NSA黑客工具被泄 網安江湖掀起一輪「淘金熱」

E安全4月19日訊 近期，Shadow
Brokers（影子經紀人）不斷披露一些黑客相關的敏感資料，其中包括很多高含金量的黑客工具等等。隨著國內外信息安全愛好者們陸續對這些敏感資料的不斷深入的挖掘，一批從美國國安局（NSA）流出的想當有分量的黑客惡意軟體工具庫被眾多信息安全愛好者關注，不管是安全研究人員還是犯罪分子中都積極加入「淘金」行列，以尋求可利用的資源。

網路犯罪分子利用NSA泄露的工具改造勒索軟體

NSA已經將其中的「AES-NI」勒索軟體升級為「NSA利用版」，該勒索軟體開發者宣稱其已可利用EsteemAudi與EternalBlue對設備進行感染、加密其中文件並發布贖金要求。

E安全小編提示，EsteemAudi與EternalBlue是"影子經紀人"上周披露的另外兩款惡意工具。是SMB（Server Message Block，伺服器消息塊）與RDP（遠程桌面協議）的漏洞利用工具，二者目前已經被公諸於眾。

多份國外安全論壇的帖子顯示，部分勒索軟體受害者仍在運行未安裝安全補丁或者已經不再受到技術支持的Windows伺服器。目前還沒有關於此款新型勒索軟體的獨立有效的證據（即不配合EsteemAudi與EternalBlue情況下的獨立入侵能力），但該勒索軟體的作者聲稱他們已經開始使用這款NSA版本。

推薦閱讀：

NSA方程式又一波0day攻擊泄露 覆蓋全球70%的Windows伺服器

CIA Vault 7第四波：蝗蟲來襲，微軟Windows寸草不生【附下載】

賽門鐵克公司安全技術與響應團隊負責人連姆·奧默舒表示，EsteemAudit與EternalBlue屬於最易於獲取的惡意工具，而其具體威脅水平則取決於實際使用方式。

陳舊設備易被攻擊

奧默舒還沒有對AES-NI惡意軟體進行檢查，但他表示Shadow Brokers提供的這兩款工具的源代碼早在4月8日就已經泄露，這意味著網路犯罪分子能夠輕鬆獲取並利用其攻擊仍未安裝相關漏洞補丁的各類陳舊設備。

該惡意軟體作者在郵件採訪中表示，其僅僅編寫了特定Payload DLL並利用此漏洞將其注入至遠程設備的對應進程當中。需要強調的是，NSA的專家們確實將其轉化為一款非常強大且具備高度定製化特性的黑客工具，其中甚至使用了類似於Metasploit的自有框架。

Metasploit是一款滲透測試軟體，允許攻擊者輕鬆高效地利用一整套工具儲備對目標實施打擊。而這套框架的NSA版本於上周五披露，並被定名為Fuzzbunch。

奧默舒指出，一旦其中某款工具宣告失敗，則操作者即會轉向下一款工具。如此不斷反覆，直到他們找到能夠切實起效的攻擊方法。E安全小編提請注意，大家必須確保已經安裝更新補丁、其餘一切正常並鎖定薄弱環節，因為攻擊者的這一整套工具集將對受害者環境進行輪番掃描直到發現可利用的不當配置。這也讓安全人員意識到防範攻擊者發動入侵是一項多麼艱巨的任務。

無論AES-NI是否會使用NSA提供的相關攻擊漏洞，專家們認為此次曝光的大批量惡意工具都將在網路犯罪領域掀起新的定製化波瀾。

上周末AES-NI受害者提供的勒索軟體說明

賽門鐵克團隊在最近的「淘金」活動中大有收穫

奧默舒領導下的賽門鐵克團隊在上周末一直加緊對此輪披露的數據進行分析。儘管此次泄露內容中不涉及任何0day漏洞，但奧默舒的團隊仍然從中發現了不少操作說明與工具，研究人員將能夠藉此了解攻擊者的行動方式。

奧默舒指出，「我們已經觀察到與攻擊活動開展相關的說明內容以及實現原理。其中提到了這些黑客曾經做過什麼、使用了哪些安全漏洞、結果如何、駐留在目標設備上的時長、收集到了哪些信息以及具體網路布局。」

奧默舒的團隊長久以來一直在追蹤並分析NSA攻擊者，包括對愛德華·斯諾登於2013年披露的各項惡意工具進行檢查。而這些分析工作的主要意義，在於制定與之對應的安全策略及規程以增強「戰略性」防禦能力。

奧默舒表示，現在賽門鐵克又掌握了NSA方面所使用的具體工具信息，並且發現了大量與構建惡意軟體工具相關的資料。

例如如何運行伺服器端工具與惡意軟體通信工具及一份指導手冊，這份手冊對如何設置端點惡意軟體並利用伺服器端腳本與該惡意軟體進行通信進行了說明。除此之外，還發現多種能夠幫助攻擊者成功入侵目標設備的工具，這些工具甚至能夠幫助攻擊者探索目標網路或者橫向移動以竊取密碼及其它有價值的信息。」

多位前任情報機構工作人員還在採訪是表示，由"影子經紀人"於本月早些時候披露的Linux惡意工具中也存在著同樣的信息。

儘管EsteemAudit與EternalBlue相對易於獲取並能快速實現武器化應用，但此次披露所帶來更為糟糕的結果，在於未來可能會出現大量採取類似注入機制的新型攻擊活動。

就AES-NI惡意軟體開發者本人而言，他已經開始利用這些新型勒索軟體進行牟利。而通過網路上技術支持論壇中的反響來看，攻擊已經開始陸續出現。截至目前，各項惡意工具的利用情況與由此帶來的經濟回報尚不明確。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。