美国NSA“方程式组织”使用的黑客工具列表及功能解释

8月23日讯 一周以前,影子经纪人The Shadow Brokers)在网上泄露大量数据,声称数据从方程式组织Equation Group)盗取得来。

“影子经纪人”表示,他们泄露了60%的被窃文件,并在网上拍卖,承诺竞价最高者将获取剩下40%的数据。

自初次泄露以来,卡巴斯基实验室的安全研究人员证实,被泄数据与过去看到“方程式组织”恶意软件“The Intercept”相似。借助斯诺登从未公开的文件,研究人员发现被泄恶意软件与NSA网络武器存在关联。

“影子经纪人”泄露的包含行动细节的大多数网址(GitHub、Tumblr和PastBin)已关闭,另一个包含所有被泄文件的PasteBin网址也不复存在。

本文提供了“影子经纪人”泄露的文件列表以及功能解释。

列表来源出自Risk Based Security、安全专家Mustafa Al-Bassam、Matt Suiche、RST论坛的分析,以及其它研究人员在Twitter和GitHub上分享的多种漏洞利用。

下表使用的是Al-Bassam的分类。工具指的是可以部署多个植入程序和漏洞利用的软件数据包;植入程序(implant)是安装在被劫持设备上的恶意软件;漏洞利用指的是允许攻击者劫持设备、提取数据或部署植入程序/工具的漏洞。

名称 类型 描述
1212/DEHEX 工具 将十六进制字符串转换为IP地址和端口的工具
BANANABALLOT 植入程序 BIOS 植入程序
BANANAGLEE 植入程序 重启不持续的防火墙植入程序。

在Cisco ASA和PIX上运行

BANANALIAR 工具 连接到(目前)未知的植入程序
BANNANADAIQUIRI 植入程序 未知,与SCREAMINGPILLOW有关
BARGLEE 植入程序 未证实的Juniper NetScreen 5.x防火墙植入程序
BARICE 工具 部署BARGLEE的壳(shell)
BARPUNCH 植入程序 BANANAGLEE与BARGLEE模块
BBALL 植入程序 BANANAGLEE模块
BBALLOT 植入程序 BANANAGLEE模块
BBANJO 植入程序 BANANAGLEE模块
BCANDY 植入程序 BANANAGLEE模块
BEECHPONY 植入程序 防火墙植入程序 (BANANAGLEE前身)
BENIGNCERTAIN 工具 从思科PIX防火强提取VPN密钥的工具
BFLEA 植入程序 BANANAGLEE模块
BILLOCEAN 工具 从飞塔Fortigate防火墙(可能有其它)提取序列号
BLATSTING 植入程序 部署EGREGIOUSBLUNDER 和ELIGIBLEBACHELOR防火墙植入程序
BMASSACRE 植入程序 BANANAGLEE和BARGLEE模块
BNSLOG 植入程序 BANANAGLEE和BARGLEE模块
BOOKISHMUTE 漏洞利用 未知防火墙的漏洞利用
BPATROL 植入程序 BANANAGLEE模块
BPICKER 植入程序 BANANAGLEE模块
BPIE 植入程序 BANANAGLEE和BARGLEE模块
BUSURPER 植入程序 BANANAGLEE模块
BUZZDIRECTION 植入程序 未证实的飞塔Fortigate防火墙植入程序
CLUCKLINE 植入程序 BANANAGLEE模块
CONTAINMENTGRID 漏洞利用 现成的有效载荷能通过漏洞利用传送。影响在TOS 3.3.005.066.1.运行的天融信防火墙
DURABLENAPKIN 工具 LAN连接上的数据包注入工具
EGREGIOUSBLUNDER 漏洞利用 飞塔 FortiGate防火墙的远端控制设备(RCE)。影响的型号: 60、 60M、 80C、 200A、300A、400A、500A、 620B、800、5000、1000A、 3600和3600A
ELIGIBLEBACHELOR 漏洞利用 在TOS操作系统版本3.2.100.010、 3.3.001.050、 3.3.002.021和 3.3.002.030上运行的天融信防火墙漏洞利用
ELIGIBLEBOMBSHELL 漏洞利用 天融信防火墙RCE,影响的版本:从3.2.100.010.1_pbc_17_iv_3 到 3.3.005.066.1
ELIGIBLECANDIDATE 漏洞利用 天融信防火墙RCE,影响的版本:从3.3.005.057.1到3.3.010.024.1
ELIGIBLECONTESTANT 漏洞利用 天融信防火墙RCE,影响的版本:从3.3.005.057.1 到 3.3.010.024.1。仅在ELIGIBLECANDIDATE之后运行
EPICBANANA 漏洞利用 思科ASA特权升级(版本 711、712、 721、722、 723、 724、 80432、804、805、 822、 823、 824、 825、 831, 832) 和思科PIX (版本711、 712、721、722、 723、724、804)
ESCALATEPLOWMAN 漏洞利用 沃奇卫士产品特权升级。该公司表示较新版本不存在该问题。
EXTRABACON 漏洞利用 思科ASA RCE, 版本:802、803、804、 805、821、 822、 823、 824、 825、831、 832、 841、 842、 843、 844 (CVE-2016-6366)
FALSEMOREL 漏洞利用 思科漏洞利用:如果设备开启Telnet服务,该漏洞提取“启用”密码
FEEDTROUGH 植入程序 Juniper NetScreen防火墙上的持续植入程序,部署BANANAGLEE和ZESTYLEAK
FLOCKFORWARD 漏洞利用 通过ELIGIBLEBOMBSHELL传送现成有效荷载。影响在TOS 3.3.005.066.1上运行的天融信防火墙
FOSHO 工具 在漏洞利用中制作HTTP请求的Python库
GOTHAMKNIGHT 漏洞利用 通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS 3.2.100.010.8_pbc_27上运行的天融信防火墙
HIDDENTEMPLE 漏洞利用 通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS 3.2.8840.1运行的天融信防火墙
JETPLOW 植入程序 用来在设备固件插入BANANAGLEE 的思科ASA 和 PIX 植入程序
JIFFYRAUL 植入程序 思科PIX的BANANAGLEE模块
NOPEN 工具 后渗透壳(post-exploitation shell)(攻击者使用的客户端、安装在目标设备上的服务器)
PANDAROCK 工具 连接至POLARPAWS的植入程序
POLARPAWS 植入程序 未知厂商的防火墙植入程序
POLARSNEEZE 植入程序 未知厂商的防火墙植入程序
SCREAMINGPLOW 植入程序 思科ASA和PIX 植入程序,用来在设备固件中插入BANANAGLEE
SECONDDATE 工具 WiFi和LAN网络上的数据包注入。与BANANAGLEE和BARGLEE一起使用
TEFLONDOOR 工具 自毁Post-Exploitation Shell
TURBOPANDA 工具 连接到先前被泄HALLUXWATER植入程序的工具
WOBBLYLLAMA 漏洞利用 通过ELIGIBLEBOMBSHELL漏洞利用传送现成有效载荷。影响在TOS 3.3.002.030.8_003上运行的天融信防护墙
XTRACTPLEASING 工具 将数据转换为PCAP文件
ZESTYLEAK 植入程序 Juniper NetScreen防火墙植入程序

E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。

发表评论

电子邮件地址不会被公开。 必填项已用*标注