【IT观察】NSA黑客武器库是什么？

汇总作者：张宁祥
来源：
http://tech.china.com/article/20170421/2017042121995.html
http://www.techweb.com.cn/news/2017-04-20/2515190.shtml
http://www.freebuf.com/news/22073.html
【嵌牛导读】 比特币勒索病毒据说是来源于NSA黑客武器库中的一个漏洞，那么什么是NSA黑客武器库？
【嵌牛鼻子】 NSA黑客武器库
【嵌牛提问】我们应该做出那些防范措施？
【嵌牛正文】：
近日，有报道称美国国家安全局（NSA）旗下的“方程式黑客组织”使用的部分网络武器被公开，其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。
其中，有十款工具最容易影响Windows个人用户，包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子无需任何操作，只要联网就可以入侵电脑，就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。
SMB漏洞攻击工具
SMB是一个网络文件共享协议，它允许应用程序和终端用户从远端的文件服务器访问文件资源，用于在计算机之间共享文件、打印机、串口和邮槽等。
此次泄露的NSA武器库中，包含了EternalBlue（永恒之蓝）、EternalChampion（永恒王者）、EternalRomance（永恒浪漫）、EternalSynergy（永恒协作）、 EmeraldThread（翡翠纤维）、ErraticGopher（古怪地鼠）、EducatedScholar（文雅学者）等SMB漏洞攻击工具。
NSA武器攻击的SMB漏洞都已经被微软补丁修复，在支持期的系统打全补丁就可以了。但是像XP、2003这些微软已经不支持的系统，还是需要使用360的“NSA武器库免疫工具”把高危服务关掉，就可以避免被远程攻击了。
RDP 漏洞攻击工具
RDP远程桌面服务是远程显示协议。用户可以通过它映像远程操控会话指导其他用户使用软件和系统，也可以用来监视客户机运行情况。Windows用户只要开启3389远程登陆端口便可以通过RDP 远程桌面服务对实现这一功能。
此次泄露的NSA武器中，同样包含着RDP远程桌面服务漏洞攻击工具EsteemAudit(尊重审查）。
EsteemAudit是支持Windows XP和Windows 2003的RDP漏洞远程攻击工具。黑客们利用它可以实现对中招电脑的远程操控，包括监视中招电脑的使用行为。凡是开放了3389远程登陆端口的 Windows 机器，都有可能受到攻击。
由于EsteemAudit影响的系统已经失去微软的支持，没有补丁修复漏洞。Windows用户需要关闭3389远程桌面，如果是服务器系统一定要开启3389端口，至少也要关闭智能卡登录功能，并在防火墙上严格限制来源IP。个人用户可以使用“NSA武器库免疫工具”进行防御。
Kerberos（三头狗）域控漏洞利用工具
Kerberos 是Windows活动目录中使用的客户/服务器认证协议，为通信双方提供双向身份认证。Kerberos通过身份验证服务和票据授予服务对电脑数据进行管理，实现Windows用户同服务器的数据交换。

图：Kerberos安全认证原理
NSA武器库中的EskimoRoll（爱斯基摩卷） 就是Kerberos 的漏洞利用工具，它可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。Windows用户可以从微软官网下载补丁MS14-068修复该漏洞，也可使用360安全卫士等第三方软件扫描修复漏洞。

实际上，除了这十大武器，在2013年就已经曝光过一系列NSA的Toolbox（2008年），一些简介如下：
首先介绍的是deitybounce，它提供一个软件应用利用主板的BIOS和利用系统管理模块（System Management Mode）的漏洞驻留在Dell的PowerEdge服务器上。受影响的包括Dell的PowerEdge1850/2850/1950 /2950,BIOS版本为A02,A05,A06的1.1.0，1.2.0或1.3.7通过远程接入或者interdiction的方式，ARKSTREAM在目标机器上对BIOS重新刷新，以实现deitybounce和加载payload，这里所说的interdiction实现方式，可能是通过非技术手段的让目标插入U盘，从而受感染。一旦deitybounce部署完，它就可配置而且在目标机器启动的时候运行。

1.jpg

其他兵器还包括，针对思科PIX系列和ASA防火墙的JETPLOW

2.jpg

PICASSO修改GSM目标设备，收集用户数据、地理位置信息、房间内语音。而且只需要通过一台笔记本电脑发送普通的SMS短信就可以实现控制了。

3.jpg

不需要安装软件就收集键盘记录的SURLYSPAWN

4.jpg

COTTONMOUTH-I它是一个USB硬件设备，可以提供无线桥接进入目标网络，具备加载漏洞利用代码到目标主机的能力。

5.jpg

收集和压缩语音通讯数据的GSM模块CROSSBEAM

6.jpg

针对Thuraya 2520的TOTECHASER，针对GSMSIM卡的GOPHERSET，针对iPhone的DROPOUTJEEP，针对802.11无线设备的SOMBERKNAVE，RF传输的HOWLERMONKEY，针对PCI总线的GINSU，针对主板BIOS的SWAP，针对MBR的IRATEMONK，内嵌式微型计算机系统SPARROWII，雷达系统PHOTOANGLO，能够扫描的平板电脑NIGHTWATCH，802.11无线漏洞利用工具NIGHTSTAND，针对Windows mobile的TOTEGHOSTLY2.0，针对EGSM的CYCLONE Hx9，GSM基站路由器TYPHONHX，持续信号雷达单元CTX4000，针对DNT的STUCCOMONTANA，针对GSM/UMTS/CDMA2000/FRS的ENTOURAGE，定位目标手持设备的坐标位置的WATERWITCH，MAESTRO-II,JUNIORMINT,TAWDRYYARD

对于我们，大概只有依赖于网络提供商、学校信息化部门，以及360、金山等安全软件了。