El 8 de enero Shadow Brokers puso a subasta una lista de exploits que robó a Equation Group ("aka NSA").
El pasado Viernes Santo/14 de abril, y más de tres meses después, el enigmático Grupo ha liberado más exploits, algunos como Fuzzbunch y DanderSpritz que ya anunciaron, otros 0-days para explotar Microsoft Windows, y también para otras vulnerabilidades en Lotus Domino y SWIFT.

El volcado contiene tres directorios llamados Windows, Swift y OddJob. La carpeta de Windows contiene varias herramientas para explotar Windows, OddJob contiene un implant que puede ser instalado en sistemas operativos Windows (aunque los detalles son escasos en este momento) y el directorio SWIFT contiene secuencias de comandos SQL que buscan datos específicos de SWIFT dentro de bases de datos, y archivos de texto y Excel como el de la imagen que demuestran que Equation Group había hackeado y obtenido acceso a varios bancos en todo el mundo.

Microsoft ya ha movido ficha (¿avisados por quién?) emitiendo un comunicado en el que afirma que todas las vulnerabilidades han sido previamente parcheadas, lo cuál no quita que haya que alimentar nuestro arsenal con estos exploits y herramientas para comprometer las desactualizadas máquinas de nuestras siempre incautas víctimas:

- Repositorio en Github con el leak: https://github.com/misterch0c/shadowbroker/

EXPLOITS

Easybee-1.0.1.exe  —  exploit para MDaemon private email server
SHA256:59c17d6cb564edd32c770cd56b5026e4797cf9169ff549735021053268b31611

Easypi-3.1.0.exe  —  exploit para Lotus cc:Mail
SHA256:dc1ddad7e8801b5e37748ec40531a105ba359654ffe8bdb069bd29fb0b5afd94

Eclipsedwing-1.5.2.exe  —  exploit SMB para 2000, 2003 y XP, parcheado en MS08–67.
SHA256:48251fb89c510fb3efa14c4b5b546fbde918ed8bb25f041a801e3874bd4f60f8

Educatedscholar-1.0.0.exe  —  exploit SMB, parcheado en MS09–050.
SHA256:4cce9e39c376f67c16df3bcd69efd9b7472c3b478e2e5ef347e1410f1105c38d

Emeraldthread-3.0.0.exe  —  EMERALDTHREAD es un SMB exploit para XP y 2003, que dropea un implant al estilo de Stuxnet. Parcheado en MS10–061.
SHA256:7fe425cd040608132d4f4ab2671e04b340a102a20c97ffdcf1b75be43a9369b5

Emphasismine-3.4.0.exe  —  exploit IMAP para IBM Lotus Domino
SHA256:dcaf91bd4af7cc7d1fb24b5292be4e99c7adf4147892f6b3b909d1d84dd4e45b

Englishmansdentist-1.2.0.exe  — parece usar OWA y SMTP, podría ser un trigger remoto para reglas sobre clientes que necesitan productos no soportados por M$.
SHA256:2a6ab28885ad7d5d64ac4c4fb8c619eca3b7fb3be883fc67c90f3ea9251f34c6

Erraticgopher-1.0.1.exe  — exploit SMB, probado en XP y 2003. Zero day, no será parcheado.
SHA256:3d11fe89ffa14f267391bc539e6808d600e465955ddb854201a1f31a9ded4052

Eskimoroll-1.1.1.exe —  es una clase de exploit para Kerberos contra controladores de dominio corriendo Windows Server 2000, 2003, 2008 y 2008 R2. Parcheado en MS14–068.
SHA256:0989bfe351342a7a1150b676b5fd5cbdbc201b66abcb23137b1c4de77a8f61a6

Esteemaudit-2.1.0.exe  — un exploit remoto para RDP (Remote Desktop) contra Windows Server 2003 y XP, instala un implant. Probado, funciona con autenticación por SmartCard. Zero day, no será parcheado.
SHA256:61f98b12c52739647326e219a1cf99b5440ca56db3b6177ea9db4e3b853c6ea6

Eternalromance-1.3.0.exe - ETERNALROMANCE es un exploit remoto para SMB1 con objetivo XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. Probado, funciona. Parcheado en MS17–010.
SHA256:f1ae9fdbb660aae3421fd3e5b626c1e537d8e9ee2f9cd6d56cb70b6878eaca5d

Eternalromance-1.4.0.exe  — ETERNALROMANCE es un exploit remoto para SMB1 con objetivo XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. Probado, funciona. Parcheado en MS17–010
SHA256:b99c3cc1acbb085c9a895a8c3510f6daaf31f0d2d9ccb8477c7fb7119376f57b

Eternalsynergy-1.0.1.exe  — RCE contra SMB, parcheado en MS17–010.
SHA256:92c6a9e648bfd98bbceea3813ce96c6861487826d6b2c3d462debae73ed25b34

Ewokfrenzy-2.0.0.exe  —  Exploit para Lotus Domino 6 & 7
SHA256:348eb0a6592fcf9da816f4f7fc134bcae1b61c880d7574f4e19398c4ea467f26

Explodingcan-2.0.2.exe  — exploit para  Microsoft IIS 6. Funciona. Explota WebDav. En 2003 sólo. Muy bien hecho y robusto. No será parcheado.
SHA256:97af543cf1fb59d21ba5ec6cb2f88c8c79c835f19c8f659057d2f58c321a0ad4

Zippybeer-1.0.2.py  — exploit contra un controlador de dominio Microsoft. Autenticado.
SHA256:110969f7a6e7149da7bec1a21140008bbb46ed3338bcbe32e01a233af24badad

Eternalblue-2.2.0.exe  —  Exploit SMBv1 probado y funcionando. Remoto y sin necesidad de autenticación, funciona contra 2008 R2. Parcheado en MS17–010.
SHA256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5

Eternalchampion-2.0.0.exe  — Exploit  SMB. Funcional. Corregido en CVE-2017–0147.
SHA256:ce734596c2b760aa4b3f340227dd9ec48204a96cf0464ad1a97ae648b0a40789

IMPLANTS

Darkpulsar-1.1.0.exe
SHA256:b439ed18262aec387984184e86bfdb31ca501172b1c066398f8c56d128ba855a

Mofconfig-1.0.0.exe
SHA256:c67a24fe2380331a101d27d6e69b82d968ccbae54a89a2629b6c135436d7bdb2

PluginHelper.py — cross platform implant helper (Linux, Windows, Solaris)
SHA256: f3fe9c4ad27c11ffcfc4e362e9a1689c416b0c8f054eaa6849ee5cc7fecc284e

Módulos de los implants GangsterThief y GrDo

GangsterThief_Lp.dll
4720fca15bb09a3d5cac0f62f453cc5195a067679c95fdc4abd4d709d713cde3

GangsterThief_Implant.dll
b6707786a10aad02edb051e9de3a77d7aa91ff01baf58087be4f454fab54834c

GeZu_KernelMemory_Target.dll
6b1c02b9ce1d380e505f1b3bd3d52a27c39482e31d68207b5ce4dd619525d9aa

GeZu_KernelMemory_Target.dll
0235c0845596cf3038a6304111df6a19d9ce20d3db303e98c45a9e5f0a5b9862

GeZu_KernelMemory_Target.dll
1a8ca79951490ac2c7a5f7e4a35a92b8eb4afa64894bee5db13816e6071ff282

GrDo_ProcessScanner_Implant.dll
197bc44aa7a7f4ea80de11a9dff39fab0e7d9dd0ff09e0ff6d97a6be42a33446

GangsterThief_Implant.dll
1ed588fa567c7e768a8014aa5ccd9ee5e2ad3df11be0a778daa1666bc5b1130e

GrDo_FileScanner_Implant.dll
e8212d51936e4c8f56658fd404ef3a708abf2dfaab96fdd880e073f5557cb81e

GrDo_ProcessScanner_Implant.dll
4459e04f9453b71afb19e707f2b637d0c48f59e1ece4e4d414e6024fae5e5fc0

GrDo_FileScanner_Implant.dll
c7609ab1484ad01717b9138c7f29b523d426280588db7f1f301d5fa8abdda01e

GrDo_FileScanner_Lp.dll
ca1529a014bc8f549b651832bc8b2987e0464eccf203ca0d5ff9364a96595a55

GrDo_FileScanner_LpData.dll
423ae2e13c6a9d2735a27b4a999fc63a24534bf36d704ca9c474b8d907ae94b6

GrDo_ProcessScanner_Lp.dll
178f6470a8a934b7e24874dbc6079977491792359ae520703f3098154f48d8d0

GrDo_ProcessScanner_LpData.dll
d03938d6597e580366b64c8189ef61ed5a4c28fb8f0e0e28ae0454f120f42f02

Referencias:

- Lost in Translation - shadowbrokers (artículo original donde se publica el dump)
- Lista de objetivos de la NSA con implants instalados (IPs incluidas)
- Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks
- Hackers Warn of ‘Microsoft Apocalypse’ After Latest NSA Leaks
- The Shadow Brokers Vulnerability Equities Process: NSA Has Had at Least 96 Days to Warn Microsoft about These Files
- Microsoft says exploits leaked by Shadow Brokers were addressed by prior patches
- Mysterious Microsoft patch killed 0days released by NSA-leaking Shadow Brokers
- Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows
- ShadowBrokers: The NSA compromised the SWIFT Network
- The Latest Dump of Alleged NSA Tools Is ‘The Worst Thing Since Snowden’ 
- Video demo Eternalblue FuzzBunch Windows Zero-Day