压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

研究員:影子經紀人泄密的NSA工具來自內鬼

責編:mhshi |2016-12-21 15:03:18

根據專家最近對曝光的NSA間諜工具的研究,NSA工具泄漏的原因有可能來自內部,Shadow Brokers可能沒有攻擊NSA。

研究基礎是知名黑客組織“Shadow Brokers”曝光的NSA數據,Flashpoint 的中等信心的評估報告認為:黑客組織有可能是從NSA的一個惡劣的內部人員中得到了數據。Flashpoint 公司并不能確定這些文件是如何流出來的,但是似乎是來源于一個內部系統或代碼倉庫,并沒有直接通過一個遠程外部訪問,或任何外部的測試服務器。

目前正在賣的數據文件時間在2005年到2013年之間,主要圍繞LINUX和基于Unix開發的計算機網絡利用工具。

Shadow Brokers試圖用技術手段阻礙安全研究人員分析數據,他們修改了數據和時間戳。Flashpoint 的中等信心的評估報告認為:這些NSA數據有可能是在2013年被偷的,但是還不清楚為什么這些利用工具直到2016年才開始賣。

對現有的數據進行技術分析后,讓人引起了對Shadow Brokers真實動機的質疑。如果Shadow Brokers試圖去賺錢,這些利用工具在2013年七月后不久就應該開始賣,那時這些利用工具會非常有價值。

Shadow Brokers”黑客組織已經被大家熟知,目前它們正在公開出售NSA的間諜利用工具,可能無意中透漏出了他們在這次黑客事件中所扮演的角色、以及他們給安全分析人員指出的錯誤方向。多條透漏出的信息,將這次黑客事件指向了能訪問到代碼倉庫的內部人員身上,而不是由于NSA網絡操作員的操作安全性差。

在2016年12月14日,一個別名是“Boceffus Cleetus”的作者,發表了一篇標題為“是Shadow Brokers在ZeroNet上賣NSA的工具嗎?”的文章。Boceffus Cleetus是一個別名,在2016年12月以前是不存在的,在這篇文章中,Boceffus Cleetus聲稱會有更多NSA工具被出售,全部的工具需要1000比特幣,大約800000美元。大多數工具單獨出售時需要10到100比特幣,Boceffus Cleetus同時推斷,這個事件有可能和CIA、NSA兩個機構之間的矛盾有關。Flashpoint 公司并不同意這樣的說法,但是,這些工具似乎來源于能直接訪問代碼庫源代碼的人員。

在NSA數據的auction_file 文件夾中,Shadow Brokers提供了一個截屏圖片,用來證明數據的真實性。但同時也透漏出數據的時間被修改過。根據數據的圖標,這個截屏是在LINUX系統中,攻擊者為了保護的目的,將數據存放在虛擬機中,在下圖中,攻擊者似乎修改了時間戳,用“touch -d”命令就可以完成。

http://p5.qhimg.com/t015f4cebbc9ef60a51.png

圖 1:Shadow Brokers 提供的截屏顯示他們使用了一個基于LINUX的操作系統

為了證明數據的真實性,Shadow Brokers提供了額外的文件列表,幾個TXT文件被列了出來,包含文件列表和文件大小。

http://p9.qhimg.com/t0160675c764cc443f2.png

圖 2:存在多個.common文件

上圖中包含幾個.COMMON文件。分析人員認為這是如何使用這些工具的操作指南,提供給那些買工具人。

http://p8.qhimg.com/t01e2bda68f356a6b90.png

圖 3:user.tool.cursehappy.COMMON文件似乎是一個介紹文檔

Flashpoint 分析的這些文件顯示出,這些數據可能是在2013年中期被偷的。

http://p4.qhimg.com/t016d4a29facd205221.png

圖 4:ELATEDMONKEY似乎是一個舊系統的漏洞利用工具

上圖中,ELATEDMONKEY 是cPanel的本地提權漏洞,圖中的最高版本是11.24.4,根據cPanel網站的信息,這個版本是在2008年12月16日發布的。

http://p5.qhimg.com/t0175788e91bce38506.png

圖 5:user.tool.englandbogy.COMMON

user.tool.englandbogy.COMMON文件似乎是針對Xorg服務,文檔中提及到了一個2006版本的Mandrake系統。

該文件的進一步分析顯示,存在給用戶的很多建議,如清除日志和會留下記錄的行為。在圖3、4、5中,每個文件都用了固定語言,叫做Markdown ,這個標記語言通常用在代碼倉庫中,允許用固定的格式。臨時代碼倉庫中的數據頁面中,存在一些被處理過的標記信息。

http://p5.qhimg.com/t0176bbcacd50de682a.png

圖 6:被代碼倉庫解釋的標記信息

文件中的一些變量沒有被解析,表明它們可能會被其他工具使用。在圖7中,“mx”似乎會被當作安裝變量解釋和使用。

http://p2.qhimg.com/t0183ac1a16ab1baf94.png

圖 7:mx的幾個安裝變量

在圖3、4、5中,每個文件都有固定的格式,似乎會被單獨的應用解釋,如圖7所述。每個.common文件都以一個“#”開始,標志著這些黑客工具有一個標準的規定。在一些文件中,文件開頭會添加一個日期,可追溯到2011年。圖8中,這個文件和其它文件相比,似乎進行了不同的修改。

http://p9.qhimg.com/t019302940d3be8e1ef.png

圖 8:文件最上面有日期

在圖9中,有一個文件的日期和其它文件不一樣,這可能說明這是最后一次訪問這些數據的時間。

http://p9.qhimg.com/t0139c8da897104387c.png

圖 9:時間不一樣

在這些數據中,大部分發布的數據與基于LINUX的工具、技術和程序有關,并基于廣泛使用的markdown標記語言。Shadow Brokers 更像是從一個惡劣的內部人員那獲得的數據,文檔似乎是復制于一個內部系統,或代碼倉庫,不是直接通過外部遠程訪問到、或發現在任何外部測試服務器。

內部人士獲取敏感信息可能造成廣泛損害,正如斯諾登愛德華在2013六月證明的一樣,而事件的時間表表明,這與斯諾登沒有直接關系。隨之而來的一個問題是,在2013年,如果存在多個內部人員有問題,那么對現有的數據進行技術分析讓人引起了對Shadow Brokers真實動機的質疑。如果Shadow Brokers試圖去賺錢,這些利用工具在2013年七月后不久就應該開始賣,那時這些利用工具會非常有價值。

來源:安全客

上一篇:烏克蘭再次發生大規模停電事件

下一篇:賽可達成為微軟MVI計劃指定測試認證實驗室