谁是影子经纪人(The Shadow Brokers)?我一无所知。实际上,没有人真正了解。影子经纪人是这个网络时代最具争议性的角色之一。这个神秘的团体于2016年夏季中期出现,当时他们开始匿名地公开发布工具和操作说明,据称这些工具属于美国国家安全局(NSA)的TAO部门。这个团体自称为影子经纪人,很快成为自爱德华·斯诺登以来NSA的噩梦。
之前的告密者发布的文件通常会对敏感性质进行编辑,例如作者的身份。但是,影子经纪人的出现是一种不同层次的危险和更具侵略性的泄露,不仅释放了高度敏感的工具,还揭示了一系列作战方式,包括特工的姓名以及NSA对中东金融机构基础设施进行的复杂(许多人认为是不负责任的)攻击的全面披露。目前,影子经纪人很乐意让公众去猜测他们的身份和真实来源。它是一个运行着高度复杂的误导和渗透的情报组织吗?它是第二个拥有对NSA最敏感网络武器的访问权限的斯诺登吗?我们可能永远不会知道。但可以确定的是,影子经纪人的出现是一场游戏变革,并对NSA产生了极其尴尬(也是危险的)突破,这是世界上最先进的信号情报机构和最有资源的政府支持的黑客组织。
在这次演讲中,我将详细介绍影子经纪人进行的泄露,并分析这些泄露在短期和长期内的影响。我还将深入挖掘由最复杂的国家情报机构设计的一些最具侵入性的工具。此外,与影子经纪人之前和之后相比,与地缘政治利益相关的使用网络恐惧作为服务发生了什么变化,与会者将了解这一点。
以下为正文(由笔者编译,可能会存在一些错误)
在我们开始之前,让我先做个简短的自我介绍。我们的时间不多,所以我会讲得很快。我最近声名鹊起的原因,是被“影子经纪人”称为一个有趣的人。但更严肃地说,我主要从事逆向工程,并且从去年8月开始就开始追踪“影子经纪人”泄漏的大部分信息。如果你熟悉推特,你可能已经在上面关注我了。
谁是“影子经纪人”? 其实我不知道,没有人知道,但我们知道的是他们有一种有趣的幽默感,这是他们对我说“哦,看起来影子经纪人似乎很了解你这个团队”的回应。然后他们就开始玩文字游戏,说他们不是佛教徒,而是... 下个月,也就是第一次信息泄露一周年。从那时起,我们看到了围绕他们身份的各种各样的猜测。最初,人们认为某个服务器可能被黑客入侵,而且认为这些文件会很快被找回... 但这个理论因为像大坝一样的东西大部分不相关的事实而不成立,后来我们开始看到像幻灯片这样的操作指南。
这是一个团体,就像他们的名字所声称的那样,还是一个单独的个体?嗯,很难说,但如果你看看他们大部分博文,你会发现他们使用的昵称总是单个词,就像IRC昵称,而不是“我们是影子经纪人”。嗯,有一个理论,也许是像一个愤怒的内部人士,在他们删除所有推文之前,如果你一直在推特上关注他们,你可能已经看到他们经常对人表示愤怒。所以,就像蒂姆·肖罗克去年强调的那样,情报部门雇佣了4万多名承包商。这是一个相当大的数字。如果我们回顾过去几年的事件,美国政府显然面临着内部人员问题。现在听说内部人员问题变得越来越普遍。
最近,去年的真相获奖者艾尔·马丁(Al Martin),然后是在同一时间段被捕的NEM内部人士。所以这个问题显然很大。这就是为什么我个人认为,如果这些文件的来源是一个承包商,我一点也不会感到惊讶。去年,艾尔·马丁被捕之前,大家都说,之后不会再有新的内部泄密者。但自那以后,我们听说至少有3个新的泄密者。与维基解密或爱德华·斯诺登不同,“影子经纪人”的方式非常不同。他们最初是以一种疯狂的拍卖形式出现的,拍卖10亿或100万比特币,开始泄露一些文件。最初在GitHub上使用的电子邮件地址似乎很随机,实际上并不随机。你得讲得快点。他们在推特上很活跃,最近他们把博客搬到了Steemit。在这次演讲中,我只是想对过去12个月的事件做一个概述,包括他们今天早上发布的8月版本的新博文描述。这基本上就是我们要讨论的所有事件。去年8月,他们首先使用了很多防火墙漏洞,包括FortiGate、思科设备、Juniper,甚至中国的防火墙,这引起了很大的轰动,因为这是我们第一次看到除了幻灯片之外的情报机构使用的工具,比如我们在V7中看到的。他们主要发布了一些源代码文件、幻灯片文件,同样的,和爱德华·斯诺登一样,因为我们知道那些承包商没有直接访问这些工具。它们首先用两个文件出现,一个包含所有这些漏洞的种子文件,然后是一个更大的文件,其密码几个月后才最终被披露。在最初的种子文件中,这些是周围的漏洞。有趣的是... 这很有趣。关于它的一个有趣之处是,每个版本似乎都是一个故事的一部分。给人们足够的时间来实际分析术语,直到他们发布有关某些行动的信息。所以每当你阅读操作说明时,你实际上就知道方程式组使用的工具和技巧。所以第一个主要是防火墙。
几周后,我们听说FBI突袭了一名名叫哈罗德·马丁的承包商的家。我们过去在布兹·艾伦工作。我不知道我们是否应该说情报界有内部人员问题,还是布兹·艾伦有内部人员问题。从官方报告中可以看出,他拥有包含他在近20年里收集的工具、笔记和数据的数TB的数据,20年的时间。上帝知道发生了什么事。我们继续听到许多关于这个故事的怪异故事。然后,夏天过后,9月和10月,我们开始看到“影子经纪人”的越来越多的博文,他们基本上开始更多地挑逗人们。所以他们试图引起媒体的注意。他们就像,嘿,伙计们,我在这里。怎么没有人谈论它?好吧,我会把价格从10亿比特币降到1万,然后我会发布实际密码。然后发生了一些尴尬的博文,假装发布比尔·克林顿和林奇的对话。整个角色变得越来越令人困惑。然后在10月,他们开始发布一个存档,其中包含300多个域和300多个方程式组的实际目标的IP,包括从2000年到2010年的时间戳。其中有很多是Solaris漏洞,但到目前为止,他们没有发布与Solaris相关的任何工具。我们注意到许多潜在目标的名称,其中一些仍然不为人知,但从域名我们会看到大多数国家/地区,如中国、伊朗、欧洲,以及工具的名称,但同样的事情。大多数仍然不为人知。
然后在12月,他们以一种更加结构化的拍卖形式回来,基本上他们为潜在客户提供按单项购买的机会。所以价格范围从10到100比特币不等,这似乎更加合理,包括一个9月份签名的文件,这有点像他们策划了大部分发布。我们开始看到一些工具的名称,用于拍卖,所以12月份,大多数都是像Unix工具,但在1月份,这有点让人没注意到,他们发表了另一条消息,称为Windows Wires。所以你们大多数人可能会认识永恒之蓝(EternalBlue)、永恒浪漫(EternalRomance)、永恒协作(EternalSynergy)等漏洞的名字,因为这些漏洞。几个月后被泄露并被一些勒索软件重新使用,包括WannaCry和NotPetya。所以当时,我们所知道的只有他们声称拥有一些SMB远程代码执行漏洞。我们不了解更多。还有一种叫做FUZZBUNCH的工具。最后成为方程式组的类Metasploit。如果你想买所有的东西,他们会给你一个750比特币的特别折扣。几天后,他们就像,“哦... 刚离开这个行业。没人关心。”所以他们再次表达失望。每个人都很困惑,这些家伙怎么回事?然后他们沉默了一段时间。有趣的是,所以2月在2月份的星期二补丁之前,一位名叫洛朗·加菲耶的安全研究员在GitHub上泄露了一个SMB v3漏洞。他就像,“啊,只是... 我的意思是洛朗多年来一直在打破SMB,所以那只是另一个,但鉴于它影响到像最近版本的Windows,我们许多人都希望这是微软推迟2月星期二修补程序的实际原因,因为在2月什么都没有发生 关于星期二补丁直到3月,3月时,微软修补了这些Microsoft漏洞。但当时,我们不知道为什么。我们只是希望是因为罗尔正确吗?但在那段时间里,与这些以前的漏洞有关的漏洞也被修补了,利用SMB的永恒之蓝、永恒冠军?等永恒利用。因为一个月后,也就是罗伦发布该推文的SMB利用程序之后大约2个月,影子经纪人发布了8月初始档案的密码。4月是一个非常繁忙的月份。所以他们发布了密码,每个人都像,“哦,让我们看看它。”然后我们开始看到所有这些Solaris漏洞、反取证工具、远程代码执行邮件服务器、FTP服务器。一个框架也像,很多像反取证实用程序来擦除日志。所以,并且包括像Alto的用于Solaris的远程代码执行。因为到目前为止,大量关注已给予Windows漏洞,因为勒索软件。显然,如果你的背景变成红色,并说,“哦,像那样发送钱”,你会知道你已经被盯上了。但如果是Solaris漏洞,没有人会为它编写勒索软件,所以你可能不会有任何主意。有趣的是,一些操作说明的摘录也在此处被释放,主要是针对移动运营商。所以其中一个是Sigstar,名称在文件中披露,但也有一整个列表的...目标的代号,因为工具有代号,但目标也被披露了。11个,所以这意味着全球有11家移动运营商被方程式组瞄准。随之而来的是一些Linux和X系统的本地特权升级。这是4月初。然后另一个随机的博客文章发表了人们抱怨他们定期使用的博拉特式英语的博文每次发布博文时。他们声称使用零碎的英语的原因不是因为他们是俄罗斯人,就像人们说的那样,而是因为他们是美国政府的实际承包商,所以他们将其作为OPSEC的一部分使用。天知道,像,我们还是不知道,但当时这是一个有趣的评论。一周后,1月份的无线Windows问题档案被披露,然后人们开始疯狂。这就像4月的其余时间一场恐慌。大家都像,“哇,像,这些工具实际上与Windows远程配合使用。Windows 7会受到影响。Windows XP也会受到影响。”所以Twitter上的许多社区都在分析这些工具,这主要是安全社区就这些工具和FUZZBUNCH(类Metasploit)以及一个名为PassFreely的工具所作的共同努力,该工具也被泄露以绕过Oracle服务器的身份验证。还发布了一个第三个档案来构建植入物。它包含一个名为Oddjob的工具。然后释出了另一个名为Swift的档案。所以这一个非常有趣,因为实际的Swift档案非常大,并且包含一些工具,但主要是关于中东Swift银行的操作笔记,而且非常详细。它包含了大部分作案手法、工具名称等,从那时起,影子经纪人的叙事就发生了改变,在这些文件的中,你会看到详细计划的PowerPoint,但在这许多文件中,这些文件的元数据信息仍然存在,所以很多分析师的名字也在当时泄露出来,这相当有问题,也很难相信他们是世界上最强大的情报机构。
如果文件泄漏,他们不做任何OPSEC,只是在注册Microsoft Office时使用真名。我的意思是,我不知道。但这是一个相当重要的事件。它还包括一个SQL脚本,可以从实际的Oracle数据库转储Swift消息。基本上包含了Equation Group用于瞄准Swift银行的所有不同工具,但也详细说明了操作计划,比如实际网络的地图,就好像他们可能比该公司的实际员工更了解网络。所以我之前提到的PaasFreely,是一个植入物,使用double-pulsar后门远程注入的。所以你们大多数人可能都熟悉或不熟悉double-pulsar,因为WannaCry也在利用它,你可以直接从内核模块执行一些DLL注入。它支持300多种Oracle变体,并会在内存中修补身份验证例程。以下是用于从Oracle数据库转储消息的SQL文件的摘录。所以它基本上是一个SQL脚本,所以非常标准。但它提供了很多关于Swift银行如何工作的见解。在此之前,我并不知道Swift银行使用或运行的是什么。所以...你可以预料到犯罪分子也从中学到了很多。然后一个月后发生了WannaCry,人们就像,“哇,这里发生了什么?”公司在日本、美国、欧洲、巴西的各地都受到了攻击。它传播得非常快。一些医院关闭了。英国国民保健服务是最先被击中的公司之一。一些杀毒软件开关被注册。然后在几个小时内,我们发现该恶意软件实际传播的方式是通过SMB,所以它会扫描本地网络和外部网络,这就是为什么它传播得这么快的原因。这是我们的一个杀毒开关的数据。到目前为止,我们已经阻止了100多万次感染,所以它仍然很活跃,正如你现在看到的那样。在此之后,鉴于WannaCry媒体关注度,影子经纪人又回来了,声称他们将以新的公式回归,说他们将每月发布一次东西,作为每月的服务,我将其称为网络恐怖即服务。他们承诺提供更多关于路由器、Windows 10的信息,更多关于中央银行、Swift供应商的个人信息,但也泄露了伊朗、中国、俄罗斯的受损网络数据。所以人们开始像,“哇,这是真的吗?还是他们只是在虚张声势?”所以6月,影子经纪人“每月的葡萄酒”博客帖子系列的第一版开始了。他们开始于...100Z缓存,然后几天后,他们很奇怪地用Monero花了500美元回来了。他们没有对任何公布做出任何保证。他们自己都这么说。可能有趣,也可能不。然后6月,几周后,NotPetya发生了。研究发现,它主要针对乌克兰。所以最初的媒体就像是一个流氓更新,但是一旦实际的恶意软件被投放,与WannaCry不同,它只在扫描本地网络。同样,大量关注,它也带来了对影子经纪人的关注,因为他们是这些文件的最初来源。然后他们提高了拍卖价。然后一个月前,他们回应了一些推特上的批评者。然后我们第一次听说有一个客户是实际客户之一,他说他不满意。他只收到了一个文件。但关键是,所以那个用户,F Your Mom,基本上声称他只收到了一个文件。他用Monero支付了。但问题是,要从Tutanota在外部域上接收文件,你需要在此之前交换一个密钥。关于这一点没有披露任何指示。所以这看起来真的很奇怪,因为作为一个客户,如果你希望通过一个Tutanota电子邮件地址从影子经纪人那里接收文件,如果你不在同一域上,那么你将不得不提供密码给影子经纪人,或者他们将不得不给你一个密码,但迄今为止没有实际发表任何证据。所以,今天,像6个小时前,今天早上,他们也用另一篇博文回来了,他们基本上为8月发布制定了新规则。所以他们遵循这样的模式:价格不断翻倍。它还强调了他们是否还有更多文件实际上没有任何保证的这个事实,因为到目前为止,我们只有一个电子邮件,一个人收到了一个文件,但他没有发布它,所以我们仍然不知道这是否属实,这是否是为了保持他们的可信度。所以他们提到这一点,说有人发表了它的截图,但没有人谈论六月。如果你今天早上甚至阅读评论,每个人都像,“哦,非常有趣,不错的帖子”,但他们没有说太多,所以它几乎看起来像他们使用机器人在上面发帖。所以,只是想总结一下,当涉及到网络武器时,目前的最坏安排并没有起什么作用。当你遇到像影子经纪人这样的人,他们只是来侮辱每个人并删除操作说明时的工具。谁应该负责?这仍然是一个很大的问题。我个人认为这是供应商、公司和情报机构之间的共同责任。他们还没有公开发表任何声明。但是对于供应商来说,微软在修补和安全缓解措施方面做出了极为迅速的反应。现在,他们开始披露更多关于Windows上的rest和free的安全缓解措施,这非常酷。这些实际漏洞也在一个月前被修补了。这非常不错。但是像我们在WannaCry和NotPetya中看到的那样,许多受害公司的主要受害者通常是小企业。这显示了当前攻击的复杂性。并且看到来自某些不可靠情报机构雇员的威胁日益增加令人担忧。
全文完!
参考资料:
往期精选
围观
热文
热文
原文始发于微信公众号(天御攻防实验室):谁是影子经纪人(The Shadow Brokers)?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论