与销售开始完美同步的是,盗版组织 Shadow Brokers 刚刚在网上提出了一个最具吸引力的主张,至少对黑客来说是这样。这个神秘团伙试图出售NSA 黑客工具集几个月来 – 刚刚扩大了其目录,增加了专门针对 Windows 的整个部分。受洗“方程组 Windows Warez”,该品种的售价为 750 比特币,约合 640,300 欧元。但不要惊慌:这些工具也可以单独购买,价格从 10 到 650 比特币不等。
事实证明该软件包相当完整。有漏洞代码、远程访问工具(RAT)、后门、“模糊测试”工具(随机发现错误)等。整个系统以模块化方式围绕两个软件平台(称为 FuzzBunch 和 DanderSpritz)进行构建。这个姓氏并非完全未知,因为它已经出现在爱德华·斯诺登的文件。还提供了该软件平台的屏幕截图。图形界面相当简陋,并且依赖大量在线命令。但这并不奇怪,因为——我们不要忘记——这是一个“专业”工具。
在另一个屏幕截图中,我们看到黑客脚本的开始。有趣的是我们看到的潜在功能列表。有些是非常明显的,例如“PasswordDump”(窃取密码)、“GetAdmin”(升级访问权限)、“InjectDLL”(注入 DLL 代码)或“Shutdown”(关闭设备)。
其他术语则更加神秘,例如“Flav_control”、“AppCompat”或“Psp_avoidance”。然而,后者找到了一个合理的解释。据安全研究人员称雅各布·威廉姆斯,“PSP”是“Personal Security Product”的缩写,实际上指的是防病毒软件。因此,“Psp_avoidance”功能将成为一种工具,使 NSA 黑客能够躲在这些安全解决方案的雷达之下。在这里,我们再次看到该工具非常完整。对 Shadow Brokers 在线发布的几个文本文件进行搜索表明,该工具可以中和十几个软件:Avast、Avira、Comodo、DrWeb、卡巴斯基、McAfee、Microsoft、Nod32、Panda、Rising、Symantec 和 TrendMicro。
Windows 网络中的零日漏洞
在 FuzzBunch 方面,我们特别注意到存在与服务器消息块 (SMB) 协议相关的零日缺陷。这用于本地网络并允许共享文件或打印机等资源。因此,从先验的角度来看,这样的缺陷对于攻击企业基础设施可能特别有用。
简而言之,这个新品种——如果这是真的——对海盗来说是一个真正的金矿。然而,买家不太可能主动出面。没有人真的想惹恼国家安全局。无论如何,到目前为止,似乎没有人对影子经纪人以一种非常不寻常的方式出售的这种“商品”提出报价。这次行动的真正目的无疑在别处:嘲笑美国国家安全局特工,并向他们展示他们所掌握的要素。一些专家也看到了克里姆林宫的影子……
