网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

2016年，卡巴斯基根据RC算法的常量值，验证了黑客组织“影子经纪人”泄露的NSA数据属于“方程式组织”，指出“方程式组织”在高价值目标中针对硬盘固件实现攻击持久化的植入；

2015年3月和4月，安天先后发布两篇报告，分析“方程式组织”主要攻击平台的组成结构、关联关系、回传信息、指令分支、C2地址、插件功能，并解析了关键插件“硬盘重编程”模块的攻击技术原理，以及多个组件的本地配置和网络通讯加密算法和密钥；

2022年2月，中国网络安全厂商奇安信发布报告称，通过“影子经纪人”与斯诺登泄露的数据验证了Bvp47是属于NSA“方程式组织”的顶级后门，并还原了Dewdrops、“饮茶”（Suctionchar_Agent）嗅探木马与Bvp47后门程序等其他组件配合实施联合攻击的场景。

　　第六篇 覆盖全平台的网络攻击——“方程式组织”Solaris和Linux样本的曝光

网络安全研究人员发现，超级攻击组织力图将其载荷能力扩展到一切可以达成入侵和持久化的场景。在这些场景中，各种服务器操作系统，如Linux、Solaris、FreeBSD等，更是其高度关注的目标。基于这样的研判，对于“方程式组织”这一超级APT攻击组织，网络安全厂商展开了细致深入的跟踪研究。

2015年2月，卡巴斯基提出“方程式组织”可能具有多平台攻击能力，有实例证明，“方程式组织”恶意软件DOUBLEFANTASY存在Mac OS X版本；

2016年11月，安天发布报告，分析了“方程式组织”针对多种架构和系统的攻击样本，全球首家通过真实样本曝光该组织针对Solaris（SPARC架构）、Linux系统攻击能力；

2017年1月，安天基于“影子经纪人”泄露的“方程式组织”样本分析，绘制“方程式组织”作业模块积木图，揭示了美国通过精细化模块实现前后场控制、按需投递恶意代码的作业方式。

　　第七篇 泄露的军火——美国网络武器管理失控成为网络犯罪的工具

2017年5月12日，WannaCry勒索软件利用NSA网络武器中的“永恒之蓝”（Eternalblue）漏洞，制造了一场遍及全球的巨大网络灾难。超级大国无节制地发展网络军备，但又不严格保管，严重危害全球网络安全。

微软曾在2017年3月份发布了“永恒之蓝”漏洞的补丁，而“影子经纪人”在2017年4月公布的“方程式组织”使用的网络武器中包含了该漏洞的利用程序，黑客正是运用了这一网络武器，针对所有未及时打补丁的Windows系统电脑实施了此次全球性大规模攻击；

中国国家互联网应急中心（CNCERT）确认WannaCry勒索软件在传播时基于445端口并利用SMB服务漏洞（MS17-010），总体可以判断是由于此前“影子经纪人”披露漏洞攻击工具而导致的黑产攻击威胁；

卡巴斯基分析认为网络攻击所用的黑客工具“永恒之蓝”是由 “影子经纪人”此前在网上披露，来自NSA的网络武器库；

安天对该勒索软件利用的SMB漏洞MS17-010进行分析，将其定性为“军火级攻击装备的非受控使用”，并随后发布了“关于系统化应对NSA网络军火装备的操作手册”；

360检测到该勒索软件传播后迅速发布警报，呼吁民众及时安装系统补丁和安全软件，并在获取到样本后，推出了系列解决方案。

美国网络武器库中的其他“军火”一旦泄露可能会被针对性地使用，其衍生的危害可能不低于“永恒之蓝”，它们的存在和泄露更加令人担忧。

　　第八篇 军备的扩散——美国渗透测试平台成为黑客普遍利用的工具

美国未对其销售的自动化攻击平台进行有效约束管控，导致渗透攻击测试平台Cobalt Strike等成为黑客普遍利用的工具，不仅给全球网络空间埋下了安全隐患，而且对他国安全造成了无法预估的潜在影响。

2015年5月，安天发现在一例针对中国政府机构的准APT攻击事件中，攻击者依托Cobalt Strike平台生成的、使用信标（Beacon）模式进行通信的Shellcode，实现对目标主机远程控制。在2015年中国互联网安全大会（ISC 2015）上，安天对Regin、Cobalt Strike等主要商业化网络武器进行了系统梳理，分析指出，Cobalt Strike创始人拉菲尔·穆奇在美军现役和预备役网络部队的服役和研发背景，清晰地反映了美军事网络技术和能力的外溢及破坏性；

美国安全公司Proofpoint调查结果显示，2020年威胁行为体对Cobalt Strike的运用较上一年增加了161%，2019年至2021年，滥用Cobalt Strike的攻击中有15%与已知的黑客组织有关；

美国网络安全公司Sentinelone分析显示，Egregor勒索软件的主要分发方式是Cobalt Strike；

奇安信监测发现，威胁组织“Blue Mockingbird”利用Telerik UI漏洞（CVE-2019-18935）攻陷服务器，进而安装Cobalt Strike信标并劫持系统资源挖掘门罗币。

　　第九篇 “拱形”计划的曝光——应对美国对网络安全厂商的监控