18 歲了!分析 Shadow Brokers 駭客集團外流的長青惡意程式Tildeb

2017 年 4 月 14 日,The Shadow Brokers (TSB) 駭客集團公開了一批名為「Lost in Translation」的駭客工具和資料。這批公開的資料當中包含了多個關於 Server Message Block (SMB) 和 Remote Desktop Protocol (RDP) 兩個通訊協定以及一些協同作業與網站伺服器軟體的零時差遠端程式碼執行漏洞。此外還有 EternalBlue、EternalChampion、EternalSynergy、EsteemAudit、EchoWrecker、ExplodingCan、EpicHero、EWorkFrenzy 等漏洞攻擊套件。

此外,這批資料還包含一些駭客在成功入侵之後可植入系統的惡意程式和工具,以便能夠:持續掌控被感染的系統、避開安全驗證、從事各種惡意活動,並與遠端伺服器建立幕後操縱 (C&C) 通訊等等。在這類植入系統的惡意程式當中,最值得注意的有五個:DoublePulsar、PeddleCheap、ExpandingPulley、KillSuit (KiSu) 和 DanderSpritz,它們各自擁有不同的能力、功能和用途。

除此之外,還有一個非常特別的惡意程式,那就是 ExpandingPulley (EP) 主要資料夾「\windows\Resources\Ep\」底下一個名為「clocksvc.exe」的獨立執行檔。這個惡意程式從未獲得公開關注,只曾經在一份 CYSINFO 的報告當中被提到它會連上某個 IP 位址。我們將這個惡意程式命名為 Tildeb (趨勢科技正式命名:Trojan.Win32.TILDEB.A),因為它會在系統上產生一個名為「~debl00l.tmp」的特殊暫存檔。 繼續閱讀

號稱可入侵各種系統的駭客工具被公開 ,企業該注意什麼?

一個名叫「Shadow Brokers」的駭客團體在網路上公開了許多針對 Microsoft Windows 系統和伺服器的駭客工具和漏洞。其中有些工具據稱是專門針對全球金融機構。此駭客團體去年原本將這批偷來的惡意程式拿到網路上販賣,可能是銷售狀況不如預期,因此後來便開始逐批公開到網路上。

Shadow Brokers 最近一批公開的惡意程式可讓駭客入侵各種系統 (包括 Linux)、網路及防火牆。

哪些平台和系統受到影響?

根據趨勢科技初步分析,目前已知這批惡意程式當中包含了 35 個資料竊取木馬程式,同時也包含針對多種系統和伺服器的漏洞攻擊,還有一個可用來攻擊網路漏洞的套件叫做 Fuzzbunch (類似 Metasploit 滲透測試工具套件所扮演的角色)。

以下是這批工具攻擊的一些漏洞:

  • CVE-2008-4250 (代號「EclipsedWing」,Microsoft 在 2008 年 10 月的 MS08-67 安全性公告當中已經修補)。
  • CVE-2009-2526、CVE-2009-2532 和 CVE-2009-3103 (代號「EducatedScholar」,Microsoft 在 2009 年 10 月的 MS09–050 安全性公告當中已經修補)。
  • CVE-2010-2729 (代號「EmeraldThread」,Microsoft 在 2010 年 9 月的 MS10-061 安全性公告當中已經修補)。
  • CVE-2014-6324 (代號「EskimoRoll」,Microsoft 在 2014 年 11 月的 MS14-068 安全性公告當中已經修補)。
  • CVE-2017-7269 (一個 Microsoft Internet Information Services 6.0 的漏洞)。
  • CVE-2017-0146 和 CVE-2017-0147 (代號「EternalChampion」,Microsoft 在 2017 年 3 月的 MS17-010 安全性公告當中已經修補)。

繼續閱讀