“影子经纪人”泄露文件情况分析

“影子经纪人”泄露文件情况分析

1、 基本背景介绍

自2016年以来，“The Shadow Brokers”组织共公布了2批工具（共84款工具），事件的发展则经历了第1阶段“Unix系统攻击工具泄露”、第2阶段“Windows系统攻击工具泄露”以及第3阶段“通过比特币网上售卖”等3个阶段

1. 第1阶段，发生在2016年8月15日，对外公开下载了两个压缩文件，主要提供了针对Unix类操作系统的恶意工具：• eqgrp-free-file.tar.xz.gpg

• eqgrp_auction_file.tar.xz.asc

第一个压缩包可以通过这个组织公布的密码(theequationgroup)顺利解开,而第二个需要花费 100 万枚比特币才能解（这可以理解为这个黑客组织的高级挑衅点,同时也可能意 味着这个压缩包里的文件具备超高价值）。

2. 第2阶段，发生在2017年4月14日，公布的攻击工具主要针对Windows操作系统，涉及多个系统服务（SMB、RDP、IIS等）的远程命令执行工具，内容包括odd.tar.xz.gpg、 swift.tar.xz.gpg和windows.tar.xz.gpg 3部分。其中Windwos部分包括Windows利用工具、植入式恶意软件和一些攻击代码；swift部分包括银行攻击涉及的工具；Oddjob部分包括Oddjob后门相关的文档。

3. 第3阶段，发生在2016年5月17日，就在Wannacry病毒刚刚全球爆发过后，“The Shadow Brokers”通过Twitter对外宣布从2017年6月开始，将定期通过ZeroNet定期出售NSA网络攻击工具。

2、 泄露工具介绍

1 Unix系列工具介绍

2 Windwos系列工具介绍

3 购买方法（直销）

由于“The Shadow Brokers”组织之前通过拍卖、众筹等模式收效甚微，2017年5月17日在Twitter上宣布在ZeroNet平台上进行直销。ZeroNet平台上在售的这份文件包含Shadow Brokers的PGP签名，也就证实了Shadow Brokers组织的确想要把这些工具出售给单独的买家们。该ZeroNet网站中有一份产品出售列表，这些商品经过分类，类型包含“exp” “trojan”、“implant”和“tool”，并且价格从1比特币到100比特币不等（约合780至78000美元），客户可以以1000比特币（约合78万美元）购买全套。

提供的购买方式如下：

如果你喜欢这些工具，把你想买的产品名字发邮件给TheShadowBrokers，TheShadowBrokers会在回信中给出比特币地址，你需要进行支付，随后TheShadowBrokers就会把链接和解密密码发送给你。

文/DustinW

声明：本文来自网信防务，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。