8月23日讯 一周以前,“影子经纪人”(The Shadow Brokers)在网上泄露大量数据,声称数据从“方程式组织”(Equation Group)盗取得来。
“影子经纪人”表示,他们泄露了60%的被窃文件,并在网上拍卖,承诺竞价最高者将获取剩下40%的数据。
自初次泄露以来,卡巴斯基实验室的安全研究人员证实,被泄数据与过去看到“方程式组织”恶意软件“The Intercept”相似。借助斯诺登从未公开的文件,研究人员发现被泄恶意软件与NSA网络武器存在关联。
“影子经纪人”泄露的包含行动细节的大多数网址(GitHub、Tumblr和PastBin)已关闭,另一个包含所有被泄文件的PasteBin网址也不复存在。
本文提供了“影子经纪人”泄露的文件列表以及功能解释。
列表来源出自Risk Based Security、安全专家Mustafa Al-Bassam、Matt Suiche、RST论坛的分析,以及其它研究人员在Twitter和GitHub上分享的多种漏洞利用。
下表使用的是Al-Bassam的分类。工具指的是可以部署多个植入程序和漏洞利用的软件数据包;植入程序(implant)是安装在被劫持设备上的恶意软件;漏洞利用指的是允许攻击者劫持设备、提取数据或部署植入程序/工具的漏洞。
|
名称
|
类型
|
描述
|
|
1212/DEHEX
|
工具
|
将十六进制字符串转换为IP地址和端口的工具
|
|
BANANABALLOT
|
植入程序
|
BIOS 植入程序
|
|
BANANAGLEE
|
植入程序
|
重启不持续的防火墙植入程序。
在Cisco ASA和PIX上运行
|
|
BANANALIAR
|
工具
|
连接到(目前)未知的植入程序
|
|
BANNANADAIQUIRI
|
植入程序
|
未知,与SCREAMINGPILLOW有关
|
|
BARGLEE
|
植入程序
|
未证实的Juniper NetScreen 5.x防火墙植入程序
|
|
BARICE
|
工具
|
部署BARGLEE的壳(shell)
|
|
BARPUNCH
|
植入程序
|
BANANAGLEE与BARGLEE模块
|
|
BBALL
|
植入程序
|
BANANAGLEE模块
|
|
BBALLOT
|
植入程序
|
BANANAGLEE模块
|
|
BBANJO
|
植入程序
|
BANANAGLEE模块
|
|
BCANDY
|
植入程序
|
BANANAGLEE模块
|
|
BEECHPONY
|
植入程序
|
防火墙植入程序 (BANANAGLEE前身)
|
|
BENIGNCERTAIN
|
工具
|
从思科PIX防火强提取VPN密钥的工具
|
|
BFLEA
|
植入程序
|
BANANAGLEE模块
|
|
BILLOCEAN
|
工具
|
从飞塔Fortigate防火墙(可能有其它)提取序列号
|
|
BLATSTING
|
植入程序
|
部署EGREGIOUSBLUNDER 和ELIGIBLEBACHELOR防火墙植入程序
|
|
BMASSACRE
|
植入程序
|
BANANAGLEE和BARGLEE模块
|
|
BNSLOG
|
植入程序
|
BANANAGLEE和BARGLEE模块
|
|
BOOKISHMUTE
|
漏洞利用
|
未知防火墙的漏洞利用
|
|
BPATROL
|
植入程序
|
BANANAGLEE模块
|
|
BPICKER
|
植入程序
|
BANANAGLEE模块
|
|
BPIE
|
植入程序
|
BANANAGLEE和BARGLEE模块
|
|
BUSURPER
|
植入程序
|
BANANAGLEE模块
|
|
BUZZDIRECTION
|
植入程序
|
未证实的飞塔Fortigate防火墙植入程序
|
|
CLUCKLINE
|
植入程序
|
BANANAGLEE模块
|
|
CONTAINMENTGRID
|
漏洞利用
|
现成的有效载荷能通过漏洞利用传送。影响在TOS 3.3.005.066.1.运行的天融信防火墙
|
|
DURABLENAPKIN
|
工具
|
LAN连接上的数据包注入工具
|
|
EGREGIOUSBLUNDER
|
漏洞利用
|
飞塔 FortiGate防火墙的远端控制设备(RCE)。影响的型号: 60、 60M、 80C、 200A、300A、400A、500A、 620B、800、5000、1000A、 3600和3600A
|
|
ELIGIBLEBACHELOR
|
漏洞利用
|
在TOS操作系统版本3.2.100.010、 3.3.001.050、 3.3.002.021和 3.3.002.030上运行的天融信防火墙漏洞利用
|
|
ELIGIBLEBOMBSHELL
|
漏洞利用
|
天融信防火墙RCE,影响的版本:从3.2.100.010.1_pbc_17_iv_3 到 3.3.005.066.1
|
|
ELIGIBLECANDIDATE
|
漏洞利用
|
天融信防火墙RCE,影响的版本:从3.3.005.057.1到3.3.010.024.1
|
|
ELIGIBLECONTESTANT
|
漏洞利用
|
天融信防火墙RCE,影响的版本:从3.3.005.057.1 到 3.3.010.024.1。仅在ELIGIBLECANDIDATE之后运行
|
|
EPICBANANA
|
漏洞利用
|
思科ASA特权升级(版本 711、712、 721、722、 723、 724、 80432、804、805、 822、 823、
824、 825、 831, 832) 和思科PIX (版本711、 712、721、722、 723、724、804)
|
|
ESCALATEPLOWMAN
|
漏洞利用
|
沃奇卫士产品特权升级。该公司表示较新版本不存在该问题。
|
|
EXTRABACON
|
漏洞利用
|
思科ASA RCE, 版本:802、803、804、 805、821、 822、 823、 824、 825、831、 832、 841、 842、 843、 844 (CVE-2016-6366)
|
|
FALSEMOREL
|
漏洞利用
|
思科漏洞利用:如果设备开启Telnet服务,该漏洞提取“启用”密码
|
|
FEEDTROUGH
|
植入程序
|
Juniper NetScreen防火墙上的持续植入程序,部署BANANAGLEE和ZESTYLEAK
|
|
FLOCKFORWARD
|
漏洞利用
|
通过ELIGIBLEBOMBSHELL传送现成有效荷载。影响在TOS 3.3.005.066.1上运行的天融信防火墙
|
|
FOSHO
|
工具
|
在漏洞利用中制作HTTP请求的Python库
|
|
GOTHAMKNIGHT
|
漏洞利用
|
通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS
3.2.100.010.8_pbc_27上运行的天融信防火墙
|
|
HIDDENTEMPLE
|
漏洞利用
|
通过ELIGIBLEBOMBSHELL漏洞利用传送现成的有效荷载。影响在TOS 3.2.8840.1运行的天融信防火墙
|
|
JETPLOW
|
植入程序
|
用来在设备固件插入BANANAGLEE 的思科ASA 和 PIX 植入程序
|
|
JIFFYRAUL
|
植入程序
|
思科PIX的BANANAGLEE模块
|
|
NOPEN
|
工具
|
后渗透壳(post-exploitation shell)(攻击者使用的客户端、安装在目标设备上的服务器)
|
|
PANDAROCK
|
工具
|
连接至POLARPAWS的植入程序
|
|
POLARPAWS
|
植入程序
|
未知厂商的防火墙植入程序
|
|
POLARSNEEZE
|
植入程序
|
未知厂商的防火墙植入程序
|
|
SCREAMINGPLOW
|
植入程序
|
思科ASA和PIX 植入程序,用来在设备固件中插入BANANAGLEE
|
|
SECONDDATE
|
工具
|
WiFi和LAN网络上的数据包注入。与BANANAGLEE和BARGLEE一起使用
|
|
TEFLONDOOR
|
工具
|
自毁Post-Exploitation Shell
|
|
TURBOPANDA
|
工具
|
连接到先前被泄HALLUXWATER植入程序的工具
|
|
WOBBLYLLAMA
|
漏洞利用
|
通过ELIGIBLEBOMBSHELL漏洞利用传送现成有效载荷。影响在TOS 3.3.002.030.8_003上运行的天融信防护墙
|
|
XTRACTPLEASING
|
工具
|
将数据转换为PCAP文件
|
|
ZESTYLEAK
|
植入程序
|
Juniper NetScreen防火墙植入程序
|
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。
| 
注册
登录
