方程式黑客工具再次流出 国内企业将受威胁！

上周五晚上，Shadow Brokers公布了第三批NSA(美国国家安全局)使用的网络入侵工具。泄露的资料中包括一整套完整的入侵和控制工具。泄露资料中包括FuzzBunch 攻击平台，DanderSpiritz 远控平台，和一个复杂的后门oddjob，同时还包括NSA 对swift进行攻击的一些资料信息。经分析这一次泄露出来的工具涉及的面更广，危害也更大。

回顾：

在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织，窃取了大量机密文件，并将部分文件公开到互联网上，方程式（Equation Group）据称是 NSA（美国国家安全局）下属的黑客组织，有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。

北京时间 2017 年 4 月 8 日，“Shadow Brokers” 公布了保留部分的解压缩密码，有人将其解压缩后的上传到Github网站提供下载。

北京时间 2017 年 4 月 14 日晚，继上一次公开解压密码后，“Shadow Brokers” ，在推特上放出了第二波保留的部分文件， 此次发现其中包括数个黑客工具。

此次方程式黑客工具的流出，疑似已波及到部分国内企业，瑞星安全工程师针对其中的部分工具FuzzBunch、DanderSpiritz进行了详尽的分析。同时，瑞星安全云、瑞星虚拟化系统安全软件、瑞星ESM（瑞星下一代网络版杀毒软件）及瑞星防毒墙等一系列企业级软硬件产品已均可有效拦截由该工具引起的黑客攻击，广大用户应及时做好防范措施，以免遭受严重损失。

FuzzBunch攻击平台主要是通过远程溢出攻击网络上存在漏洞的机器，攻击成功后植入指定后门。该平台类似于大名鼎鼎的Metasploit工具，但更先进的是它使用的exp几乎全是操作系统级的远程溢出0day，攻击目标几乎囊括了全系列的WINDOS系统。虽然微软与上月在MS17-010中放出了补丁，但对于那些没有及时打补丁和内网中的用户来说，这几乎就是一个灾难。

此次放出来的exp大部分是针对SMB协议的，SMBv1、SMBv2和SMBv3的都有，不难看出NSA非常钟情于SMB协议的漏洞。受影响的操作系统从Windows NT，Xp到2012全线覆盖。在部分python源码里面显示工具开发早与2012年，几乎所有的exp都是系统级的远程溢出，不需要什么钓鱼啊，访问网页啊，打开文档等用户交互操作，只要能访问到你机器，就可以攻击，而且是指哪打哪，细思恐极啊！可想而知，这些年来NSA通过这些漏洞在互联网上来去，几乎就是如入无人之境。此处放出来的文件分析发现还并不是所有的文件，不排除有更多的更先进的工具NSA正在使用。