼及其它有價值的信息。”

多位前任情報機構(gòu)工作人員還在采訪是表示，由"影子經(jīng)紀(jì)人"于本月早些時候披露的Linux惡意工具中也存在著同樣的信息。

盡管EsteemAudit與EternalBlue相對易于獲取并能快速實現(xiàn)武器化應(yīng)用，但此次披露所帶來更為糟糕的結(jié)果，在于未來可能會出現(xiàn)大量采取類似注入機制的新型攻擊活動。

就AES-NI惡意軟件開發(fā)者本人而言，他已經(jīng)開始利用這些新型勒索軟件進行牟利。而通過網(wǎng)絡(luò)上技術(shù)支持論壇中的反響來看，攻擊已經(jīng)開始陸續(xù)出現(xiàn)。截至目前，各項惡意工具的利用情況與由此帶來的經(jīng)濟回報尚不明確。