NSA神级机密文件再泄露，i春秋首发在线实验环境！

昨天一早大家朋友圈就开始被Shadow Brokers再次泄露美国NSA方程式组织一大波0day和机密文档的消息刷屏，国内外安全圈哗声一片。 为什么说再次呢，因为早在去年8月份的时候黑客组织 Shadow Brokers就声称攻破了给NSA开发网络武器的美国黑客团队方程式组织（Equation Group），并公开拍卖据称是美国政府使用的黑客工具。为了证明自己，Shadow Brokers还贴出了部分文件在网上，然后要求以100万比特币（现价约超过5亿美元）的价格进行拍卖，拍卖事件由于信息的扑朔迷离未能成功，但当时对几家全球路由器制造商确实造成了影响。 上周六Shadow Brokers又一次泄露了大量美国NSA的文件，其中深度披露了方程式组织的黑客攻击方法。当时在 Medium 上的一篇长博文中，Shadow Brokers 分享了一个可以打开所有加密文件夹的密码，披露理由是不满“政府军对平民使用了化学武器”，疑似指代美国政府早些时候对叙利亚空军基地发动的导弹袭击。根据 Twitter 上的爆料，这批漏洞主要针对 Linux，似乎包含了 EQGRP 这套 Linux 工具。 时至本周五（2017年4月14日），Shadow Brokers终于忍不住，放出了之前剩下的部分文件，文件一出如同核武器被泄露，在整个安全圈都炸开了锅，文件包含23个神级黑客工具，多个Windows 远程漏洞利用工具。 受影响的Windows 版本：Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0 基本全球70%的Windows 服务器可能都暴露在危险之中。其中的SWIFT文件包里还揭露了NSA 黑客曾入侵中东多国 SWIFT 银行系统的PPT和Excel文件。表明了NSA已经入侵并获得了世界各地许多银行的访问权，其中大多数位于中东，如阿联酋，科威特，卡塔尔，巴勒斯坦，也门。

i春秋SRC部落入驻品牌微软安全应急响应中心MSRC已经在当天发出公告：MSRC表示会对披露的漏洞进行了彻底调查，并且表明就本次遭到披露的漏洞而言，大多数都已经被修复。（公告翻译内容由i春秋SRC部落独家提供，详情请查看副标题）

以下是经过MSRC确认，已在更新中被解决的漏洞列表，建议大家及时更新电脑到最新版本。 （这些可爱的漏洞名都是i春秋SRC部落小伙伴独创哟） 剩下的三个漏洞——“ EnglishmanDentist英国牙医 ”，“ EsteemAudit 尊严审计”和“ ExplodingCan 爆炸罐头”，在Windows 7、Windows近期版本、Exchange 2010以及Exchange较新版本中没有得到复现，所以使用上述版本的用户不存在安全风险。但MSRC仍然建议用户在使用这些产品先前版本的用户升级到更新版本。 目前泄露文件已经公开 原文件下载地址： 解密密码： Reeeeeeeeeeeeeee 感兴趣的技术人员可以下载研究，相关安全专家也给出了一些想法和解决方案。 除了拨网线，想不到别的办法。想想，这只人家泄露的一小部分呢。隐藏的大杀器不敢想像。

——锦行科技CTO Jannock

所有 Windows 服务器、个人电脑，包括 XP/2003/Win7/Win8，Win 10 最好也不要漏过，全部使用防火墙过滤/关闭 137、139、445端口；对于 3389 远程登录，如果不想关闭的话，至少要关闭智能卡登录功能。剩下的就是请稳定好情绪，坐等微软出补丁。

——长亭科技.Monster

关于 The Shadow Brokers 刚放出来的那个工具包，微软发布公告指出其中所用的漏洞都已被修复。也就是说，如果你用 Windows 7、Windows 10 并且及时打补丁，就不用担心。 另一方面，我也注意到，其中一些 2017 年 3 月修复的漏洞，攻击工具的编译时间是 2011 年。也就是说 CIA 在手里至少捏了 6 年。

——腾讯玄武实验室.TK

这次暴露的NSA武器库漏洞体现了交叉覆盖的威力了，款款精品总有一款满足你。03年我设计完成的“潜入者”渗透测试系统比这还覆盖得多，当时连续好多年基本上是现实中的window通杀，现实中用这套系统成功控制了很多安装有防火墙的APT攻击者自身工作电脑。端口涉及到135、139、445、80、42、1433、1025-1030等，漏洞有upnp、msg、webdav、asp、ras、wins、dns等等。关键一点，我已经意识到对0day武器库的管理很重要。这套系统，真正的是一个活的漏洞武器库。 这次泄露，有可能是某个或者某些使用者个人机器或者肉鸡的工作目录被端，导致0day泄漏。其实“潜入者”就是针对NSA这种需求做的一套APT系统。03年的设计，理念到现在还是那么先进。

——腾讯湛泸实验室.yuange

而面对这种指哪儿打哪儿的神级漏洞，大家也不要太过紧张，i春秋实验部已经在第一时间进行了相关漏洞的复现工作，将被暴露出的工具包，搭建到虚拟环境中，并通过部分工具进行教授，来进行漏洞复现，并告知修复方案。 实验覆盖内容 1、MetaSploit的“兄弟”漏洞利用平台：FUZZBUNCH ； 2、无法被杀毒软件检测的 Rootkit 利用工具：ODDJOB ； 3、IIS 6.0 远程漏洞利用工具：EXPLODINGCAN ； 4、SMB 漏洞利用程序：ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 受影响范围：已开放 445 端口的Windows； 5、RDP 服务的远程漏洞利用工具：ESTEEMAUDIT 受影响范围：已开放3389 端口的 Windows 机器 6、Kerberos 的漏洞利用实验：ESKIMOROLL 受影响范围： Windows 2000/2003/2008/2008 R2 的域控制器； 7、SMB1 的重量级利用：ETERNALROMANCE 受影响范围：已开放 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限 。 当神级漏洞和工具爆出的一刻，只有快速了解和掌握它，才能更好的防止它带来的安全威胁，而方程式被泄露的这些文件，更是具有核武器一般的威力。 如此难得的一个黑客组织文件泄露，大家一定不希望错过这个历史时刻。想在第一时间一窥究竟，快来跟随i春秋实验室小哥的脚步，一键开启身临其境的实验复现吧！前往i春秋学院官网首页体验在线实验环境吧~