十几个小时前，Shadow Brokers 把从 NSA 那盗来的方程式组织相关文件剩下的 eqgrp-auction-file.tar.xz.gpg 文件密码公布了：

CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN

注：去年7月份，Shadow Brokers 公开了两大文件：

eqgrp-free-file.tar.xz.gpg

eqgrp-auction-file.tar.xz.gpg

第一个 free 的，其中发现了不少针对主流防火墙及相关设备的 0day exploit，已经足够说明其价值之高。当时第二个文件是拿来悬赏的，需要 100 万枚比特币，几乎无人问津，拖拖拉拉到现在，全部公布了，并且发了篇文章给美帝总统川普大家感兴趣可以看看：

883K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0k6h3c8A6N6h3#2Q4x3X3g2U0L8$3#2Q4x3V1k6Q4y4o6m8K6K9r3q4V1L8%4N6T1M7X3!0C8k6i4u0K6M7#2)9J5c8X3c8G2L8Y4c8Q4x3X3c8X3L8%4u0Y4k6i4c8Q4x3X3c8&6L8%4g2J5i4K6u0V1j5X3q4K6k6g2)9J5k6o6R3$3y4$3b7K6x3o6c8S2z5e0c8T1x3b7`.`.

这个注的背景信息很大，更多的，大家自己回顾历史。

我们实测，解成功。已经有人（x0rz）在 Twitter 进行“直播”分析了，可以看这：

92aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1N6$3W2@1N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3P5o6m8J5P5R3`.`.

并且在 GitHub 上释放了他解开的相关文件：

4faK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6^5x3s2u0*7i4K6u0r3c8g2q4s2f1W2l9`.

其中 Linux 是解开的最原始文件目录，archive_files 则是其中相关的压缩包解压。

x0rz 的 Twitter 上可以看到如下初步分析：

1、调侃 Shadow Brokers 是俄罗斯黑客

2、重磅好货：Solaris Remote Root Exploit，支持如下（注：这个 Exploit 可能会影响华为相关设备，且有入侵中国相关运营商的记录信息）：

3、TAO's TOAST framework 可以清除 Unix wtmp 日志，入侵无痕了（注：TAO 是 NSA 一支牛逼哄哄黑黑皆知的入侵团队）：

4、记录显示 NSA 黑掉过巴基斯坦最大运营商 Mobilink 的 GSM 网络：

5、方程式这个心机婊，有个工具 electricslide.pl 发出的 HTTP 请求嫁祸给中国：

6、TAO 组织喜欢用 /tmp/.scsi 来做临时文件隐藏。

7、脚本方面，方程式组织更喜欢 Perl，其次是 Shell，然后是 Python：

8、方程式组织用到的一些密码：

9、方程式组织其中的一个私钥：

10、280 多个受威胁的 IP：

a1cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2j5$3!0E0i4K6u0r3k6r3g2F1L8X3W2K6K9%4g2H3k6h3y4Q4x3V1j5I4x3K6u0S2k6r3j5#2j5U0g2X3y4o6t1@1x3X3t1H3y4h3g2X3y4K6k6W2y4X3x3@1x3r3t1I4j5X3j5K6k6b7`.`.

信息量很大。

以上这些基本都是 0xrz 的分析，我们这仅作了整理汇总。

建议：更多内容可以看解出来后 Linux/doc 下的各种文案。

注：简单的 PK 关系：Shadow Brokers vs NSA(方程式 & TAO)。
注：NSA：美国国家安全局。

不多说了，发车。

题图：来自 The Hacker News

来源：微信公众号「Lazy-Thought」

[培训]科锐逆向工程师培训第53期2025年7月8日开班！