Shadow Brokers NSA Leak – Elenco completo dell’arsenale digitale

Shadow Brokers NSA Leak – Tutto il contenuto

[sempre aggiornato in base agli eventi]

Shadow Brokers NSA leak


Attualmente sconosciuti

  • JACKLADDER
  • DAMPCROWD
  • ELDESTMYDLE
  • SUAVEEYEFUL
  • WATCHER
  • YELLOWSPIRIT

Vari

  • DITTLELIGHT (HIDELIGHT) mostra la finestra di NOPEN per eseguire gli scripts del DB Oracle
  • DUL packer per shellcode
  • egg_timer pianificatore di esecuzione comandi (come at)
  • ewok tool simile ad snmpwalk
  • gr web crontab manager
  • jackladderhelper semplice binder di porte
  • magicjack implementazione di DES in Perl
  • PORKSERVER componente server basata su inetd per PORK
  • ri un tool simile ad rpcinfo
  • uX_local Micro X server, probabilmente per il controllo remoto
  • ITIME cambia data e ora dell’ultima modifica di un file unix

RCE – Esecuzione di codice da remoto

Solaris

  • CATFLAP Solaris 7/8/9 (SPARC and Intel) RCE (per molte versioni diverse)
  • EASYSTREET/CMSEX e cmsd Exploit remoto per Solaris basato su rpc.cmsd
  • EBBISLAND/ELVISCICADA/snmpXdmid e frown: CVE-2001-0236, Solaris 2.6-2.9 – snmpXdmid Buffer Overflow
  • sneer: mibissa (Sun snmpd) RCE
  • dtspcdx_sparc dtspcd RCE for SunOS 5. -5.8.
  • TOOLTALK RCE buffer overflow per DEC, IRIX, o Sol2.6 o versioni più vecchie di Tooltalk
  • VIOLENTSPIRIT RCE per il demone ttsession in CDE su Solaris 2.6-2.9 (SPARC e x86)
  • EBBISLAND RCE Solaris 2.6 -> 2.10 Inietta shellcode nei servizi RPC vulnerabili

Netscape Server

  • xp_ns-httpd NetScape Server RCE
  • nsent RCE per NetScape Enterprise server 4.1 su Solaris
  • eggbasket un altro NetScape Enterprise RCE, versione 3.5, probabilmente solo per SPARC

FTP servers

  • EE proftpd 1.2.8 RCE, per RHL 7.3+/Linux, CVE-2011-4130?
  • wuftpd probabilmente relativo a CVE-2001-0550

Web

  • ESMARKCONANT RCE exploits per phpBB (<2.0.11) CVE-2004-1315
  • ELIDESKEW Vulnerabilità pubbliche per SquirrelMail versioni 1.4.0 – 1.4.7
  • ELITEHAMMER Attacca RedFlag Webmail 4, da la precedenza allo user nobody
  • ENVISIONCOLLISION RCE per phpBB
  • EPICHERO RCE per Avaya Media Server
  • COTTONAXE RCE per ottenere informazioni e log da LiteSpeed Web Server

Vari

  • calserver RCE con sistema di spool basato su RPC
  • EARLYSHOVEL RCE RHL7 per sendmail CVE-2003-0681 CVE-2003-0694
  • ECHOWRECKER/sambal: samba 2.2 e 3.0.2a – 3.0.12-5 RCE, per FreeBSD, OpenBSD 3.1, OpenBSD 3.2 (con stack non eseguibile), Linux. Probabilmente relativo al CVE-2003-0201. Anche versione per Solaris.
  • ELECTRICSLIDE RCE (heap-overflow) in Squid, attraverso un vettore probabilmente cinese.
  • EMBERSNOUT Exploit remoto su Red Hat 9.0 per httpd-2.0.40-21
  • ENGAGENAUGHTY/apache-ssl-linux Apache2 mod-ssl RCE (2008), SSLv2
  • ENTERSEED Postfix RCE, versioni 2.0.8 – 2.1.5
  • ERRGENTLE/xp-exim-3-remote-linux Root remote exploit per Exim , probabilmente CVE-2001-0690, Exim 3.22 – 3.35
  • EXPOSITTRAG exploit per pcnfsd versione 2.x
  • extinctspinash: roba per Chili!Soft ASP RCE? e Cobalt RaQ?
  • KWIKEMART (km binary) RCE per SSH1 (https://packetstormsecurity.com/files/24347/ssh1.crc32.txt.html)
  • prout (ab)uso di RPC pcnfs (solo versione 2) (1999)
  • slugger: RCE per diverse stampanti, probabilmente CVE-1999-0078
  • statdx Redhat Linux 6.0/6.1/6.2 rpc.statd remote root exploit (IA32)
  • telex Telnetd RCE per RHL? CVE-1999-0192?
  • toffeehammer RCE per cgiecho componente di cgimail, sfrutta fprintf
  • VS-VIOLET Solaris 2.6 – 2.9, qualcosa relativo ad XDMCP
  • SKIMCOUNTRY Ruba dati da dispositivi mobili
  • SLYHERETIC_CHECKS Controlla che un target sia pronto per SLYHERETIC (non incluso nel leak)
  • EMPTYBOWL RCE per MailCenter Gateway (mcgate) – una applicazione integrata nel mailserver Asia Info Message Center; buffer overflow consente di controllare una stringa passata a popen(); esecuzione di comandi arbitrari funzionante solo su AIMC Version 2.9.5.1
  • CURSEHAPPY Parser di CDR (Call Detail Records) (siemens, alcatel e altri che utilizzano formati isb hki lhr); probabilmente la versione upgradata di ORLEANSTRIDE
  • ORLEANSTRIDE Parser di CDR (Call Detail Records)

Anti-forensic

  • toast: wtmps editor/manipulator/querier
  • pcleans: pacctl manipulator/cleaner
  • DIZZYTACHOMETER: Altera il database RPM quando i file di sistema cambiano così che RPM (>4.1) non funzioni
  • DUBMOAT Consente di eseguire diverse operazioni su utmp
  • scrubhands Pulitore di ambiente da usare dopo una intrusione?
  • Auditcleaner pulitore di tracce da audit.log

Controllo

HP-UX, Linux, SunOS

  • FUNNELOUT: web-backdoor basata su database per vbulletin
  • hi UNIX bind shell
  • jackpop bind shell per SPARC
  • NOPEN Backdoor? Un RAT o post-exploitation shell che consiste in un client ed un server che cifrano i dati usando RC6 – SunOS5.8
  • SAMPLEMAN / ROUTER TOUCH Attacca i router Cisco attraverso un qualche tipo di redirection con un tool su porta 2323
  • SECONDDATE rootit/implant per Linux/FreeBSD/Solaris/JunOS
  • SHENTYSDELIGHT Linux keylogger
  • SIDETRACK implant usato per PITCHIMPAIR
  • SIFT rootkit/implant per Solaris/Linux/FreeBSD
  • SLYHERETIC un implant/rootkit leggero per AIX 5.1:-5.2 Usa tecniche Hide-in-Plain-Sight per rimanere nascosto.
  • STRIFEWORLD: tool per il controllo della rete per UNIX, richiede i permessi di root. Strifeworld è un programma che cattura traffico dati e li tiene in memoria per fare analisi. Ricostruisce lo stream di dati e salva ogni sessioni in un file per successive analisi.
  • SUCTIONCHAR: 32 or 64 bit OS, solaris sparc 8,9, rootkit/implant a livello del kernel – effettua intercettazioni di tipo transparent, sustained o realtime dei processi input/output sul traffico vnode, capace quindi di intercettare ssh, telnet, rlogin, rsh, password, login, csh, su, …
  • STOICSURGEON Rootkit/Backdoor per Linux MultiArchi
  • INCISION Rootkit/Backdoor per Linux – potrebbe essere la versioni aggiornata di StoicSurgeon

CnC

  • Seconddate_CnC: CnC per SECONDDATE
  • ELECTRICSIDE probabilmente un CnC con i fiocchi!
  • NOCLIENT Sembrerebbe un CnC per NOPEN
  • DEWDROP

Escalation dei privilegi

Linux

  • h: linux kernel privilege escalation tool, il vecchio hatorihanzo.c, do-brk() in 2.4.22 CVE-2003-0961
  • gsh: setreuid(0,0);execl(“bash”,”/bin/bash”)
  • PTRACE/FORKPTY/km3: linux kernel lpe, kmod+ptrace, CVE-2003-0127, (https://mjt.nysv.org/scratch/ptrace_exploit/km3.c)
  • EXACTCHANGE: local-root basato su NULL-deref, per vari protocolli socket e compilato nel 2004, pubblicato già nel 2005
  • ghost:statmon/tooltalk privesc?
  • elgingamble:
  • ESTOPFORBADE local root gds_inet_server per Cobalt Linux versione 6.0, da usare con complexpuzzle
  • ENVOYTOMATO LPE per lo stack bluetooth(?)
  • ESTOPMOONLIT Linux LPE
  • EPOXYRESIN Linux LPE

AIX

  • EXCEEDSALON-AIX privesc

Altri

  • procsuid: setuid perl privesc attraverso variabili d’ambiente non sanitizzate
  • elatedmonkey: cpanel privesc (0day) che usa /usr/local/cpanel/3rdparty/mailman/. Crea mailing list: mailman config_list
  • estesfox: logwatch privesc, old-day
  • evolvingstrategy: privesc, probabilmente per Kaspersky Anti-virus (/sbin/keepup2date è roba di Kaspersky) (cos’è ey_vrupdate?)
  • eh OpenWebMail privesc
  • escrowupgrade cachefsd per solaris 2.6 2.7 (sparc)
  • ENGLANDBOGY local exploit per Xorg X11R7 1.0.1, X11R7 1.0, X11R6 6.9, Incluse le seguenti distribuzioni: MandrakeSoft Linux 10.2, Ubuntu 5.0.4, SuSE Linux 10.0, RedHat Fedora Core5, MandrakeSoft Linux 2006.0. Richiede setuid su Xorg
  • endlessdonut: Apache fastcgi privesc

 

Per ora è tutto, la lista dei file del leak di Shadow Brokers sarà aggiornata in caso di novità!