“影子经纪人”泄露文件情况分析
1、 基本背景介绍
自2016年以来,“The Shadow Brokers”组织共公布了2批工具(共84款工具),事件的发展则经历了第1阶段“Unix系统攻击工具泄露”、第2阶段“Windows系统攻击工具泄露”以及第3阶段“通过比特币网上售卖”等3个阶段
1. 第1阶段,发生在2016年8月15日,对外公开下载了两个压缩文件,主要提供了针对Unix类操作系统的恶意工具:• eqgrp-free-file.tar.xz.gpg
• eqgrp_auction_file.tar.xz.asc
第一个压缩包可以通过这个组织公布的密码(theequationgroup)顺利解开,而第二个需要花费 100 万枚比特币才能解(这可以理解为这个黑客组织的高级挑衅点,同时也可能意 味着这个压缩包里的文件具备超高价值)。
2. 第2阶段,发生在2017年4月14日,公布的攻击工具主要针对Windows操作系统,涉及多个系统服务(SMB、RDP、IIS等)的远程命令执行工具,内容包括odd.tar.xz.gpg、 swift.tar.xz.gpg和windows.tar.xz.gpg 3部分。其中Windwos部分包括Windows利用工具、植入式恶意软件和一些攻击代码;swift部分包括银行攻击涉及的工具;Oddjob部分包括Oddjob后门相关的文档。
3. 第3阶段,发生在2016年5月17日,就在Wannacry病毒刚刚全球爆发过后,“The Shadow Brokers”通过Twitter对外宣布从2017年6月开始,将定期通过ZeroNet定期出售NSA网络攻击工具。
2、 泄露工具介绍
1 Unix系列工具介绍
2 Windwos系列工具介绍
3 购买方法(直销)
由于“The Shadow Brokers”组织之前通过拍卖、众筹等模式收效甚微,2017年5月17日在Twitter上宣布在ZeroNet平台上进行直销。ZeroNet平台上在售的这份文件包含Shadow Brokers的PGP签名,也就证实了Shadow Brokers组织的确想要把这些工具出售给单独的买家们。该ZeroNet网站中有一份产品出售列表,这些商品经过分类,类型包含“exp” “trojan”、“implant”和“tool”,并且价格从1比特币到100比特币不等(约合780至78000美元),客户可以以1000比特币(约合78万美元)购买全套。
提供的购买方式如下:
如果你喜欢这些工具,把你想买的产品名字发邮件给TheShadowBrokers,TheShadowBrokers会在回信中给出比特币地址,你需要进行支付,随后TheShadowBrokers就会把链接和解密密码发送给你。
文/DustinW
声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。