Shadow Brokers выпускает новые файлы, раскрывающие уязвимости Windows

safety · April 2017

В Страстную пятницу и в преддверии праздника Пасхи Shadow Brokers сбрасывают новую коллекцию файлов, содержащую то, что кажется эксплойтами и инструментами взлома, ориентированными на ОС Microsoft Windows, и свидетельством того, что группа Equation получила доступ к серверам и нацелена на банковскую систему SWIFT Из нескольких банков по всему миру.

Инструменты сбрасывались через учетную запись Shadow Brokers Twitter и сопровождались записью в блоге, как это делала группа в прошлом.

Называется «Lost in Translation», сообщение в блоге содержит обычные неразборчивые промахи, изданные в прошлом Теневыми брокерами, и ссылку на репо хранилища файлов на Яндексе.

Пароль для этих файлов - «Reeeeeeeeeeeeeee», и они уже распакованы и размещены на GitHub исследователями безопасности.

Список всех файлов, содержащихся в дампе, доступен здесь, и он показывает наличие 23 новых инструментов для взлома, таких как ODDJOB, EASYBEE, EDUCATEDSCHOLAR, ENGLISHMANSDENTIST, ESKIMOROLL, ECLIPSEDWING, EMPHASISMINE, EMERALDTHREAD, ETERNALROMANCE, ETERNALSYNERGY, EWOKFRENZY, EXPLODINGCAN , ERRATICGOPHER, ESTEEMAUDIT, DOUBLEPULSAR, MOFCONFIG, FUZZBUNCH и другие.

В прошлом году теневые брокеры утверждали, что похитили эти файлы из кибершпионажной группы, известной как Equation Group, которую многие фирмы по безопасности заявляют, - это NSA. Они выставили инструменты на аукцион, но никто не интересовался уплатой огромной цены в 1 млн биткойнов (около 570 млн долларов в то время).

Поскольку инструменты были сброшены за два часа до публикации этой статьи, у нас очень мало информации об их назначении, кроме твитов исследователей безопасности, которые сумели выяснить роль некоторых из этих инструментов взлома:

EASYBEE appears to be an MDaemon email server vulnerability
EASYPI is an IBM Lotus Notes exploit that gets detected as Stuxnet
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 to 7.0.2
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor
ETERNALROMANCE is a SMBv1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges
EDUCATEDSCHOLAR is a SMB exploit
EMERALDTHREAD is a SMB exploit for Windows XP and Server 2003
EMPHASISMINE is a remote IMAP exploit for IBM Lotus Domino
ENGLISHMANSDENTIST sets Outlook Exchange WebAccess rules to trigger executable code on the client's side to send an email to other users
ERRATICGOPHER is a SMBv1 exploit targeting Windows XP and Server 2003
ETERNALSYNERGY is a SMBv3 remote code execution flaw for Windows 8 and Server 2012
ETERNALBLUE is a SMBv2 exploit
ETERNALCHAMPION is a SMBv1 exploit
ESKIMOROLL is a Kerberos exploit targeting 2000, 2003, 2008 and 2008 R2 domain controllers
ESTEEMAUDIT is an RDP exploit and backdoor for Windows Server 2003
ECLIPSEDWING is an RCE exploit for the Server service in Windows Server 2008 and later
EXPANDINGPULLEY is another Windows implant
GROK is a keylogger for Windows, also known about since Snowden
ETRE is an exploit for IMail 8.10 to 8.22
FUZZBUNCH is an exploit framework, similar to MetaSploit, which was also part of the December-January "Windows Tools" Shadow Brokers auction
DOUBLEPULSAR is a RING-0 multi-version kernel mode payload
PASSFREELY is a tool that bypasses authentication for Oracle servers
EquationGroup had scripts that could scrape Oracle databases for SWIFT data
ODDJOB is an implant builder and C&C server that can deliver exploits for Windows 2000 and later, also not detected by any AV vendors
Metadata [possibly faked, possibly real] links NSA to Equation Group
NSA used TrueCrypt for storing operation notes
Some of the Windows exploits released today were undetectable on VirusTotal
Some EquationGroup humor in the oddjob instructions manual
JEEPFLEA_MARKET appears to be an operation for collecting data from several banks around the world [source], previously linked to the NSA by Snowden
The Equation Group targeted EastNets, a SWIFT connectivity provider

This is really bad, in about an hour or so any attacker can download simple toolkit to hack into Microsoft based computers around the globe.
Это очень плохо, примерно через час любой злоумышленник может загрузить простой инструментарий для взлома компьютеров на базе Microsoft по всему миру.
— Hacker Fantastic (@hackerfantastic) April 14, 2017

bleepingcomputer.com

Ранее, на этой неделе, пытаясь оценить количество уязвимых пользователей к вредоносным программам, просочившимся в прошлую пятницу, фирма Cyber-Security Below0Day провела интернет-сканирование компьютеров Windows с открытыми портами SMB (порт 445).

Их сканирование вернуло несколько 5 561 708 компьютеров с Windows с портом 445, подверженным внешним соединениям.

>
bleepingcomputer.com
>

Как показал анализ нового дампа от Shadow Brokers, содержащего информацию о хакерском инструментарии Equation Group, АНБ использовало эксплойты в атаках на сервисные бюро SWIFT, чтобы получить доступ к данным о банковских операциях ряда финансовых институтов Ближнего Востока. Эксперты не исключают, что этот доступ мог использоваться для отслеживания финансирования террористических операций.

threatpost.ru/

safety · April 2017

Зловред DoublePulsar из арсенала АНБ пошел в массы

Прошло немногим более двух недель со времени публикации ShadowBrokers новой порции хакерского инструментария АНБ, а эксперты уже тревожатся, что зловред DoublePulsar, загружаемый на Windows в результате эксплойта, станет таким же долгожителем и уязвимость в серверах, закрытая с выходом MS17-010, будет проявляться при пентестинге гораздо дольше, чем брешь, используемая Conficker.

Обновление MS17-010, устранившее ряд уязвимостей в Windows SMB, было выпущено в марте. АНБ предположительно использовала эти бреши для загрузки DoublePulsar с помощью эксплойтов EternalBlue, EternalChampion, EternalSynergy и EternalRomance, являющихся частью эксплойт-платформы Fuzzbunch. DoublePulsar – это сложная, работающая из памяти нагрузка режима ядра, ориентированная на 64-битные серверные системы с архитектурой x86 и позволяющая в ходе атаки исполнять любые шелл-коды.

threatpost.ru

safety · May 2017

Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage

Ransomware scum are using an SMB exploit leaked by the Shadow Brokers last month to fuel a massive ransomware outbreak that exploded online today, making victims all over the world in huge numbers.

The ransomware's name is WCry, but is also referenced online under various names, such as WannaCry, WanaCrypt0r, WannaCrypt, or Wana Decrypt0r. As everybody keeps calling it "Wana Decrypt0r," this is the name we'll use in this article, but all are the same thing, which is version 2.0 of the lowly and unimpressive WCry ransomware that first appeared in March.

Activity from this ransomware family was almost inexistent prior to today's sudden explosion when the number of victims skyrocketed in a few hours.

Wana Decrypt0r uses NSA's ETERNALBLUE exploit

What was clear about this ransomware was that Wana Decrypt0r was extremely virulent. The one who unraveled the mystery was French security researcher Kafeine, who was the first to spot that Wana Decrypt0r triggered security alerts for ETERNALBLUE, an alleged NSA exploit leaked online last month by a nefarious group known as The Shadow Brokers.

ETERNALBLUE works by exploiting a vulnerability in the SMBv1 protocol to get a foothold on vulnerable machines connected online. Microsoft patched the flaw in MS17-010, released in March, but that doesn't mean all Windows PC owners have applied the security update.

Unpatched Windows machines exposed online today risk being exploited with ETERNALBLUE, and then infected with Wana Decrypt0r.

UPDATE: After this article's publication CERT Spain and other security experts confirmed seeing the Wana Decrypt0r actors also dropping the NSA's DOUBLEPULSAR malware on infected systems as well. This is a Windows kernel Ring-0 exploit — also developed by the NSA and leaked by the Shadow Brokers — that was used by an unknown actor in late April to infect over 36,000 computers worldwide. DOUBLEPULSAR is what's called a "malware loader," used to download and install other malware.

https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/

How is WanaCrypt0r Distributed?

MalwareHunterTeam first spotted WanaCrypt0r a few weeks ago, but the ransomware for the most part was hardly distributed. Suddenly, WanaCrypt0r exploded and began spreading like wild fire through an exploit called ETERNALBLUE, which is an alleged NSA exploit leaked online last month by hacking group called The Shadow Brokers.

This exploit works by gaining access to a remote machine via the SMBv1 protocol. Unfortunately, it seems that even though Microsoft patched this flaw in March as MS17-010, many people did not install it.

If you have not installed the updates mentioned in the MS17-010 security bulletin, STOP WHAT YOU ARE DOING NOW AND INSTALL IT. Yes, I did that all in caps because it is that important. This ransomware is spreading like crazy and there is no known way to decrypt it for free. Therefore, install your updates so you don't lose your files when you become infected!

https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/

Смягчение последствий и профилактика
Организации, стремящиеся снизить риск стать жертвой взлома, должны следовать следующим рекомендациям:

Убедитесь, что все системы на основе Windows полностью исправлены. Как минимум, убедитесь, что бюллетень Microsoft MS17-010 был применен.
В соответствии с известными рекомендациями любая организация, которая имеет SMB, публично доступную через Интернет (порты 139, 445), должна немедленно блокировать входящий трафик.

Кроме того, организациям следует серьезно рассмотреть возможность блокировки соединений с узлами TOR и TOR-трафиком в сети. Известные узлы выхода TOR перечислены в фиде Security Intelligence устройств ASA Firepower. Включение этого параметра в черный список предотвратит исходящую связь с сетями TOR.

В дополнение к перечисленным выше смягчениям, Talos настоятельно рекомендует организациям использовать следующие рекомендуемые в отрасли стандарты для предотвращения атак и кампаний, подобных этому и аналогичным.

Убедитесь, что в вашей организации активно поддерживается операционная система, которая получает обновления безопасности.
Эффективное управление исправлениями, которое своевременно развертывает обновления безопасности для конечных точек и других важных компонентов вашей инфраструктуры.
Запускайте антивирусное программное обеспечение в своей системе и регулярно получайте обновления сигнатур вредоносных программ.
Внедрить план аварийного восстановления, который включает резервное копирование и восстановление данных с устройств, которые хранятся в автономном режиме. Противники часто нацеливаются на механизмы резервного копирования, чтобы ограничить возможности, которые пользователь может восстановить свои файлы, не заплатив выкуп.

http://blog.talosintelligence.com/2017/05/wannacry.html

Сегодня, 12 мая 2017 года, компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.

https://xakep.ru/2017/05/12/wcry-ransomware-apocalypse/

P.S. как говорится, жить стало не лучше, но веселей.

safety · May 2017

New Shadow Brokers Message Teases Data From Nuke Programs, Windows 10 Exploits

Today, the Shadow Brokers have published a new message teasing new exploits for people who register for a new membership program the group has announced for next month, June 2017.

Shadow Brokers tease new exploits

Trying to capitalize on the success of the WannaCry ransomware, which used ETERNALBLUE for a self-spreading SMB worm, The Shadow Brokers are now announcing the "TheShadowBrokers Data Dump of the Month" service, a monthly subscription plan.

The group claims it will release new exploits through this new monthly membership program. According to the group, these are the types of exploits we can expect:
⎆ web browser exploits
⎆ router exploits
⎆ mobile handset exploits and tools
⎆ items from newer Ops Disks
⎆ exploits for Windows 10
⎆ compromised network data from more SWIFT providers and central banks
⎆ compromised network data from Russian, Chinese, Iranian, or North Korean nukes and missile programs

https://www.bleepingcomputer.com/news/security/new-shadow-brokers-message-teases-data-from-nuke-programs-windows-10-exploits/

safety · June 2017

EternalBlue NSA Exploit становится удобным инструментом взлома, распространяется на другие вредоносные программы

ETERNALBLUE, предполагаемый эксплойт NSA, нацеленный на SMBv1-протокол, опубликованный Shadow Brokers в середине апреля, стал удобным cредством взлома среди разработчиков вредоносных программ.

Известность инструмента исходит из его успешного использования в рамках механизма самораспространения WansCry ransomware, где он был развернут вместе с другим инструментом взлома NSA под названием DOUBLEPULSAR, чтобы помочь WannaCry заразить случайные компьютеры через незащищенные службы SMB.

ETERNALBLUE - крайне полезный для сегодняшнего вредоносного ПО

После того, как WannaCry стал самым печально известным кибер-инцидентом, известным на сегодняшний день, появились доказательства того, что были другие семейства вредоносных программ, которые использовали ETERNALBLUE еще до WannaCry.

Это включает отчет от Proofpoint, который обнаружил, что ETERNALBLUE развернут с Adylkuzz и майнерами криптовалюты, отчет от Cyphort, который обнаружил, что ETERNALBLUE развернут с различными RAT, развернутыми китайскими участниками угроз, и отчет от Secdo, который нашел, что ETERNALBLUE развернут с создателем инфостайлера в России и бот-сети в Китае.

После вспышки WannaCry ситуация ухудшилась. Например, Forcepoint обнаружил, что ETERNALBLUE развернут с различными RAT, французские исследования безопасности Benkow обнаружили, что он используется для UIWIX ransomware, а исследователь безопасности в Хорватии Мирослав Стампар нашел в комплекте с шестью другими инструментами взлома NSA, входящими в червь EternalRocks SMB.

Хуже того, сегодня FireEye опубликовала еще один отчет, в котором он обнаружил, что ETERNALBLUE развернут с версией Ghost RAT в Сингапуре и вместе с троянцем Nitol backdoor в регионе Южной Азии.

Добавление ETERNALBLUE в Metasploit понизило планку

Все эти вредоносные кампании применяют ETERNALBLUE чтобы использовать уязвимость (CVE-2017-0144) в протоколе Microsoft Server Message Block (SMB).

ETERNALBLUE работает, отправляя неверные пакеты на компьютеры с уязвимыми версиями службы SMB, позволяя другим вредоносным программам запускать код на машине и получать начальную точку опоры.

https://www.bleepingcomputer.com/news/security/eternalblue-nsa-exploit-becomes-commodity-hacking-tool-spreads-to-other-malware/

safety · June 2017

...Microsoft объявила о выпуске новых патчей безопасности для пользователей Windows XP, чтобы защитить их от «потенциальной активности», которая может вызвать «разрушительные кибератаки», подобные вспышке WannaCry, которая поражает пользователей последними месяц.

Эти исправления XP были включены в Microsoft June 2017 Patch Tuesday, который компания выпустила несколько часов назад.

https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-windows-xp-security-updates-for-previously-ignored-nsa-hacking-tools/

Привет, незнакомец!

Быстрые ссылки

Разделы

In this Discussion

Shadow Brokers выпускает новые файлы, раскрывающие уязвимости Windows

Комментарии