تیکه های جالب ShadowBrokers

امروز اطلاعات جدیدی از NSA افشا شده که بنظر من برای ایران خیلی میتونه حساسیت زا باشه، البته این اطلاعات یک سال پیش از NSAبه سرقت رفته بوده ولی ظاهرا تریجح دادن چیزی نگن !!!  این اطلاعات افشا شده شامل ابزارهای های هک، داکیومنتی از تارگت ها هستند.

NSA در واقع سیستم بانکی سوویفت را هدف قرار داده بوده پاور پوینت های منتشر شده نشون دهنده سناریوهای حمله هست. پسورد سوویفت لینک بانک ملی، ملت، صادرات در این بین دیده میشن ولی خب من چیزی در مورد این اطلاعات نمیدونم پس بهش نمیپدازم فقط بگم که کلی اطلاعات از شرکت های هک شده هم افشا شده! (توجه کنید این بانک هایی که گفتم هک نشدن!) علاوه بر سناریو حمله ابزارهای حمله هم منتشر شده، البته یکی از این شرکت ها هک شدن رو تکذیب کرده حالا باید بگذره و متخصصین این حوزه صحت اطلاعات رو تایید یا رد کنند! گفتم که من چیز خاصی نمیدونم.

اولین چیزی که خیلی نظر من رو جلب کرد  ابزاری که توسط NSA توسعه داده شده تا با یک رابط کاربری زیبا بتونید از اکسپلویت های روز صفرم استفاده کنید. اگه با هک و امنیت آشنا هستید بهتره بهتون بگم معادل خفنی از متااسپولیت هستش. (ظاهرا هکر بودن در ان اس ای زیادم سخت نیست :)))

FUZZBUNCH
FUZZBUNCH

اکسپلویت ها :

  • Emeraldthread-3.0.0.exe — EMERALDTHREAD is a remote SMB exploit for XP and 2003, which drops an implant Stuxnet style.
  • Eskimoroll-1.1.1.exe — some kind of Kerberos exploit targeting domain controllers running Windows Server 2000, 2003, 2008 and 2008 R2. Maybe zero day.
  • Esteemaudit-2.1.0.exe — a remote RDP (Remote Desktop) exploit targeting Windows Server 2003 and XP, installs an implant. — exploits SmartCard authentication. Zero day. (تست شده و کار میکنه)
  • Eternalromance-1.3.0.exe– ETERNALROMANCE is an remote SMB1 exploit which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. I think it’s zero day, to be confirmed.
  • Eternalromance-1.4.0.exe — ETERNALROMANCE is an remote SMB1 exploit which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. I think it’s zero day, to be confirmed.
  • Explodingcan-2.0.2.exe — Microsoft IIS 6 exploit — Exploits WebDav. 2003 only. Very well done and robust exploit. (تست شده و کار میکنه)
  • Zippybeer-1.0.2.py — authenticated Microsoft Domain Controller exploit
  • Eternalblue-2.2.0.exe — SMBv1 exploit — remote unauthenticated exploit, works against 2008 R2. Zero day. (تست شده و کار میکنه)
  • Eternalchampion-2.0.0.exe — SMBv2 exploit — Zero day.  (تست شده و کار میکنه)

میبینید که تقریبا تمامی نسخه های ویندوز سرور رو تحت تاثیر قرار داده، اگه سرور ویندوزی دارید حتما SMB رو غیر فعال کنید چون اکثرا این اکسپلویت ها برای SMB  نوشته شدن در صورت فعال بودن این سرویس در ماشین ویندوزی شما پورت ۴۴۵ باز خواهد بود و مهاجم میتونه به شما با این اکسپلویت ها حمله کنه، پیدا کردن شما هم خیلی راحت خواهد بود احتمالا الان تمامی هکر ها در حال تست این ابزار ها هستند و رنج های ای پی رو برای باز بودن این پورت اسکن میکنند، پس شما هر کجا که هستید اگر از ویندوز استفاده میکنید در خطر هستید. این سرویس به صورت دیفالت واسه شما فعاله.

 

در ادامه واستون چندتا توییت از متخصصین امنیتی میزارم که خودم خیلی باهاشون حال کردم اینا رو فالو کنید فکر کنم آخر هفته رو چشم رو هم نزار از دوق :))

 

Here is a video showing ETERNALBLUE being used to compromise a Windows 2008 R2 SP1 x64 host in under 120 seconds with FUZZBUNCH #0day ;-) pic.twitter.com/I9aUF530fU

— Hacker Fantastic (@hackerfantastic) April 14, 2017

 

در آخر هم چندتا مطلب مدیوم هست که خوندشون خالی از لطف نیست اگه وقت کردید بخونیدش بهشتیه واسه خودش 😅

 

Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows
Summary of the latest ShadowBrokers release (+IOCs)
Shadow Brokers: The insider theory

این مطلب یک جورایی نوشته شد تا خاطره باشه :) چون من مطمینم مدیران سیستم های دولتی به این زوردی ها سرورهاشون رو آپدیت نمیکنند و همچنان آسیب پذیر خواهد بود! البته هنوز مایکروسافت هم برای این مشکلاتش پچ ارائه نداده باید دید که چقدر طول میکشه!

 

دانشجوی رشته مهندسی کامپیوتر گرایش نرم افزار هستم به جنبش نرم افزار های آزاد علاقه دارم، در حوزه طراحی وب و برنامه نویسی اندروید فعالیت دارم، به امنیت در دنیای غیر/دیجیتال علاقه مند هستم از ساختن چیز های گیکی لذت میبرم

2 دیدگاه در “تیکه های جالب ShadowBrokers

  1. به نظرم این ابزار های ان اس ای بیشتر برای جوجه موجه هاشونه. اکثرا تو لایه اپلیکیشن چیزای معمولی هستن. من یه جا خوندم که ان اس ای به طراح های میکرو کد های چیپ ها کلی پول میده که براشون اکسپلویت های لایه سخت افزار درست کنه. (نمیدونم که واقعیه یا نه)
    دقیقا عینه اینو برای پیاده سازی های cipher suite های معروف اس اس ال شنیدم.
    خیلی دور از ذهن نیست واقعی بودنشون
    یاد ویروس کظم غیظ افتادم. گرافیکش شبیه همین بود. :)))
    به حر حال که بعده اسنودن و این داستانا خیلی خودمو اذیت نمیکنم برای امنیت سرور و اینا :(
    خیلی پست خوبی بود کمتر بلاگ های فارسی به این چیزا میپردازن

    1. ممنون :) اره به نظر منم این واسه جوجه هاست، یکجورایی میخوان رده های بالا درگیر نفوذ نشن و به نوشتن اکسپلویت ها بپدازند! قطعا ما از ان اس ای اندازه یک قطره آب در مقابل دریا میدونیم :))

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *