LUK
18-04-2017, 10:16
El 8 de enero Shadow Brokers puso a subasta una lista de exploits que robó a Equation Group ("aka NSA").
El pasado Viernes Santo/14 de abril, y más de tres meses después, el enigmático Grupo ha liberado más exploits, algunos como Fuzzbunch y DanderSpritz que ya anunciaron (https://foro.hackhispano.com/threads/45172-The-Shadow-Group-libera-el-resto-del-arsenal-robado-a-la-NSA), otros 0-days para explotar Microsoft Windows, y también para otras vulnerabilidades en Lotus Domino y SWIFT.
El volcado contiene tres directorios llamados Windows, Swift y OddJob. La carpeta de Windows contiene varias herramientas para explotar Windows, OddJob contiene un implant que puede ser instalado en sistemas operativos Windows (aunque los detalles son escasos en este momento) y el directorio SWIFT contiene secuencias de comandos SQL que buscan datos específicos de SWIFT dentro de bases de datos, y archivos de texto y Excel como el de la imagen que demuestran que Equation Group había hackeado y obtenido acceso a varios bancos en todo el mundo.
Microsoft ya ha movido ficha (¿avisados por quién?) emitiendo un comunicado (https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/) en el que afirma que todas las vulnerabilidades han sido previamente parcheadas, lo cuál no quita que haya material suficiente para alimentar cualquier arsenal con estos exploits y herramientas para comprometer las desactualizadas máquinas de las siempre incautas víctimas:
- Repositorio en Github con el leak: https://github.com/misterch0c/shadowbroker/
EXPLOITS
Easybee-1.0.1.exe — exploit para MDaemon private email server
SHA256:59c17d6cb564edd32c770cd56b5026e4797cf9169ff 549735021053268b31611
Easypi-3.1.0.exe — exploit para Lotus cc:Mail
SHA256:dc1ddad7e8801b5e37748ec40531a105ba359654ffe 8bdb069bd29fb0b5afd94
Eclipsedwing-1.5.2.exe — exploit SMB para 2000, 2003 y XP, parcheado en MS08–67.
SHA256:48251fb89c510fb3efa14c4b5b546fbde918ed8bb25 f041a801e3874bd4f60f8
Educatedscholar-1.0.0.exe — exploit SMB, parcheado en MS09–050.
SHA256:4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2 e5ef347e1410f1105c38d
Emeraldthread-3.0.0.exe — EMERALDTHREAD es un SMB exploit para XP y 2003, que dropea un implant al estilo de Stuxnet. Parcheado en MS10–061.
SHA256:7fe425cd040608132d4f4ab2671e04b340a102a20c9 7ffdcf1b75be43a9369b5
Emphasismine-3.4.0.exe — exploit IMAP para IBM Lotus Domino
SHA256:dcaf91bd4af7cc7d1fb24b5292be4e99c7adf414789 2f6b3b909d1d84dd4e45b
Englishmansdentist-1.2.0.exe — parece usar OWA y SMTP, podría ser un trigger remoto para reglas sobre clientes que necesitan productos no soportados por M$.
SHA256:2a6ab28885ad7d5d64ac4c4fb8c619eca3b7fb3be88 3fc67c90f3ea9251f34c6
Erraticgopher-1.0.1.exe — exploit SMB, probado en XP y 2003. Zero day, no será parcheado.
SHA256:3d11fe89ffa14f267391bc539e6808d600e465955dd b854201a1f31a9ded4052
Eskimoroll-1.1.1.exe — es una clase de exploit para Kerberos contra controladores de dominio corriendo Windows Server 2000, 2003, 2008 y 2008 R2. Parcheado en MS14–068.
SHA256:0989bfe351342a7a1150b676b5fd5cbdbc201b66abc b23137b1c4de77a8f61a6
Esteemaudit-2.1.0.exe — un exploit remoto para RDP (Remote Desktop) contra Windows Server 2003 y XP, instala un implant. Probado, funciona con autenticación por SmartCard. Zero day, no será parcheado.
SHA256:61f98b12c52739647326e219a1cf99b5440ca56db3b 6177ea9db4e3b853c6ea6
Eternalromance-1.3.0.exe - ETERNALROMANCE es un exploit remoto para SMB1 con objetivo XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. Probado, funciona. Parcheado en MS17–010.
SHA256:f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9 cd6d56cb70b6878eaca5d
Eternalromance-1.4.0.exe — ETERNALROMANCE es un exploit remoto para SMB1 con objetivo XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. Probado, funciona. Parcheado en MS17–010
SHA256:b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9c cb8477c7fb7119376f57b
Eternalsynergy-1.0.1.exe — RCE contra SMB, parcheado en MS17–010.
SHA256:92c6a9e648bfd98bbceea3813ce96c6861487826d6b 2c3d462debae73ed25b34
Ewokfrenzy-2.0.0.exe — Exploit para Lotus Domino 6 & 7
SHA256:348eb0a6592fcf9da816f4f7fc134bcae1b61c880d7 574f4e19398c4ea467f26
Explodingcan-2.0.2.exe — exploit para Microsoft IIS 6. Funciona. Explota WebDav. En 2003 sólo. Muy bien hecho y robusto. No será parcheado.
SHA256:97af543cf1fb59d21ba5ec6cb2f88c8c79c835f19c8 f659057d2f58c321a0ad4
Zippybeer-1.0.2.py — exploit contra un controlador de dominio Microsoft. Autenticado.
SHA256:110969f7a6e7149da7bec1a21140008bbb46ed3338b cbe32e01a233af24badad
Eternalblue-2.2.0.exe — Exploit SMBv1 probado y funcionando. Remoto y sin necesidad de autenticación, funciona contra 2008 R2. Parcheado en MS17–010.
SHA256:85b936960fbe5100c170b777e1647ce9f0f01e3ab97 42dfc23f37cb0825b30b5
Eternalchampion-2.0.0.exe — Exploit SMB. Funcional. Corregido en CVE-2017–0147.
SHA256:ce734596c2b760aa4b3f340227dd9ec48204a96cf04 64ad1a97ae648b0a40789
IMPLANTS
Darkpulsar-1.1.0.exe
SHA256:b439ed18262aec387984184e86bfdb31ca501172b1c 066398f8c56d128ba855a
Mofconfig-1.0.0.exe
SHA256:c67a24fe2380331a101d27d6e69b82d968ccbae54a8 9a2629b6c135436d7bdb2
PluginHelper.py — cross platform implant helper (Linux, Windows, Solaris)
SHA256: f3fe9c4ad27c11ffcfc4e362e9a1689c416b0c8f054eaa6849 ee5cc7fecc284e
Módulos de los implants GangsterThief y GrDo
GangsterThief_Lp.dll
4720fca15bb09a3d5cac0f62f453cc5195a067679c95fdc4ab d4d709d713cde3
GangsterThief_Implant.dll
b6707786a10aad02edb051e9de3a77d7aa91ff01baf58087be 4f454fab54834c
GeZu_KernelMemory_Target.dll
6b1c02b9ce1d380e505f1b3bd3d52a27c39482e31d68207b5c e4dd619525d9aa
GeZu_KernelMemory_Target.dll
0235c0845596cf3038a6304111df6a19d9ce20d3db303e98c4 5a9e5f0a5b9862
GeZu_KernelMemory_Target.dll
1a8ca79951490ac2c7a5f7e4a35a92b8eb4afa64894bee5db1 3816e6071ff282
GrDo_ProcessScanner_Implant.dll
197bc44aa7a7f4ea80de11a9dff39fab0e7d9dd0ff09e0ff6d 97a6be42a33446
GangsterThief_Implant.dll
1ed588fa567c7e768a8014aa5ccd9ee5e2ad3df11be0a778da a1666bc5b1130e
GrDo_FileScanner_Implant.dll
e8212d51936e4c8f56658fd404ef3a708abf2dfaab96fdd880 e073f5557cb81e
GrDo_ProcessScanner_Implant.dll
4459e04f9453b71afb19e707f2b637d0c48f59e1ece4e4d414 e6024fae5e5fc0
GrDo_FileScanner_Implant.dll
c7609ab1484ad01717b9138c7f29b523d426280588db7f1f30 1d5fa8abdda01e
GrDo_FileScanner_Lp.dll
ca1529a014bc8f549b651832bc8b2987e0464eccf203ca0d5f f9364a96595a55
GrDo_FileScanner_LpData.dll
423ae2e13c6a9d2735a27b4a999fc63a24534bf36d704ca9c4 74b8d907ae94b6
GrDo_ProcessScanner_Lp.dll
178f6470a8a934b7e24874dbc6079977491792359ae520703f 3098154f48d8d0
GrDo_ProcessScanner_LpData.dll
d03938d6597e580366b64c8189ef61ed5a4c28fb8f0e0e28ae 0454f120f42f02
Referencias:
- Lost in Translation - shadowbrokers (artículo original donde se publica el dump) (https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation)
- Lista de objetivos de la NSA con implants instalados (IPs incluidas) (https://gist.github.com/anonymous/e798bf6f19c85905bff2631c8e63f0ef)
- Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks (https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/)
- Hackers Warn of ‘Microsoft Apocalypse’ After Latest NSA Leaks (http://fortune.com/2017/04/14/microsoft-shadow-brokers/)
- The Shadow Brokers Vulnerability Equities Process: NSA Has Had at Least 96 Days to Warn Microsoft about These Files (https://www.emptywheel.net/2017/04/14/the-shadow-brokers-vulnerability-equities-process-nsa-has-had-at-least-96-days-to-warn-microsoft-about-these-files/)
- Microsoft says exploits leaked by Shadow Brokers were addressed by prior patches (https://techcrunch.com/2017/04/15/microsoft-says-exploits-leaked-by-shadow-brokers-were-addressed-by-prior-patches/)
- Mysterious Microsoft patch killed 0days released by NSA-leaking Shadow Brokers (https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/)
- Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows (https://medium.com/@networksecurity/latest-shadow-brokers-dump-owning-swift-alliance-access-cisco-and-windows-7b7782270e70)
- ShadowBrokers: The NSA compromised the SWIFT Network (https://medium.com/@msuiche/the-nsa-compromised-swift-network-50ec3000b195)
- The Latest Dump of Alleged NSA Tools Is ‘The Worst Thing Since Snowden’ (https://motherboard.vice.com/en_us/article/the-latest-shadow-brokers-dump-of-alleged-nsa-tools-is-awful-news-for-the-internet)
- Video demo Eternalblue FuzzBunch Windows Zero-Day (https://youtu.be/b6UPrLbUEqE)
El pasado Viernes Santo/14 de abril, y más de tres meses después, el enigmático Grupo ha liberado más exploits, algunos como Fuzzbunch y DanderSpritz que ya anunciaron (https://foro.hackhispano.com/threads/45172-The-Shadow-Group-libera-el-resto-del-arsenal-robado-a-la-NSA), otros 0-days para explotar Microsoft Windows, y también para otras vulnerabilidades en Lotus Domino y SWIFT.
El volcado contiene tres directorios llamados Windows, Swift y OddJob. La carpeta de Windows contiene varias herramientas para explotar Windows, OddJob contiene un implant que puede ser instalado en sistemas operativos Windows (aunque los detalles son escasos en este momento) y el directorio SWIFT contiene secuencias de comandos SQL que buscan datos específicos de SWIFT dentro de bases de datos, y archivos de texto y Excel como el de la imagen que demuestran que Equation Group había hackeado y obtenido acceso a varios bancos en todo el mundo.
Microsoft ya ha movido ficha (¿avisados por quién?) emitiendo un comunicado (https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/) en el que afirma que todas las vulnerabilidades han sido previamente parcheadas, lo cuál no quita que haya material suficiente para alimentar cualquier arsenal con estos exploits y herramientas para comprometer las desactualizadas máquinas de las siempre incautas víctimas:
- Repositorio en Github con el leak: https://github.com/misterch0c/shadowbroker/
EXPLOITS
Easybee-1.0.1.exe — exploit para MDaemon private email server
SHA256:59c17d6cb564edd32c770cd56b5026e4797cf9169ff 549735021053268b31611
Easypi-3.1.0.exe — exploit para Lotus cc:Mail
SHA256:dc1ddad7e8801b5e37748ec40531a105ba359654ffe 8bdb069bd29fb0b5afd94
Eclipsedwing-1.5.2.exe — exploit SMB para 2000, 2003 y XP, parcheado en MS08–67.
SHA256:48251fb89c510fb3efa14c4b5b546fbde918ed8bb25 f041a801e3874bd4f60f8
Educatedscholar-1.0.0.exe — exploit SMB, parcheado en MS09–050.
SHA256:4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2 e5ef347e1410f1105c38d
Emeraldthread-3.0.0.exe — EMERALDTHREAD es un SMB exploit para XP y 2003, que dropea un implant al estilo de Stuxnet. Parcheado en MS10–061.
SHA256:7fe425cd040608132d4f4ab2671e04b340a102a20c9 7ffdcf1b75be43a9369b5
Emphasismine-3.4.0.exe — exploit IMAP para IBM Lotus Domino
SHA256:dcaf91bd4af7cc7d1fb24b5292be4e99c7adf414789 2f6b3b909d1d84dd4e45b
Englishmansdentist-1.2.0.exe — parece usar OWA y SMTP, podría ser un trigger remoto para reglas sobre clientes que necesitan productos no soportados por M$.
SHA256:2a6ab28885ad7d5d64ac4c4fb8c619eca3b7fb3be88 3fc67c90f3ea9251f34c6
Erraticgopher-1.0.1.exe — exploit SMB, probado en XP y 2003. Zero day, no será parcheado.
SHA256:3d11fe89ffa14f267391bc539e6808d600e465955dd b854201a1f31a9ded4052
Eskimoroll-1.1.1.exe — es una clase de exploit para Kerberos contra controladores de dominio corriendo Windows Server 2000, 2003, 2008 y 2008 R2. Parcheado en MS14–068.
SHA256:0989bfe351342a7a1150b676b5fd5cbdbc201b66abc b23137b1c4de77a8f61a6
Esteemaudit-2.1.0.exe — un exploit remoto para RDP (Remote Desktop) contra Windows Server 2003 y XP, instala un implant. Probado, funciona con autenticación por SmartCard. Zero day, no será parcheado.
SHA256:61f98b12c52739647326e219a1cf99b5440ca56db3b 6177ea9db4e3b853c6ea6
Eternalromance-1.3.0.exe - ETERNALROMANCE es un exploit remoto para SMB1 con objetivo XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. Probado, funciona. Parcheado en MS17–010.
SHA256:f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9 cd6d56cb70b6878eaca5d
Eternalromance-1.4.0.exe — ETERNALROMANCE es un exploit remoto para SMB1 con objetivo XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. Probado, funciona. Parcheado en MS17–010
SHA256:b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9c cb8477c7fb7119376f57b
Eternalsynergy-1.0.1.exe — RCE contra SMB, parcheado en MS17–010.
SHA256:92c6a9e648bfd98bbceea3813ce96c6861487826d6b 2c3d462debae73ed25b34
Ewokfrenzy-2.0.0.exe — Exploit para Lotus Domino 6 & 7
SHA256:348eb0a6592fcf9da816f4f7fc134bcae1b61c880d7 574f4e19398c4ea467f26
Explodingcan-2.0.2.exe — exploit para Microsoft IIS 6. Funciona. Explota WebDav. En 2003 sólo. Muy bien hecho y robusto. No será parcheado.
SHA256:97af543cf1fb59d21ba5ec6cb2f88c8c79c835f19c8 f659057d2f58c321a0ad4
Zippybeer-1.0.2.py — exploit contra un controlador de dominio Microsoft. Autenticado.
SHA256:110969f7a6e7149da7bec1a21140008bbb46ed3338b cbe32e01a233af24badad
Eternalblue-2.2.0.exe — Exploit SMBv1 probado y funcionando. Remoto y sin necesidad de autenticación, funciona contra 2008 R2. Parcheado en MS17–010.
SHA256:85b936960fbe5100c170b777e1647ce9f0f01e3ab97 42dfc23f37cb0825b30b5
Eternalchampion-2.0.0.exe — Exploit SMB. Funcional. Corregido en CVE-2017–0147.
SHA256:ce734596c2b760aa4b3f340227dd9ec48204a96cf04 64ad1a97ae648b0a40789
IMPLANTS
Darkpulsar-1.1.0.exe
SHA256:b439ed18262aec387984184e86bfdb31ca501172b1c 066398f8c56d128ba855a
Mofconfig-1.0.0.exe
SHA256:c67a24fe2380331a101d27d6e69b82d968ccbae54a8 9a2629b6c135436d7bdb2
PluginHelper.py — cross platform implant helper (Linux, Windows, Solaris)
SHA256: f3fe9c4ad27c11ffcfc4e362e9a1689c416b0c8f054eaa6849 ee5cc7fecc284e
Módulos de los implants GangsterThief y GrDo
GangsterThief_Lp.dll
4720fca15bb09a3d5cac0f62f453cc5195a067679c95fdc4ab d4d709d713cde3
GangsterThief_Implant.dll
b6707786a10aad02edb051e9de3a77d7aa91ff01baf58087be 4f454fab54834c
GeZu_KernelMemory_Target.dll
6b1c02b9ce1d380e505f1b3bd3d52a27c39482e31d68207b5c e4dd619525d9aa
GeZu_KernelMemory_Target.dll
0235c0845596cf3038a6304111df6a19d9ce20d3db303e98c4 5a9e5f0a5b9862
GeZu_KernelMemory_Target.dll
1a8ca79951490ac2c7a5f7e4a35a92b8eb4afa64894bee5db1 3816e6071ff282
GrDo_ProcessScanner_Implant.dll
197bc44aa7a7f4ea80de11a9dff39fab0e7d9dd0ff09e0ff6d 97a6be42a33446
GangsterThief_Implant.dll
1ed588fa567c7e768a8014aa5ccd9ee5e2ad3df11be0a778da a1666bc5b1130e
GrDo_FileScanner_Implant.dll
e8212d51936e4c8f56658fd404ef3a708abf2dfaab96fdd880 e073f5557cb81e
GrDo_ProcessScanner_Implant.dll
4459e04f9453b71afb19e707f2b637d0c48f59e1ece4e4d414 e6024fae5e5fc0
GrDo_FileScanner_Implant.dll
c7609ab1484ad01717b9138c7f29b523d426280588db7f1f30 1d5fa8abdda01e
GrDo_FileScanner_Lp.dll
ca1529a014bc8f549b651832bc8b2987e0464eccf203ca0d5f f9364a96595a55
GrDo_FileScanner_LpData.dll
423ae2e13c6a9d2735a27b4a999fc63a24534bf36d704ca9c4 74b8d907ae94b6
GrDo_ProcessScanner_Lp.dll
178f6470a8a934b7e24874dbc6079977491792359ae520703f 3098154f48d8d0
GrDo_ProcessScanner_LpData.dll
d03938d6597e580366b64c8189ef61ed5a4c28fb8f0e0e28ae 0454f120f42f02
Referencias:
- Lost in Translation - shadowbrokers (artículo original donde se publica el dump) (https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation)
- Lista de objetivos de la NSA con implants instalados (IPs incluidas) (https://gist.github.com/anonymous/e798bf6f19c85905bff2631c8e63f0ef)
- Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks (https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/)
- Hackers Warn of ‘Microsoft Apocalypse’ After Latest NSA Leaks (http://fortune.com/2017/04/14/microsoft-shadow-brokers/)
- The Shadow Brokers Vulnerability Equities Process: NSA Has Had at Least 96 Days to Warn Microsoft about These Files (https://www.emptywheel.net/2017/04/14/the-shadow-brokers-vulnerability-equities-process-nsa-has-had-at-least-96-days-to-warn-microsoft-about-these-files/)
- Microsoft says exploits leaked by Shadow Brokers were addressed by prior patches (https://techcrunch.com/2017/04/15/microsoft-says-exploits-leaked-by-shadow-brokers-were-addressed-by-prior-patches/)
- Mysterious Microsoft patch killed 0days released by NSA-leaking Shadow Brokers (https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/)
- Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows (https://medium.com/@networksecurity/latest-shadow-brokers-dump-owning-swift-alliance-access-cisco-and-windows-7b7782270e70)
- ShadowBrokers: The NSA compromised the SWIFT Network (https://medium.com/@msuiche/the-nsa-compromised-swift-network-50ec3000b195)
- The Latest Dump of Alleged NSA Tools Is ‘The Worst Thing Since Snowden’ (https://motherboard.vice.com/en_us/article/the-latest-shadow-brokers-dump-of-alleged-nsa-tools-is-awful-news-for-the-internet)
- Video demo Eternalblue FuzzBunch Windows Zero-Day (https://youtu.be/b6UPrLbUEqE)