5月12日晚,一款名為wannacry的蠕蟲勒索軟體襲擊全球網絡,這被認為是迄今為止最巨大的勒索交費活動,影響到近百個國家上千家企業及公共組織。這款病毒利用的是“nsa武器庫”中的smb漏洞,而洩露這些漏洞的黑客組織shadow brokers是背後的始作俑者。
幾小時前,shadow brokers釋出了一篇聲明,将從2017年6月開始公布更多0day漏洞。
去年8月份shadow brokers在網上放出方程式組織的入侵工具,這個“方程式組織”隸屬于nsa旗下。當時shadow brokers将工具打包成了2部分,其中一部分300mb提供免費下載下傳,另外一部分加密文檔則以100萬比特币的價格出售,可能是100萬比特币的價格過于高昂導緻無人問津,之後shadow brokers隻好主動公布了這份300mb檔案的解壓密碼。
或許是wannacry蠕蟲病毒的爆發讓shadow brokers更加有底氣,shadow brokers又開始了賺錢的想法,以後新公布的漏洞不會向所有人公開,而是會收取費用。
“theshadowbrokers将啟動月費訂閱模式,有點像‘本月美酒俱樂部’。每個月送出會員費,然後擷取隻提供給會員的洩露資料。”
這樣的模式有利有弊。好處在于之後的這些漏洞在公布之後就會有針對的更新檔,而壞處在于黑客組織會把這些0day exp和黑客工具賣給私密的會員,而不會告知微軟。
很顯然,之後shadow brokers可能會有各類客戶,包括其他的一些黑客、犯罪組織、國家支援的那些黑客們,可能還會有記者和科技公司。
6月暴風雨來襲,你準備好了嗎?
shadow brokers稱,會員會收到的洩露資訊會包括:
針對浏覽器、路由器和智能手機的exp 針對作業系統的exp,包括windows 10作業系統 從銀行和使用swift金融資訊系統的機構洩露的資料 從俄羅斯、中國、伊朗、北韓竊取的核飛彈項目的網絡資訊
shadow brokers組織釋出的這份聲明中的情況暫時還無法驗證,但基于之前shadow brokers洩露檔案的真實性,這份聲明必須嚴肅對待。之前shadow brokers洩露的eternalblue和doublepulsar漏洞已經對全球網絡造成了重大影響。
下一個“永恒之藍”?
事實上,即便不出售新漏洞,shadow brokers之前洩露的檔案仍可能對網絡造成重大影響,除了此次wannacry攻擊事件中利用到的永恒之藍(eternalblue),還有大量nsa的漏洞需要警惕,謹防成為下一個“永恒之藍”:
子產品==> 漏洞 ==>影響系統 ==>預設端口
1. easypi ==> ibm lotus notes漏洞==>windows nt, 2000 ,xp, 2003==>3264
2. easybee ==> mdaemon worldclient電子郵件伺服器漏洞 ==> worldclient 9.5, 9.6, 10.0, 10.1
3. eternalblue ==> smbv2漏洞(ms17-010) ==> windows xp(32),windows server 2008 r2(32/64),windows 7(32/64) ==> 139/445
4. doublepulsar ==> smb和nbt漏洞 windows xp(32), vista, 7, windows server 2003, 2008, 2008 r2 ==> 139/445
5. eternalromance ==> smbv1漏洞(ms17-010)和 nbt漏洞 ==> windows xp, vista, 7, windows server 2003, 2008, 2008 r2 ==> 139/445
6. eternalchampion ==> smb和nbt漏洞 ==> windows xp, vista, 7, windows server 2003, 2008, 2008 r2, 2012, windows 8 sp0 ==> 139/445
7. eternalsynergy ==> smb和nbt漏洞 ==> windows 8, windows server 2012 ==> 139/445
8. explodingcan ==> iis6.0遠端利用漏洞 ==> windows server 2003 ==> 80
9. emphasismine ==> imap漏洞 ==> ibm lotus domino 6.5.4, 6.5.5, 7.0, 8.0, 8.5 ==> 143
10. ewokfrenzy ==> imap漏洞 ==> ibm lotus domino 6.5.4, 7.0.2 == >143
11. englishmansdentist ==> smtp漏洞 ==> ==>25
12. erraticgopher ==> rpc漏洞 ==> windows xp sp3, windows 2003 ==> 445
13. eskimoroll ==> kerberos漏洞 ==> windows 2000, 2003, 2003 r2, 2008, 2008 r2 ==> 88
14. eclipsedwing ==> ms08-067漏洞 ==> windows 2000, xp, 2003 ==> 139/445
15. educatedscholar ==> ms09-050漏洞 ==> windows vista, 2008 ==> 445
16. emeraldthread ==> smb和nbt漏洞 ==> windows xp, 2003 ==> 139/445
17. zippybeer ==> smtp漏洞 ==> ==> 445
18. esteemaudit ==> rdp漏洞 ==> windows xp, windows server 2003 ==> 3389
shadow brokers 調侃
聲明中還談到了一些其他情況,比如對于最近廣泛猜測的,wannacry疑似北韓黑客組織lazarus所為,shadow brokers給出了自己的看法:
“甲骨文公司告訴shadow brokers,北韓是wanna cry網絡攻擊的幕後主使。又是核武器又是網絡攻擊,美國必須得打場仗了。”
除此之外,shadowbrokers還指責了美國政府和科技公司,比如指責微軟沒有及時修複漏洞。
shadowbrokers稱,美國政府向科技公司支付費用讓他們不要修複産品中的0day漏洞,并在微軟等科技企業中安插了間諜。
本文轉自公衆号“freebuf”