NSA黑客工具被泄 网安江湖掀起一轮“淘金热”

E安全4月19日讯 近期，Shadow Brokers（影子经纪人）不断披露一些黑客相关的敏感资料，其中包括很多高含金量的黑客工具等等。随着国内外信息安全爱好者们陆续对这些敏感资料的不断深入的挖掘，一批从美国国安局（NSA）流出的想当有分量的黑客恶意软件工具库被众多信息安全爱好者关注，不管是安全研究人员还是犯罪分子中都积极加入“淘金”行列，以寻求可利用的资源。

网络犯罪分子利用NSA泄露的工具改造勒索软件

NSA已经将其中的“AES-NI”勒索软件升级为“NSA利用版”，该勒索软件开发者宣称其已可利用EsteemAudi与EternalBlue对设备进行感染、加密其中文件并发布赎金要求。

E安全小编提示，EsteemAudi与EternalBlue是"影子经纪人"上周披露的另外两款恶意工具。是SMB（Server Message Block，服务器消息块）与RDP（远程桌面协议）的漏洞利用工具，二者目前已经被公诸于众。

多份国外安全论坛的帖子显示，部分勒索软件受害者仍在运行未安装安全补丁或者已经不再受到技术支持的Windows服务器。目前还没有关于此款新型勒索软件的独立有效的证据（即不配合EsteemAudi与EternalBlue情况下的独立入侵能力），但该勒索软件的作者声称他们已经开始使用这款NSA版本。

推荐阅读：

NSA方程式又一波0day攻击泄露 覆盖全球70%的Windows服务器

CIA Vault 7第四波：蝗虫来袭，微软Windows寸草不生【附下载】

赛门铁克公司安全技术与响应团队负责人连姆·奥默舒表示，EsteemAudit与EternalBlue属于最易于获取的恶意工具，而其具体威胁水平则取决于实际使用方式。

陈旧设备易被攻击

奥默舒还没有对AES-NI恶意软件进行检查，但他表示Shadow Brokers提供的这两款工具的源代码早在4月8日就已经泄露，这意味着网络犯罪分子能够轻松获取并利用其攻击仍未安装相关漏洞补丁的各类陈旧设备。

该恶意软件作者在邮件采访中表示，其仅仅编写了特定Payload DLL并利用此漏洞将其注入至远程设备的对应进程当中。需要强调的是，NSA的专家们确实将其转化为一款非常强大且具备高度定制化特性的黑客工具，其中甚至使用了类似于Metasploit的自有框架。

Metasploit是一款渗透测试软件，允许攻击者轻松高效地利用一整套工具储备对目标实施打击。而这套框架的NSA版本于上周五披露，并被定名为Fuzzbunch。

奥默舒指出，一旦其中某款工具宣告失败，则操作者即会转向下一款工具。如此不断反复，直到他们找到能够切实起效的攻击方法。E安全小编提请注意，大家必须确保已经安装更新补丁、其余一切正常并锁定薄弱环节，因为攻击者的这一整套工具集将对受害者环境进行轮番扫描直到发现可利用的不当配置。这也让安全人员意识到防范攻击者发动入侵是一项多么艰巨的任务。

无论AES-NI是否会使用NSA提供的相关攻击漏洞，专家们认为此次曝光的大批量恶意工具都将在网络犯罪领域掀起新的定制化波澜。

上周末AES-NI受害者提供的勒索软件说明

赛门铁克团队在最近的“淘金”活动中大有收获

奥默舒领导下的赛门铁克团队在上周末一直加紧对此轮披露的数据进行分析。尽管此次泄露内容中不涉及任何0day漏洞，但奥默舒的团队仍然从中发现了不少操作说明与工具，研究人员将能够借此了解攻击者的行动方式。

奥默舒指出，“我们已经观察到与攻击活动开展相关的说明内容以及实现原理。其中提到了这些黑客曾经做过什么、使用了哪些安全漏洞、结果如何、驻留在目标设备上的时长、收集到了哪些信息以及具体网络布局。”

奥默舒的团队长久以来一直在追踪并分析NSA攻击者，包括对爱德华·斯诺登于2013年披露的各项恶意工具进行检查。而这些分析工作的主要意义，在于制定与之对应的安全策略及规程以增强“战略性”防御能力。

奥默舒表示，现在赛门铁克又掌握了NSA方面所使用的具体工具信息，并且发现了大量与构建恶意软件工具相关的资料。

例如如何运行服务器端工具与恶意软件通信工具及一份指导手册，这份手册对如何设置端点恶意软件并利用服务器端脚本与该恶意软件进行通信进行了说明。除此之外，还发现多种能够帮助攻击者成功入侵目标设备的工具，这些工具甚至能够帮助攻击者探索目标网络或者横向移动以窃取密码及其它有价值的信息。”

多位前任情报机构工作人员还在采访是表示，由"影子经纪人"于本月早些时候披露的Linux恶意工具中也存在着同样的信息。

尽管EsteemAudit与EternalBlue相对易于获取并能快速实现武器化应用，但此次披露所带来更为糟糕的结果，在于未来可能会出现大量采取类似注入机制的新型攻击活动。

就AES-NI恶意软件开发者本人而言，他已经开始利用这些新型勒索软件进行牟利。而通过网络上技术支持论坛中的反响来看，攻击已经开始陆续出现。截至目前，各项恶意工具的利用情况与由此带来的经济回报尚不明确。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱[email protected]

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站 , 查看更多精彩内容。