一、前言


一转眼,我们又来到了这个熟悉又陌生的星期五了。在过去的这一周,网络安全领域中最“吸睛”的事件肯定非“NSA被黑事件”莫属了。美国时间2016年8月15日,一个名为“The Shadow Brokers”的黑客组织泄漏了大量黑客工具,并且他们还声称这些黑客工具是由美国国家安全局开发的。如果你还不了解这一事件的话,可以访问我们安全客的官方网站以了解详情。

 

二、泄漏文件如何获取?


基本的内容铺垫工作已经完成,接下来就不废话了,直接进入正题。

http://p8.qhimg.com/t01926cca8073e9001e.png

“The Shadow Brokers”此次公布的文件主要分为两个tar压缩文件:其中一个文件名为“eqgrp-free-file.tar.xz.gpg”,这份文件的解压密码为“theequationgroup”;另外一个压缩文件为“eqgrp-auction-file.tar.xz.gpg”。从“The Shadow Brokers”所想表达的意思来看,文件“eqgrp-auction-file.tar.xz.gpg”中应该包含有更多“劲爆”的内容。在比特币拍卖活动结束之后,这份文件的解压密钥将会提供给竞价最高的人。不过鉴于目前外界对这份文件有着各种各样的猜测,那么这份文件的真实价值到底有多少呢?也许只有那位竞价最高的人才会知道了。

目前大家可以从MEGA网盘下载这份文件,但是我们估计这份文件可能马上就会被删除了(就像GitHub一样),所以感兴趣的读者请赶紧将文件下载下来保存好。截止本篇文章发稿前,这个地址仍然是可访问的,如果读者们发现地址已经失效了,可以在文章下方留下邮箱地址,小编会在看到回复后的第一时间将原始文件发送至您的邮箱。 

MEGA网盘下载地址:EQGRP-Auction-Files.zip(234.9MB)

下载完成之后,大家可以对比“sha256sum.txt”文件中提供的校验码来查验文件是否是原始文件。

http://p1.qhimg.com/t01e65d4642895303ae.png

光有解压密码(“theequationgroup”)是无法解密文件“eqgrp-free-file.tar.xz.gpg”的。由于文件采用了GPG算法来进行压缩加密,所以我们需要下载专用的工具来解压文件。

解压工具下载地址:点击下载(工具支持Windows/OS X/Linux/Android等主流操作平台)

工具的使用方法在这里就不进行讲解了,感兴趣的读者请自行搜索解决。将压缩文件“eqgrp-free-file.tar.xz.gpg”解压之后,我们将会得到下列文件:

http://p5.qhimg.com/t015d92bac35142c930.png

你会发现,根目录的目录名称为“Firewall”,即“防火墙”。看来这些文件的确和“The Shadow Brokers”描述的一样,这些都是针对防火墙设备的黑客软件。点击“TOOLS”文件夹,你就会看到我们今天的主角了-“BenignCertain”。

注:如果各位对这份文件中其他的黑客工具感兴趣的话,请在评论下方留言,我们会给大家带来详细的后续报道!

http://p5.qhimg.com/t015469fa3ea2750e51.png

在对BenignCertain工具进行讲解之前,先简单介绍一下“Firewall”目录下的其他工具。

-BANANAGLEE:针对Cisco和Juniper防火墙设备的攻击工具,可以用于在目标设备中植入恶意后门;

-BARGLEE:针对Juniper Netscreen设备的攻击工具;

-BLATSTING:用于穷举爆破的工具;

-BUZZDIRECTION:远程控制脚本;

-EXPLOITS:针对各个目标系统的漏洞利用代码;

-OPS:攻击过程中需要使用到的一些操作工具;

-SCRIPTS:攻击脚本资源;

-TOOLS:攻击辅助工具包;

-TURBO:针对不同设备的原始攻击代码;

注:对其他文件的感兴趣的读者可以点击这里了解更多的详细内容。

 

三、今天的主角-BenignCertain


通过本文的第二步操作,我们获取到了“BenignCertain”目录下的数据。那么这一个黑客工具到底有什么用呢?首先,我们看看该目录下到底有哪些文件。

http://p0.qhimg.com/t01f1b5822f691b15ee.png

http://p9.qhimg.com/t01fc276285bd49db02.png

为了解答这个问题,安全研究专家对这份工具进行了详细的分析。分析结果显示,这是一款针对思科PIX防火墙设备的远程漏洞利用工具。该工具可以向目标设备发送一个Internet密钥交换(IKE)数据包,并通过该数据包导出目标设备内存中的数据。攻击者在得到这些内存数据之后,便可以从中提取出RSA私钥和其他的一些敏感配置信息(例如防火墙的VPN配置信息)。

值得注意的是,这份黑客工具针对的是5.2(9)至6.3(4)版本的思科PIX防火墙,而这些版本的思科PIX产品早就已经停用了,所以这份工具实际上并不会产生多大的效应。

 这份漏洞利用工具主要由三个二进制文件组成,每一个文件代表着漏洞利用过程中的一步单独操作。

首先,我们的第一步是执行“bc-genpkt”程序。这一步操作会生成一个IKE数据包,数据包的大小是可以任意指定的,其大小必须大于96字节,小于65536字节。除此之外,数据包中的部分内容也可以由攻击者控制。

http://p8.qhimg.com/t014b0b8efd70ae840e.png

在第一步操作中,我们生成了一个数据包文件,这份文件可以作为二进制文件“bc-id”的输入数据,“bc-id”负责将数据包发送至目标主机。

http://p5.qhimg.com/t0158662dd14c40b76e.png

在对“bc-id”的源代码进行了分析之后,安全研究专家们发现,这个程序似乎会操作目标设备的内存数据,并在目标主机的响应信息中搜索目标数据。但是,安全专家Hector Martin认为,其中有部分代码是完全没有任何实际意义的。

http://p0.qhimg.com/t0145edb74298b3a055.png

随后,“bc-id”程序会输出一个文件,然后这个文件又会作为“bc-parser”程序的输入数据。而“bc-parser”程序主要负责对目标主机返回的响应数据进行解析处理。

http://p2.qhimg.com/t0157f5408a542ae545.png

“bc-parser”程序二进制代码中的字符串显示,该工具所提取出的信息中包含有目标主机中VPN的详细配置数据和RSA私钥。

http://p3.qhimg.com/t01b17309591883e2fb.png

值得注意的是,“bc-parser”程序还可以读取目标主机的内存数据。

http://p0.qhimg.com/t01c2f24eab037c8f9c.png

除了上述的程序之外,该工具的目录下还包含有很多针对不同加密算法的payload。安全研究专家Maksym Zaitsev发现,该工具在其payload中还使用了ISAKMP协议(因特网安全协议与密钥管理协议)。

http://p9.qhimg.com/t014eb9bb6f4a0b0198.png

Maksym Zaitsev表示:“该工具会使用ISAKMP协议和AES、DES或者3DES等加密算法来加密其攻击payload。”

http://p2.qhimg.com/t01ec0804f07f6bfe63.png

 

四、总结


思科公司在前两天正式宣布修复了两个与此次事件相关的漏洞,其中还包括一个0 day漏洞在内。从这一点看来,“The Shadow Brokers”此次泄漏的数据真实度非常高。再加上越来越多的安全专家开始对泄漏文件进行分析,随着时间的推移,事件的脉络也会愈发变得清晰。安全客也会在第一时间给大家带来与此次“NSA被黑事件”相关的最新报道。