g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

Leifeng.com'un Notu: Bu makale, Baimaohui tarafından yetkilendirilen Leifeng.com Home Guest Channel tarafından ortaklaşa yayınlanmıştır.

Shadow Brokers, 14 Nisan 2017'de Pekin zamanında, çok sayıda Windows uzaktan istismar aracını içeren ve dünyanın Windows sunucularının% 70'ini kapsayan ve büyük bir etkiyle dünyayı şok eden gizli bir belgeyi bir kez daha sızdırdı. Microsoft Windows'un yanı sıra, etkilenen ürünler şunlardır: IBM Lotus Notes, MDaemon, EPICHERO Avaya Call Server, Imail.

Etkinlik zaman çizelgesi

• Ağustos 2016'da, bir "Shadow Brokers" hacker organizasyonu, denklem organizasyonunu hacklediğini ve çok sayıda gizli dokümanı çaldığını ve bazı dokümanları internette yayınladığını iddia etti. Equation (Equation Group), NSA'nın (Ulusal Güvenlik Ajansı) bir yan kuruluşu olduğu söyleniyor. Hacker organizasyonunun son derece yüksek teknik imkânları var. Herkese açık belgelerin bu kısmı, çok sayıda gizli yeraltı korsan aracı içerir. Buna ek olarak, "Shadow Brokers" bazı belgeleri elinde tuttu ve bunu halka açık bir açık artırma şeklinde en yüksek teklifi verene satmayı planlıyor. "Shadow Brokers" için beklenen fiyat 1 milyon bitcoindir (yaklaşık 500 milyon ABD doları değerinde). "Shadow Brokers" ın araçları hiç satılmadı.

• 8 Nisan 2017, Pekin saatinde, "Shadow Brokers" ayrılmış bölüm için dekompresyon şifresini duyurdu. Birisi, dekompresyondan sonra indirilmek üzere Github web sitesine yükledi.

• 14 Nisan 2017 akşamı, Pekin saatinde, son genel dekompresyon şifresinden sonra, "Shadow Brokers", Twitter'da ikinci dalga için ayrılan bazı dosyaları yayınladı. İndirme adresi: https://yadi.sk/d/ NJqzpqo_3GxZA4, açma şifresi "Reeeeeeeeeeeeeee" dir. Keşif, 23 yeni bilgisayar korsanlığı aracı içeriyor. Ayrıntılar için lütfen şu adrese bakın: https://github.com/misterch0c/shadowbroker/blob/master/file-listing

Bu bilgisayar korsanlığı araçlarının adı OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, Zippy, DoublePulzy Bekle.

Güvenlik açığı etkisi

FOFA sisteminden alınan istatistiklere göre, küresel olarak 7,5 milyondan fazla birim etkilenebilir ve Çin'de 1,33 milyondan fazla birim etkilenebilir. Bunların arasında, Windows üzerinde çalışan yaklaşık 5,42 milyon RDP hizmeti ve yaklaşık 2,08 milyon SMB protokol hizmeti vardır (yalnızca dağıtım, gerçek güvenlik açıklarından etkilenmez). Bunların arasında, Çin'deki 1,01 milyondan fazla RDP hizmeti dış dünyaya açık ve KOBİ protokolleri 320.000'i aşıyor . Beyaz şapka testine göre, Windows 2000'den Windows 2008'e bu araç setinden etkilenir, başarı oranı çok yüksektir. Ek olarak, dahili ağların çoğu, bilgisayar korsanlarının dahili ağa girmesi için büyük bir katil olacak olan 445 ve 139 bağlantı noktalarını da açar.

[RDP hizmetlerinin küresel dağılımı (yalnızca dağıtım, gerçek güvenlik açığı etkisi değil)]

[Çin'deki RDP hizmet dağıtımı (yalnızca dağıtım, güvenlik açığı etkisi değil)]

[Windows sistemlerinde SMB hizmetlerinin küresel dağılımı (yalnızca dağıtım, gerçek güvenlik açıklarından etkilenmez)]

[Çin'de Windows sisteminde SMB hizmetinin dağıtımı (yalnızca dağıtım, gerçek güvenlik açığından etkilenmez)]

Ana saldırı araçları

Klasör listesi

Bu sefer dosyanın üç dizini vardır:

• Windows klasörü, Windows kullanım araçlarını, implantları ve yükleri içerir;

• Swift klasörü saldıran bankanın işletim sistemini içerir;

• OddJob klasörü OddJob arka kapısı hakkında belgeler içerir.

Windows klasörü

Windows işletim sistemleri için, ancak esas olarak Windows'un eski sürümleri (Windows XP'de) ve Server 2003 ve ayrıca IBM Lotus Notes, MDaemon, EPICHERO Avaya Call Server, Imail için birçok bilgisayar korsanlığı aracı içerir.

Bunların arasında, "ETERNALBLUE, SMB ve NBT üzerinden en son Windows 2008 R2 SUNUCUSU'nu etkileyen bir 0 günlük RCE istismarıdır!".

[ETERNALBLUE klasör içeriği]

OddJob klasörü

Windows tabanlı implant yazılımını içerir ve belirtilen yapılandırma dosyasını ve yükü içerir. Bu implante yazılımın ayrıntıları şu anda az olmasına rağmen, OddJob Windows Server 2003 Enterprise (hatta Windows XP Professional) için uygundur.

[OddJob klasör yapısı]

SWIFT klasörü

SWIFT (Bankalararası Telekomünikasyon Küresel Birliği) küresel bir finansal bilgi sistemidir.Dünya çapında binlerce banka ve kuruluş her gün milyarlarca dolar transfer etmektedir.

Bu klasör PowerPoint sunumlarını, kanıtları, sertifikaları ve EastNets'in dahili yapısını içerir (EastNets, Orta Doğu'daki en büyük SWIFT servis sağlayıcılarından biridir).

Bu klasör, veritabanı kullanıcı listelerini ve SWIFT mesajlarını sorgulayabilen Oracle veritabanından bilgi sorgulamak için SQL komut dosyalarını içerir.

[SWIFT klasör dosyası listesi]

Sızan veriler ayrıca Formula'nın bazı bankalara veya kurumlara saldırdığını da gösterdi: AI Quds Bank for Development and Investment, Qatar Foundation, Natexis Bank, United Bank, AI Hilal Islamic Bank, Warba Bank, Kuwait Petroleum Corp.

[SWIFT klasöründeki Excel dosyası içeriği]

İstismar

ETERNALBLUE güvenlik açığı istismar modülü, windows7 sp164-bit sürümü ve windows 2003 sp232 sürümü ekran görüntülerini başarıyla test etti.

[Windows 7 başarıyla kullanıldı ve geri tepme kabuğu]

[Windows XP başarıyla kullanıldı]

Onarım önerileri

1. Microsoft tarafından desteklenen Windows sürümüne yükseltin ve yamayı yükleyin: https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

2. Arabellek taşması savunma yazılımı ve anti-virüs yazılımı gibi ilgili koruyucu önlemleri kurun.

3. Yama içermeyen Windows sürümleri için 135, 137, 445 ve 3389 numaralı uzaktan oturum açma bağlantı noktalarını geçici olarak kapatın.

Beyaz Şapka Borsası bu güvenlik açığını takip etmeye devam edecek. Lütfen NOSEC Tehdit İstihbaratı bölümünü takip edin https://nosec.org/my/threats/1495

referans:

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

https://github.com/x0rz/EQGRP_Lost_in_Translation

Leifeng.com'un Notu: Bu makale, Baimaohui tarafından yetkilendirilen Leifeng.com Home Guest Channel tarafından ortaklaşa yayınlanmıştır.

90'dan fazla ses mühendisi, dünyanın her yerinden doğal sesleri deneyimlemek için tek tıklamayla özenle hazırlanmış

Bitcoin gün içi ticarette% 14 düşüşle 4.100 doları kırdı, blok zinciri konsept hisse senetleri günde 35.1 milyar buharlaştı

Kawasaki Hiroto: Çin topraklarında ölmek üzere olan bir Japon

Kampüs zorbalığının vahşeti saldırgandır, görgü tanığı yoktur, sadece failler vardır Küçük konu

Saatli ölçüm uygulamaları gerçekten iyi bir alışkanlık oluşturabilir mi? Aslında hepsi sana "yalan söylüyor"

WF2018 kışın açılıyor, el yapımı sihirli mağara önde, cüzdanınız ne kadar iyi?

Dünyanın en kibirli uyuşturucu lordu: cinayet ve kaçış, her yerde metresler ama sonunda yıldız kovalamaktan tutuklandı ...

Videoyu izlemek için tarayıcıdan çıkabilirsiniz, Chromeun "Resim İçinde Resim" işlevi çok güçlü!

Bilgisayar korsanları Windows'a saldırmanın sayısız yolunu açıkladılar, üzerimizde ne gibi etkileri olacak?

Hareket edip ağlayan robot sonunda kendi kendine kıyafet katlamayı öğrendi

"Oscar rezervasyonu" nun R dereceli bu filmi Çin'de 4K ultra yüksek çözünürlüklü görüntü kalitesiyle piyasaya sürülecek

Güzel kadınları çekmek için 60'tan fazla ülkeye seyahat etti ve sayısız fotoğraf çekti ve sonunda dünyayı şaşırttı.