Shadow Brokers ปล่อย key สำหรับถอดรหัสเครื่องมือโจมตีของ NSA!!! พบช่องโหว่ที่ตอนนี้ยังไม่ได้ patch เยอะมาก
Shadow Brokers คือกลุ่ม Hacker ที่อ้างว่าจะขายเครื่องมือ Hack ของทาง NSA (National Security Agency) ที่ขโมยมาได้ ล่าสุดได้มีการปล่อยชุดเครื่องมือดังกล่าวให้ download กันฟรีๆและจากการวิเคราะห์พบว่าเป็นเครื่องมือการโจมตีช่องโหว่ที่ Microsoft ยังไม่ได้ patch อยู่จำนวนมากด้วย
Shadow Brokers ได้ปล่อยชุดเครื่องมือที่เป็นของ “Equation Group” ซึ่งเป็นกลุ่ม Cyber Security ที่มีส่วนเกี่ยวพันกับ NSA โดยไฟล์ที่ปล่อยมาจะเป็นรูปแบบ zip file สามารถถอดรหัสออกมาโดยใช้รหัสผ่านว่า “Reeeeeeeeeeeeeee”
โดยภายใน zip ดังกล่าวประกอบไปด้วยเครื่องมือ hack อยู่ 23 รูปแบบ โดยภายใน zip นั้นมีชื่อของเอกสารและช่องโหว่อยู่มากมาย ไม่ว่าจะเป็น OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar และอื่นๆ ซึ่งจะแบ่งลักษณะของไฟล์เป็น 3 folder คือ
1. Windows เป็น folder ที่เก็บเครื่องมือ hack ต่างๆไว้
2. SWIFT เป็น folder เก็บ presentation, หลักฐาน, credential และข้อมูลภายในองค์กรของ Eastnet ซึ่งเป็นสำนักงานให้บริการ SWIFT(Society for Worldwide Interbank Telecommunication) ที่ใหญ่ที่สุดในตะวันออกกลาง
3. Oddjob เป็น folder ที่เก็บ backdoor ต่างๆของ windows ซึ่งสามารถทำงานได้ตั้งแต่ Windows 2003 ลงมา
ซึ่งจากข่าวที่หลุดออกมานี้ทำให้ Eastnet ต้องรีบออกมาแก้ต่างโดยกล่าวว่า
|
1 2 |
"Report ของทางกลุ่ม Hacker ที่อ้างว่าได้แฮ็คเข้าไปในระบบของ Eastnet นั้นไม่เป็นความจริงและไม่มีข้อมูลใดๆที่เป็นเหตุเป็นผลเลย ทางหน่วยงานภายใน Security ของ Eastnet Network ได้ตรวจสอบเป็นอย่างดีแล้วไม่มีหลักฐานของการถูกแฮ็คแต่อย่างใด" "Eastnet Service Bureau ได้ทำงานใน network ที่ปลอดภัย และ network ดังกล่าวไม่มีทางที่จะเข้าถึงได้จากภายนอก, ภาพที่อยู่บน twitter ซึ่งอ้างว่าเป็นข้อมูลที่ถูกขโมยมา เป็นข้อมูลที่เก่ามากแล้วและล้าสมัย เป็นข้อมูลของ server ที่ไม่ได้สำคัญอะไร(low level internal server)และเก่าที่ถูกยุบและเลิกให้บริการตั้งแต่ปี 2013" |
ช่องโหว่ Microsoft ที่ยังไม่ได้ patch
จากการที่เครื่องมือของ NSA หลุดออกมาก็ได้มีการนำเครื่องมือทั้ง 23 เครื่องมือไปทดสอบ ผลปรากฎว่าสามารถใช้งานได้จริง โดยมีทั้ง exploit ที่สามารถทำงานได้บน Windows XP, Windows 2003, Windows Server 2008 R2 และ Windows Server 2012 R2
(มี interface การทำงานคล้ายๆกับ Metasploit ที่ชื่อว่า FuzzBunch อีกด้วย)
ซึ่งในกรณีของ Windows Server 2008 R2 นั้น ถือว่าอันตรายมาก เพราะแม้ว่าจะเป็นเครื่องที่ได้รับการ upgrade เป็น version ล่าสุดแล้วก็ยังตกเป็นเหยื่อของการโจมตีได้เช่นกัน
พบ 0day ใน RDP หากว่าเครื่องนั้น Enable Smartcard Authentication อีกด้วย (จากการตรวจสอบ ใน Windows 7 โดย default จะไม่ได้มีการ enable)
อีกทั้งยังพบอีกว่าช่องโหว่ RCE ใน IIS6 บน Windows 2003 เป็นหนึ่งในเครื่องมือที่หลุดออกมาอีกด้วย บ่งบอกว่า NSA น่าจะทราบถึงช่องโหว่นี้มานานพอสมควรแล้ว
ไม่เพียงเท่านี้ยังมีการโจมตีที่เป็น application อื่นนอกเหนือจากของ Microsoft เองอีกด้วย เช่น MDaemon email Server , Lotus Domino เป็นต้น
แล้วสิ่งที่องค์กรต่างๆสามารถทำได้คือ
ณ ตอนนี้ยังไม่มีการตอบอะไรมาจากทาง Microsoft ว่าจะ patch ช่องโหว่เหล่านี้ทันการออก patch เดือนพฤษภาคมหรือไม่ อีกทั้งยังมีระบบเก่าๆอย่าง Windows Server 2003 และ Windows XP อีกจำนวนมากที่ตกเป็นช่องโหว่แต่ทาง Microsoft เลิกการ support ไปแล้วอีกด้วย ทั้งนี้สิ่งที่ผู้ดูแลระบบต่างๆสามารถทำได้คือการพยายามลดการเข้าถึงจากภายนอกไปยัง service ต่างๆที่ไม่จำเป็น เช่น SMB,NBT (445), Remote Desktop (3389) เป็นต้น เพื่อลดความเสี่ยงที่จะถูกโจมตีจากภายนอกองค์กร อีกทั้งยังจำเป็นต้องมีระบบการตรวจสอบการบุกรุกและพฤติกรรมที่ผิดปกติภายใน เพื่อตรวจสอบการโจมตีหรือการพยายามดึงข้อมูลที่อาจเกิดขึ้นภายในองค์กรไปแล้วโดยที่เราไม่รู้ตัวอีกด้วย
Update จากทาง Microsoft พบว่ามีช่องโหว่หลายๆช่องโหว่ถูก patch จาก MS ไปแล้ว โดยมีดังนี้
Exploit list
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
Easybee-1.0.1.exe — exploit for MDaemon private email server SHA256:59c17d6cb564edd32c770cd56b5026e4797cf9169ff549735021053268b31611 Easypi-3.1.0.exe — Lotus cc:Mail exploit SHA256:dc1ddad7e8801b5e37748ec40531a105ba359654ffe8bdb069bd29fb0b5afd94 Eclipsedwing-1.5.2.exe — SMB exploit for 2000, 2003 and XP, patched by MS08–67. SHA256:48251fb89c510fb3efa14c4b5b546fbde918ed8bb25f041a801e3874bd4f60f8 Educatedscholar-1.0.0.exe — SMB exploit, patched by MS09–050. SHA256:4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2e5ef347e1410f1105c38d Emeraldthread-3.0.0.exe — EMERALDTHREAD is a remote SMB exploit for XP and 2003, which drops an implant Stuxnet style. SHA256:7fe425cd040608132d4f4ab2671e04b340a102a20c97ffdcf1b75be43a9369b5 Emphasismine-3.4.0.exe — IMAP exploit for IBM Lotus Domino SHA256:dcaf91bd4af7cc7d1fb24b5292be4e99c7adf4147892f6b3b909d1d84dd4e45b Englishmansdentist-1.2.0.exe — appears to use OWA and SMTP, maybe remote rule trigger on client — needs more investigation SHA256:2a6ab28885ad7d5d64ac4c4fb8c619eca3b7fb3be883fc67c90f3ea9251f34c6 Erraticgopher-1.0.1.exe — SMB exploit, targets XP and 2003 SHA256:3d11fe89ffa14f267391bc539e6808d600e465955ddb854201a1f31a9ded4052 Eskimoroll-1.1.1.exe — some kind of Kerberos exploit targeting domain controllers running Windows Server 2000, 2003, 2008 and 2008 R2. Maybe zero day. SHA256:0989bfe351342a7a1150b676b5fd5cbdbc201b66abcb23137b1c4de77a8f61a6 Esteemaudit-2.1.0.exe — a remote RDP (Remote Desktop) exploit targeting Windows Server 2003 and XP, installs an implant. Tested, works — exploits SmartCard authentication. Zero day. SHA256:61f98b12c52739647326e219a1cf99b5440ca56db3b6177ea9db4e3b853c6ea6 Eternalromance-1.3.0.exe- ETERNALROMANCE is an remote SMB1 exploit which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. I think it’s zero day, to be confirmed. SHA256:f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d Eternalromance-1.4.0.exe — ETERNALROMANCE is an remote SMB1 exploit which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. I think it’s zero day, to be confirmed. SHA256:b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b Eternalsynergy-1.0.1.exe — this is a remote code execution against SMB 3, may be zero day. SHA256:92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34 Ewokfrenzy-2.0.0.exe — Lotus Domino 6 & 7 exploit SHA256:348eb0a6592fcf9da816f4f7fc134bcae1b61c880d7574f4e19398c4ea467f26 Explodingcan-2.0.2.exe — Microsoft IIS 6 exploit — tested, works. Exploits WebDav. 2003 only. Very well done and robust exploit. SHA256:97af543cf1fb59d21ba5ec6cb2f88c8c79c835f19c8f659057d2f58c321a0ad4 Zippybeer-1.0.2.py — authenticated Microsoft Domain Controller exploit SHA256:110969f7a6e7149da7bec1a21140008bbb46ed3338bcbe32e01a233af24badad Eternalblue-2.2.0.exe — SMBv1 exploit — tested, works — remote unauthenticated exploit, works against 2008 R2. Zero day. SHA256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5 Eternalchampion-2.0.0.exe — SMBv2 exploit — tested, works. Zero day. SHA256:ce734596c2b760aa4b3f340227dd9ec48204a96cf0464ad1a97ae648b0a40789 |
Source::
- https://twitter.com/hackerfantastic
- https://twitter.com/Viss
- https://twitter.com/GossiTheDog
- https://medium.com/@networksecurity/latest-shadow-brokers-dump-owning-swift-alliance-access-cisco-and-windows-7b7782270e70
- https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
- https://twitter.com/etlow/status/853439288926777344
- https://twitter.com/etlow/status/854164441973370881
- https://github.com/Yara-Rules/rules/blob/master/malware/APT_eqgrp_apr17.yar
- http://doc.emergingthreats.net/bin/view/Main/RuleChanges
- http://www.ericconrad.com/2017/04/shadowbrokers-pcaps-etc.html
- https://docs.google.com/spreadsheets/d/1JxoRcXrgTqfbw18JigRSl6hX3VYON_moPjnm8AolqLc/edit#gid=0
LINE@Techsuii.com
