The Shadow Brokers: de tijdlijn (update)
Het hackerscollectief The Shadow Brokers (TSB) heeft in april een van hun heftigste lekken uitgebracht door een groot aantal hackingtools van de Amerikaanse inlichtingendienst NSA online openbaar te maken.
Hiermee zijn onder andere een aantal kwetsbaarheden in Windows blootgelegd. Dit maakt het mogelijk om Windows-systemen op verschillende manieren aan te vallen en te infecteren met ransomware of andere malware, zoals DoublePulsar en WannaCry.
In de onderstaande tijdlijn houden we je op de hoogte van alle ontwikkelingen rondom de lekken van The Shadow Brokers. Bekijk direct de tijdlijn.
Let op: Sinds onze originele post op 25 april is er veel gebeurd. TransIP heeft sindsdien voor al haar kwetsbare klanten poort 445 dichtgezet om ze de kans te geven een tijdige update uit te voeren. De WannaCry ransomware en Adylkuzz malware laat echter zien dat niet iedereen voorbereid is op aanvallen die de lekken van The Shadow Brokers teweeg hebben gebracht. Daarom willen we particulieren en bedrijven er nogmaals aan herinneren om (oude) systemen met Windows zo spoedig mogelijk te voorzien van de laatste updates en juiste firewall-instellingen.
Update voor oudere Windows-systemen (Windows XP, Windows XP Embedded, Windows Server 2003 en Windows Server 2008)
Zorg ervoor dat er een firewall op je computer draait en dat deze de toegang tot ongebruikte poorten blokkeert, waaronder poort 445.
Grootste aanvallen tot nu toe dankzij de NSA-hackingtools
DoublePulsar backdoor
Naast kwetsbaarheden bevatte het vijfde lek van The Shadow Brokers ook tools en malware om te installeren op kwetsbare computers. Eén vorm van malware die tot nu toe breed is ingezet, is een Trojaans paard genaamd DoublePulsar.
Dit Trojaans paard creëert een backdoor op een computer en communiceert onder andere via het SMB-protocol (Server Message Block) met de aanvaller via poort 445. Langs deze weg kan kwaadaardige code geïnjecteerd worden. Ook maakt DoublePulsar het makkelijk voor andere malware een systeem binnen te dringen, zoals WannaCry. Zonder DoublePulsar zou WannaCry zelf het werk moeten doen om zich in een systeem te nestelen via kwetsbaarheden in het SMB-protocol van Windows (onder andere de ETERNALBLUE-exploit).
Naast WannaCry en Adylkuzz is het niet helemaal duidelijk welke malware nog meer op grote schaal gebruik heeft gemaakt van de DoublePulsar backdoor.
WannaCry ransomware
WannaCry is ransomware die via DoublePulsar of de ETERNALBLUE-exploit een systeem binnendringt en alle bestanden op een Windows-computer versleutelt. Eenmaal besmet, verspreidt de ransomware zich over alle computers in het lokale netwerk.
Om de bestanden te ontsleutelen, moet minimaal 300 dollar overgemaakt worden naar het Bitcoin-account van de hackers achter de WannaCry ransomware. Of dit daadwerkelijk helpt, is nog niet duidelijk. Zie dit Twitter-account voor een overzicht van actuele betalingen aan de hackers.
Slachtoffers van WannaCry zijn bijvoorbeeld ziekenhuizen in Engeland, die door de aanval afspraken en operaties moesten uitstellen. Parkeeronderneming Q-Park is ook getroffen, waardoor onder andere Nederlandse klanten niet meer konden betalen. Ook spoorwegmaatschappij Deutsche Bahn, postbedrijf FedEx en autofabrikanten Nissan en Renault zijn de dupe geworden.
Adylkuzz malware
Adylkuzz is malware die duizenden kwetsbare computers met elkaar verbindt om virtueel geld (cryptocurrency) genaamd Monero te maken. Uit informatie van IT-beveilingsbedrijf Proofpoint blijkt dat deze malware meer computers dan WannaCry heeft besmet en waarschijnlijk al sinds 24 april actief is.
Het maken van virtueel geld kost met één computer enorm veel tijd. Met een netwerk van duizenden computers wordt dit proces versneld en levert het veel geld op voor de hackers.
Net als WannaCry maakt deze malware gebruik van de ETERNALBLUE-exploit en de DoublePulsar backdoor om een computer binnen te dringen. In tegenstelling tot WannaCry, die alle bestanden versleutelt, draait Adylkuzz in de achtergrond en heeft een gebruiker niets door.
Om in het geheim te blijven werken voorkomt Adylkuzz dat andere malware, zoals WannaCry, een computer besmet. Dit is waarschijnlijk de reden geweest dat deze malware nu pas is opgemerkt.
UIWIX ransomware
UIWIX is naast WannaCry een nieuwe vorm van ransomware die gebruikmaakt van de ETERNALBLUE-exploit. In tegenstelling tot zijn voorganger zijn er een paar verschillen. Zo wordt de ransomware direct vanuit het geheugen uitgevoerd (fileless infection). Dit maakt het moeilijk voor beveilingssoftware om UIWIX te detecteren en versleuteling te voorkomen.
Daarnaast beschikt deze ransomware niet over een noodstop en bedraagt het losgeldbedrag 200 euro in plaats van 300 euro.
BlueDoom of EternalRocks worm
BlueDoom is een nieuwe worm die in tegenstelling tot eerdere malware gebruikmaakt van meerdere kwetsbaarheden om zich in een systeem te nestelen. Naast ETERNALBLUE zijn in de code de volgende exploits en tools gevonden: ETERNALCHAMPION, ETERNALROMANCE, ETERNALSYNERGY, DoublePulsar, ArchiTouch en SMBTouch. Met dit arsenaal aan exploits is er een kans dat de verspreiding van BlueDoom sneller verloopt dan bijvoorbeeld de verspreiding van de WannaCry ransomware.
BlueDoom is geen ransomware en versleutelt geen bestanden in ruil voor losgeld. Het is waarschijnlijk dat de worm als opstap dient voor het vergemakkelijken van toekomstige aanvallen. De worm beschikt niet over een noodstop en kan een activatie 24 uur lang uitstellen.
XData ransomware
Oekraïne heeft tot nu toe weinig last gehad van aanvallen mede mogelijk gemaakt door de lekken van The Shadow Brokers. Maar dat is veranderd met een nieuwe vorm van ransomware, genaamd XData, die het voornamelijk op dit land gemunt heeft.
Het is nog onduidelijk welke exploits gebruikt worden voor deze ransomware. Ook opmerkelijk is dat het losgeldbedrag onduidelijk is. Dit kan betekenen dat het per slachtoffer zal verschillen. Een toekomstige tool om data te ontsleutelen zonder losgeld te betalen lijkt bij deze specifieke ransomware uitgesloten.
NotPetya
Tientallen grote organisaties op globaal niveau zijn het slachtoffer geworden van een nieuwe ransomware-aanval die zich voornamelijk richt op het bedrijfsleven. Bekijk in de onderstaande tijdlijn (27 juni 2017) een overzicht van belangrijke getroffen organisaties.
Aanvankelijk werd gedacht dat deze ransomware gebaseerd is op de in begin 2016 ontdekte Petya-ransomware. Beveilingsbedrijf Kapersky trekt dit in twijfel en ziet het als een geavanceerdere vorm van ransomware die gebruikmaakt van aanvullende aanvalstechnieken. Daarom draagt het nu de naam NotPetya.
De (onbekende) makers van de ransomware lijken weinig interesse te hebben in het innen van losgeld. De betaalmethode is amateuristisch opgezet en strookt niet met de professionele uitwerking van de ransomware zelf. Zo wordt er voor betalingen van losgeld gebruiktgemaakt van een e-mailadres dat enkele uren na de aanval geblokkeerd is door de desbetreffende e-mailprovider Posteo. Getroffen bedrijven hebben hierdoor geen mogelijkheid meer om het losgeld van 300 dollar te betalen om vervolgens hun bestanden te ontsleutelen.
De aanval lijkt te zijn gestart in Oekraïne via een update van de veelgebruikte accountancysoftware MeDoc. Naast deze weg heeft NotPetya zich ook op andere manieren weten te nestelen in bedrijfscomputers van andere landen.
Zo worden ook de kwetsbaarheden ETERNALBLUE en ETERNALROMANCE ingezet (afkomsting uit het lek van The Shadow Brokers) om systemen te infecteren die nog niet voorzien zijn van de MS17-010 update.
Daarnaast wordt er een tool gebruikt die gelijkenissen toont met het bekende Mimikatz om inloggegevens te onderscheppen en zo toegang te verschaffen tot het administratoraccount van een gebruiker.
Eenmaal binnengekomen worden de Windows-tools PSEXEC en WMIC gebruikt om andere computers binnen een netwerk te infecteren. Het maakt daarbij niet uit of de andere computers over de MS17-010 update beschikken. Een uur na infectie wordt elk systeem herstart en start de versleuteling van alle gegevens. Ook wordt de Master File Table versleuteld, wat de gehele harde schijf onbruikbaar maakt.
Tijdlijn
Woensdag 28 juni 2017
Na de grote ransomware-aanval NotPetya hebben The Shadow Brokers opnieuw van zich laten horen. Via een nieuw bericht wordt iedereen eraan herinnerd dat over een aantal dagen de aanmelding voor de maandelijkse dump van juni sluit. Hierbij wordt de kanttekening gemaakt dat het abonnement voor maandelijkse dumps een groot succes blijkt te zijn door de vele aanmeldingen. Er is daarom besloten om het bedrag voor de volgende dump te verhogen naar 60.000 euro.
The Shadow Brokers introduceren naast de maandelijkse dumps ook een nieuwe VIP-service. Voor een bedrag van 400 Zcach (rond de 120.000 euro) mag je elke vraag aan dit hackerscollectief stellen en ben je gegarandeerd van een antwoord.
Dinsdag 27 juni 2017
Een grote ransomware-aanval genaamd NotPetya eist meerdere slachtoffers wereldwijd. Zie in het bovenstaande overzicht van grootste aanvallen de technische details van deze ransomware. In tegenstelling tot eerdere aanvallen is vooral het bedrijfsleven de klos. Zo zijn onder andere de volgende organisaties besmet:
- De overheid, banken, het elektriciteitsnetwerk, vliegvelden en het metronetwerk (Oekraïne) - Transportbedrijf Maersk (Denemarken), dit heeft ook gevolgen gehad voor de Rotterdamse haven - Constructiemateriaalfabrikant Saint-Gobain (Frankrijk) - Reclamebedrijf WPP (Verenigd Koninkrijk) - Oliemaatschappij Rosneft (Rusland) - Voedselgigant Mondelez (Verenigde Staten) - Juridisch kantoor DLA Piper (Verenigde Staten) - Farmaceutisch bedrijf Merck (Verenigde Staten) - Gezondheidsorganisatie Heritage Valley Health System (Verenigde Staten)
Gezien het feit dat dit grote namen zijn, is het des te opvallender dat ze slachtoffer zijn geworden van NotPetya, een ransomware die grotendeels van dezelfde kwetsbaarheden gebruikmaakt als de WannaCry-ransomware. De Windows-update om deze ransomware de nek om te draaien is namelijk al sinds 14 april 2017 beschikbaar.
Dinsdag 20 juni 2017
Het is nog (minimaal) twee weken wachten op de eerste maandelijkse dump via de nieuwe abonnementsdienst van The Shadow Brokers. In de tussentijd hebben de twee beveiligingsexperts Hacker Fantastic en x0rz geprobeerd via crowdfunding 25.000 dollar te verzamelen om de eerste maand te bekostigen. Het plan was om verkregen hacks uit de eerste dump zo snel mogelijk te delen met verschillende securitypartijen en hierdoor nieuwe aanvallen te voorkomen. Twee dagen na de start hebben de experts laten weten vanwege juridische redenen te stoppen met de crowdfundingactie.
Ook Microsoft lijkt maatregelen te nemen tegen de volgende dump van het hackerscollectief. Om nieuwe uitbraken zoals WannaCry te voorkomen, patcht het bedrijf nogmaals onverwachts Windows XP en andere oude besturingssystemen die niet meer officieel ondersteund worden. In deze patch worden de overgebleven kwetsbaarheden ENGLISHMANDENTIST, EXPLODINGCAN en ESTEEMAUDIT verholpen.
Dinsdag 30 mei 2017
‘Welcome to TheShadowBrokers Monthly Dump Service – June 2017’. Zo begint het nieuwe bericht van The Shadow Brokers, die voortborduurt op hun eerdere bericht van dinsdag 16 mei. Details voor het maandelijkse abonnement aan nieuwe exploits zijn hiermee vrijgegeven. Geïnteresseerden kunnen vanaf 1 juni tot en met 30 juni 100 ZEC (Zcash) - omgerekend 30.000 euro - overmaken aan The Shadow Brokers en een geldig e-mailadres achterlaten. Zcash is een digitaal betaalmiddel zoals BitCoin, met als verschil dat volledige anonimiteit geboden wordt voor zowel de betaler als de ontvanger. De koers van Zcash is bij te houden op bijvoorbeeld WorldCoinIndex.
Na succesvolle betaling kunnen abonnees de dump van juni tussen 1 juli en 17 juli in hun e-mailinbox verwachten.
Vrijdag 26 mei 2017
Na de uitbraak van WannaCry heeft Microsoft bij uitzondering ook voor verlopen besturingssystemen, zoals Windows XP en Windows Server 2003, SMB-kwetsbaarheden opgelost door middel van een update. Andere kwetsbaarheden zijn echter niet aan bod gekomen in deze update. Zo zijn deze besturingssystemen nog steeds kwetsbaar voor bijvoorbeeld exploits genaamd ENGLISHMANDENTIST, EXPLODINGCAN en ESTEEMAUDIT.
Vooral deze laatste exploit blijkt een potentieel gevaar waarvoor meer dan 24.000 computers wereldwijd kwetsbaar zijn. In tegenstelling tot ETERNALBLUE maakt deze exploit gebruik van het Remote Desktop Protocol (RDP).
Securitybedrijf enSilo heeft vandaag een onofficiële patch uitgebracht die de RDP-kwetsbaarheid oplost. Naar verwachting zal er geen officiële patch van Microsoft komen.
Ondertussen wordt er gespeculeerd hoe de hackers die achter de WannaCry ransomware zitten het losgeld zullen innen.
Deze week zijn we ook op een nieuwe map gestuit van cyber intelligence-bedrijf Norse, waarin cyberaanvallen in realtime visueel worden weergeven. Voor vergelijkbare mappen kan je terecht bij FireEye, Kaspersky en Digital Attack Map.
Zaterdag 20 mei 2017
Er is een worm genaamd EternalRocks/BlueDoom ontdekt die in tegenstelling tot eerdere aanvallen gebruikmaakt van meerdere SMB-exploits. Ook zijn er meldingen van een nieuwe vorm van ransomware genaamd XData, die zich voornamelijk beperkt tot Oekraïne.
Lees meer over beide aanvallen in de beschrijvingen hierboven.
Vrijdag 19 mei 2017
De website examenklacht.nl van het Landelijk Aktie Komitee Scholieren (LAKS) is getroffen door de WannaCry ransomware. Dankzij een back-up was de website binnen 1 dag weer online en is er niet betaald om bestanden te ontsleutelen. LAKS is naast Q-Park het tweede ‘grote’ slachtoffer van de WannaCry ransomware binnen Nederland.
Verder heeft de Russische Centrale Bank laten weten dat de afgelopen week meerdere Russische banken getroffen zijn door WannaCry. Een advies om de MS17-010 Windows-update te installeren is nogmaals verstuurd naar alle banken.
Donderdag 18 mei 2017
Beveilingsonderzoeker Adrien Guinet heeft een tool genaamd WannaKey gemaakt om met WannaCry besmette systemen te ontsleutelen. De priemgetallen die WannaCry gebruikt om versleuteling mogelijk te maken, blijken opgeslagen te worden in het geheugen van Windows. Deze getallen kunnen gebruikt worden om een systeem zonder betaling te ontsleutelen.
Het nadeel van WannaKey is dat een besmet systeem niet opnieuw opgestart mag zijn. Ook blijkt de tool alleen te werken op systemen met Windows XP.
Benjamin Delpy heeft inmiddels een andere tool genaamd Wanakiwi gemaakt die ook blijkt te werken op systemen met Windows 7. Het vereiste dat een systeem niet opnieuw opgestart mag zijn, blijft gelden. Download Wanakiwi via GitHub.
Ook is een nieuwe vorm van ransomware ontdekt, genaamd UIWIX. Zie de beschrijving hierboven voor meer informatie.
Woensdag 17 mei 2017
Er is een nieuwe vorm van malware ontdekt, genaamd Adylkuzz. Deze malware verbindt duizenden kwetsbare computers met elkaar om zo een netwerk te maken dat virtueel geld voor de hackers creëert. Uit de eerste cijfers blijkt dat deze aanval waarschijnlijk nog meer computers getroffen heeft dan de WannaCry ransomware en langere tijd actief is.
Dinsdag 16 mei 2017
The Shadow Brokers hebben een nieuw bericht gedeeld waarin hun toekomstplannen duidelijk worden. Vanaf juni willen ze een abonnement aanbieden waarmee betaalde leden maandelijks nieuwe lekken toegestuurd krijgen. Maandelijkse dumps kunnen bijvoorbeeld het volgende bevatten:
- browser-, router- en handset-kwetsbaarheden;
- nieuwe kwetsbaarheden voor Windows 10;
- gestolen data van banken en providers die gebruikmaken van het SWIFT-protocol;
- gestolen data van Russische, Chinese, Iraanse en Noord-Koreaanse kernprogramma’s.
Maandag 15 mei 2017
De tweede versie van WannaCry is ondertussen ook weer tegengehouden. Gek genoeg is ervoor gekozen om weer gebruik te maken van een domeinnaam als noodstop in plaats van een andere methode. De hackers konden verwachten dat de nieuwe domeinnaam snel geregistreerd zou worden.
Naast WannaCry zijn er inmiddels ook imitaties van andere hackers in de maak. Door de grote impact van WannaCry is het te voorspellen dat het aantal zal toenemen.
Zondag 14 mei 2017
Het Europese politieagentschap Europol heeft zijn zorgen geuit over de wereldwijde aanval en waarschuwt voor meer problemen. Het stoppen van WannaCry betekent niet dat we ervanaf zijn.
Zo is er een nieuwe versie opgedoken die niet gebruikmaakt van dezelfde noodstop als in de vorige versie en zich dus weer vrij kan verspreiden. Mensen zijn pas echt veilig wanneer ze de beveiligingupdates van Windows installeren.
Zaterdag 13 mei 2017
De website MalwareTech.com heeft ‘per ongeluk’ verdere verspreiding van WannaCry weten te voorkomen. Na ontdekt te hebben dat de ransomware contact zoekt met een bepaalde domeinnaam, is besloten deze te registreren. Na registratie bleek dat verdere verspreiding van WannaCry stopte. De hackers achter de ransomware hebben waarschijnlijk deze ‘noodstop’ in de code geïmplementeerd voor het geval ze de aanval zelf wilden stoppen. MalwareTech.com bleek ze een stap voor te zijn.
Dat verspreiding van WannaCry gestopt is, betekent niet dat de al geïnfecteerde systemen van de ransomware af zijn. Zij moeten wachten op een decryptietool of een back-up van hun bestanden herstellen.
Vrijdag 12 mei 2017
Een wereldwijde aanval met nieuwe ransomware genaamd WannaCry versleutelt bestanden van 200.000 systemen wereldwijd draaiend op het Windows-besturingssysteem.
Donderdag 27 april 2017
Gesprekken in zowel de Chinese als Russische cyber-community laten zien dat er veel interesse is in de vrijgegeven tools van The Shadow Brokers. Zo zijn er korte tijd na het vijfde lek al tutorials op het dark web te vinden die demonstreren hoe kwaadwillenden deze tools op effectieve wijze kunnen inzetten. DoublePulsar en EternalBlue blijken veelbesproken termen te zijn.
Dinsdag 25 april 2017
Below0Day heeft na het binnenkrijgen van diverse verzoeken een automatische scantool uitgebracht. Hiermee kan je na het invullen van je IP-adres zien of je geïnfecteerd bent met de DoublePulsar backdoor.
Naast Microsoft reageren ook andere softwarebedrijven actief op de lekken van The Shadow Brokers. Zo heeft IBM een patch uitgebracht die aanvallen op IBM Domino-servers moet voorkomen.
Maandag 24 april 2017
De berichtgeving over de toename van de geïnfecteerde machines gecombineerd met verdachte activiteiten op ons platform, is voor ons de aanleiding geweest om actief ons eigen netwerk te scannen.
Hierbij worden geïnfecteerde Windows-servers binnen ons platform ontdekt. Kwetsbare klanten worden geïnformeerd en voor hen is poort 445 op netwerkniveau direct gesloten.
Zondag 23 april 2017
Berichtgeving over een nieuwe massascan van Below0Day wijst uit dat de infectie toeneemt en is opgelopen tot meer dan 55.000 machines.
Vrijdag 21 april 2017
Er komt steeds meer aandacht vanuit de security-community, waardoor de impact van het lek steeds duidelijker wordt. Door een massascan van Below0Day blijken meer dan 30.000 machines in grotendeels Amerika en Europa geïnfecteerd met de DoublePulsar backdoor.
Vrijdag 14 april 2017
The Shadow Brokers publiceert in het vijfde en tot nu toe meest serieuze lek nieuwe hackingtools om onder meer kwetsbaarheden in de Windows-protocollen RDP (Remote Desktop Protocol) en SMB (Server Message Block) bloot te leggen. Deze kwetsbaarheden maken het mogelijk om de DoublePulsar backdoor te installeren.
Daarnaast is gebleken dat de NSA met de hackingtools, en dankzij het lek ook kwaadwillenden, kunnen infiltreren bij banken die gebruikmaken van het SWIFT-protocol.
Zaterdag 8 april 2017
In dit vierde lek publiceert The Shadow Brokers het wachtwoord waarmee het versleutelde bestand, geïntroduceerd in het eerste lek, geopend kan worden. Hiermee is de toegang tot een nieuwe hoeveelheid aan hackingtools een feit.
Dinsdag 14 maart 2017
Microsoft brengt patch MS17-010 uit waarmee kwetsbaarheden in verschillende Windows-versies gedicht worden. Hiermee blijken ook kwetsbaarheden te zijn gedicht afkomstig uit nieuwe hackingtools die pas op 14 april 2017 bekend worden. Hoe Microsoft afwist van deze kwetsbaarheden voordat ze gepubliceerd werden, is nog onduidelijk. Geruchten gaan dat Microsoft al voor het vierde en vijfde lek is getipt. Mensen die deze patch hebben geïnstalleerd, kunnen in beginsel niet getroffen worden door de vrijgegeven hackingtools.
Maandag 13 augustus 2016
The Shadow Brokers komt voor het eerst in de publiciteit door een lek met het volgende bericht te publiceren, waarin ze hackingtools afkomstig van de Amerikaanse inlichtingendienst NSA online te koop aanbieden:
“How much you pay for enemies cyber weapons? Not malware you find in networks. Both sides, RAT + LP, full state sponsor tool set? We find cyber weapons made by creators of stuxnet, duqu, flame. Kaspersky calls Equation Group. We follow Equation Group traffic. We find Equation Group source range. We hack Equation Group. We find many many Equation Group cyber weapons. You see pictures. We give you some Equation Group files free, you see. This is good proof no? You enjoy!!! You break many things. You find many intrusions. You write many words. But not all, we are auction the best files.”
Na een mislukte poging tot verkoop worden in oktober en november 2016 nog twee berichten gepubliceerd, waarmee de legitimiteit en mogelijke impact van de hackingtools meer aan het licht komen. Hiermee hoopt het hackerscollectief de kans op een succesvolle verkoop te vergroten.
Meer informatie over DoublePulsar
Het script om te controleren of je geïnfecteerd bent.
Uitgebreide analyse DoublePulsar.
Tools en exploits van 14 april 2017
Hieronder staat de lijst met de belangrijkste exploits en tools van het laatste lek. In vergelijking met vorig lekken is deze dump het interessantst. Zo blijken de ETERNAL-exploits een relatief makkelijk middel om enorme schade aan te richten. Een voorbeeld is de WannaCry ransomware en Adylkuzz malware, die gebaseerd zijn op de ETERNALBLUE exploit. De NSA was zo onder de indruk van de impact van deze exploit, dat ze twijfelden over het melden hiervan aan Microsoft.
Exploits voor Windows via het SMB-protocol (Server Message Block) via poort 445
ETERNALBLUE: populaire kernel-exploit via het SMB-protocol. DoublePulsar, WannaCry en Adylkuzz maken bijvoorbeeld gebruik van deze exploit
ETERNALSYNGERGY: exploit via het SMBv3-protocol voor Windows (Server) 8 en 2012 SP0
ERRATICGOPHER: exploit via het SMBv1-protocol voor Windows (Server) XP en 2003
ETERNALROMANCE: exploit via het SMBv1-protocol voor Windows (Server) XP, 2003, Vista, 7, 8, 2008, 2008 R2
ETERNALCHAMPION: exploit via het SMBv1-protocol
EDUCATEDSCHOLAR: exploit via het SMB-protocol
EMERALDTHREAD: exploit via het SMB-protocol voor Windows (Server) XP and Server 2003
EAGERLEVER: exploit via het SMB/NBT voor Windows (Server) NT4.0, 2000, XP SP1 & SP2, 2003 SP1 & Base Release
Overige Windows-exploits
ESTEEMAUDIT: Remote Desktop Protocol (RDP) exploit en backdoor voor Windows Server 2003
ECLIPSEDWING: Remote Code Execution (RCE) exploit voor Windows Server 2008 (en later)
ESKIMOROLL: exploit voor Kerberos domain controllers voor Windows Server 2000, 2003, 2008 en 2008 R2
Exploits voor UNIX-based systemen
EARLYSHOVEL: exploit voor mailserver Sendmail versie 8.11.x draaiend op RedHat 7.0 en 7.1
ECHOWRECKER: exploit voor Samba 3.0.x draaiend op Linux
EBBISLAND (EBBSHAVE) RCE-exploit in Solaris 6, 7, 8, 9 en 10
Exploits voor IBM Lotus-bedrijfssoftware
EMPHASISMINE: mail-exploit voor IBM Lotus Domino 6.6.4 tot 8.5.2
EWOKFRENZY: exploit for IBM Lotus Domino 6.5.4 & 7.0.2
EASYPI: exploit voor IBM Lotus Notes
Exploits voor Microsoft IIS6-webserver
EASYFUN: WordClient / IIS6.0 exploit
EXPIREDPAYCHECK: IIS6 exploit
EXPLODINGCAN: IIS6 exploit voor het creëren van een backdoor
Exploits voor telefoon- en e-mail
ENGLISHMANSDENTIST: exploit voor Outlook Exchange WebAccess om e-mails te versturen
EASYBEE: exploit voor MDaemon e-mailservers
EASYFUN 2.2.0: exploit voor WDaemon of MDaemon WorldClient e-mailservers draaiend op versie 9.5.6 of lager.
EPICHERO: exploit voor de Avaya Call Server
ETRE: exploit voor IMail 8.10 tot 8.22
ETCETERABLUE: exploit voor IMail 7.04 tot 8.05
Interessante tools
FUZZBUNCH: brengt verschillende exploits en tools die de NSA gebruikt samen in één programma. Zo kan met weinig moeite bijvoorbeeld DoublePulsar op een systeem worden geïnstalleerd
ODDJOB: een tool die gebruikt wordt om malware te genereren op geïnfecteerde Windows-systemen via het HTTP-protocol
DOUBLEPULSAR: zie de hiervoor besproken analyse voor een uitleg
Deze lijst is een aanvulling op de exploits en tools van 13 augustus 2016, die onderdeel uitmaakten van een openbare veiling. Zie voor een complete lijst van dit oudere lek deze GitHub-pagina.
Bedankt voor het toelichten!