黑客公布無(wú)數(shù)種攻擊windows的方法�����,對(duì)我們有什么影響
作者:網(wǎng)站建設(shè)出處:學(xué)眾科技發(fā)布時(shí)間:2018年04月17日點(diǎn)擊數(shù):2156
4月14日晚上�����,網(wǎng)絡(luò)安全研究員余弦在23點(diǎn)16分發(fā)了一條朋友圈:
方程式組織又被 Shadow Brokers 泄了一堆工具���,都過(guò)去六個(gè)小時(shí)了,沒(méi)人關(guān)注了呀�����。
這一晚靜悄悄地過(guò)去了���,4月15日(周六)一大早,小編()發(fā)現(xiàn)���,網(wǎng)絡(luò)安全圈簡(jiǎn)直要炸鍋了�����!
原來(lái)���,這事影響真的挺大的。
事情是這樣的��,“The ShadowBrokers”是一個(gè)奇妙 組織����,該組織聲稱(chēng)他們黑進(jìn)了方程式黑客組織(Equation Group)–一個(gè)據(jù)稱(chēng)與美國(guó)情報(bào)機(jī)構(gòu)國(guó)家安全局(NSA)有關(guān)系的網(wǎng)絡(luò)攻擊組織,并下載了他們大量攻擊工具��。
“The ShadowBrokers”和 Equation Group 是老冤家了����,以前就黑進(jìn)去過(guò) Equation Group。
上周周六����,“The ShadowBrokers” 就泄露了大量 NSA 的文件����,其中深度披露了這家精英間諜機(jī)構(gòu)的黑客攻擊方法,而且曝光了一批漏洞�����,這批漏洞主要針對(duì)Sun OS、Solaris �。
在 Medium 上的一篇長(zhǎng)博文中,“The ShadowBrokers” 分享了一個(gè)可以打開(kāi)所有加密文件夾的密碼(此前該組織試圖在互聯(lián)網(wǎng)上拍賣(mài))��。該組織表示���,此舉是為了表達(dá)對(duì)特朗普政府上任以來(lái)的不滿(mǎn),其中包括本周早些時(shí)候?qū)⒗麃喛哲娀匕l(fā)動(dòng)的導(dǎo)彈突擊 �。
沒(méi)想到�,4月14日(本周周五),它又泄露了一份機(jī)密文檔�,其中包含了多個(gè) Windows 遠(yuǎn)程漏洞利用工具,可以覆蓋全球 70% 的 Windows 服務(wù)器����。
“Monster@長(zhǎng)亭科技”撰文稱(chēng):
“一夜之間所有Windows服務(wù)器幾乎全線(xiàn)暴露在危險(xiǎn)之中,任何人都可以直接下載并遠(yuǎn)程攻擊利用�,考慮到國(guó)內(nèi)不少高校、政府��、國(guó)企甚至還有一些互聯(lián)網(wǎng)公司還在使用 Windows 服務(wù)器����,這次事件影響力堪稱(chēng)網(wǎng)絡(luò)大地震����。
目前已知受影響的 Windows 版本包括但不限于:Windows NT����,Windows 2000(沒(méi)錯(cuò)�,古董也支持)、Windows XP�、Windows 2003���、Windows Vista���、Windows 7、Windows 8�,Windows 2008��、Windows 2008 R2��、Windows Server 2012 SP0��?����!?
想必看到上述資料時(shí)你已經(jīng)一臉懵b,為此�����,我們特地采訪(fǎng)了360企業(yè)安全的360天眼實(shí)驗(yàn)室安全專(zhuān)家汪列軍����,為你解析這次事件��。
[ 4 月 14 日晚��,“Shadow Brokers” 終于忍不住了�,在推特上放出了他們當(dāng)時(shí)保留的部分文件,解壓密碼是 “Reeeeeeeeeeeeeee”�。來(lái)源:bleepingcomputer]
小編:為什么高校、政府��、國(guó)企甚至還有一些互聯(lián)網(wǎng)公司還在使用 Windows 服務(wù)器�����? Windows 服務(wù)器不是收費(fèi)嗎��?為什么不用免費(fèi)的 Linux 服務(wù)器���?
汪列軍:誰(shuí)說(shuō)是收費(fèi)的�����?有些組織根本用的就是盜版的 Windows 服務(wù)器���。尤其����,這次受到影響最大的是Windows 2003 的服務(wù)器���,從微軟的相關(guān)協(xié)議里可以知道,現(xiàn)在微軟基本已經(jīng)對(duì)Windows 2003 停止提供服務(wù)了����,也就是說(shuō),這次曝出的漏洞以及漏洞利用工具����,如果微軟不出補(bǔ)丁�����,那么對(duì)Windows 2003 這種老版本的服務(wù)器影響很大�����。但是�,放出的個(gè)別工具可以攻擊Windows 10���。
小編:這次放出這么多 Windows 服務(wù)器的漏洞��,和個(gè)人電腦用戶(hù)有什么關(guān)系�?主要影響的是誰(shuí)����?
汪列軍:對(duì)個(gè)人用戶(hù)影響不大,主要影響的是擁有服務(wù)器的組織以及安全治理 員���。但是,個(gè)人用戶(hù)的電腦如果打開(kāi)了某些針對(duì)服務(wù)端的端口����,也會(huì)受到影響��,一般情況下這些端口是默認(rèn)關(guān)閉的��。
但是�����,針對(duì) 使用Windows服務(wù)器的相關(guān)組織�����,網(wǎng)絡(luò)安全維護(hù)人員要注意:
要關(guān)閉 137�����、139、445端口�;對(duì)于 3389 遠(yuǎn)程登錄,如果不想或者不能關(guān)閉的話(huà)���,至少要關(guān)閉智能卡登錄功能�����,需要設(shè)置訪(fǎng)問(wèn)過(guò)濾�,不能隨便放在網(wǎng)上誰(shuí)都能用����;如果有邊界防護(hù)設(shè)備,網(wǎng)絡(luò)安全治理 員要把受影響的端口禁掉�;安全人員必須趕緊排查自家的 Windows服務(wù)器,了解是否已經(jīng)被入侵�。
最重要的是,這次放出的不是針對(duì) Windows服務(wù)器的單個(gè)漏洞利用工具����,而是非常完善的一個(gè)漏洞利用框架和系統(tǒng)性的漏洞利用工具套裝�,毫不夸張地說(shuō),對(duì)使用者的技術(shù)要求比較低���,幾乎都能下載這套工具發(fā)動(dòng)攻擊�,而受到攻擊的 Windows服務(wù)器幾乎就成了攻擊者的“肉雞”����,上面所儲(chǔ)存的信息、服務(wù)器承載的各項(xiàng)功能權(quán)限�、計(jì)算能力等都能被攻擊者獵取 。
很可怕的是��,你可以看到�����,這次是周五放出的漏洞��,周末黑產(chǎn)人員是不會(huì)休息的���,但很多安全公司周末是放假的���,十六七個(gè)小時(shí)過(guò)去了,自家服務(wù)器是不是已經(jīng)被利用了很難說(shuō)����。不過(guò)����,需要指出的一點(diǎn)是���,針對(duì)銀行系統(tǒng)儲(chǔ)戶(hù)信息是否可能泄露的問(wèn)題����,我了解到的是——得看 Windows服務(wù)器上是不是有這種數(shù)據(jù)庫(kù),這些重要數(shù)據(jù)一般都在 Unix 系統(tǒng)上����,或者在 IBM 的小型機(jī)上。
另外�,360公司態(tài)勢(shì)感知方面的專(zhuān)家張翀斌對(duì)小編表示,銀行的核心系統(tǒng)一般確實(shí)不采納 Windows �,但辦公系統(tǒng)采納 Windows 系統(tǒng)。
小編還了解到�,這次“The ShadowBrokers” 分享的文件有三個(gè)目錄,分別為“Windows”����、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具��。
其中��,讓汪列軍覺(jué)得比較有意思的工具有:ESTEEMAUDIT �,它是 RDP 服務(wù)的遠(yuǎn)程漏洞利用工具�,可以攻擊開(kāi)放了3389 端口的 Windows 機(jī)器;ERRATICGOPHER ���、ETERNALBLUE ���、ETERNALSYNERGY ����、ETERNALCHAMPION ��、EDUCATEDSCHOLAR���、 EMERALDTHREAD 等是 SMB 漏洞利用程序�����,可以攻擊開(kāi)放了 445 端口的 Windows 機(jī)器����,不過(guò),關(guān)于 SMB 漏洞�,3月份廠商已經(jīng)公布了相關(guān)補(bǔ)丁�����。
汪列軍將這些工具稱(chēng)為“以前只在圈子里傳說(shuō)的工具,沒(méi)想到真的存在”����,包括他在內(nèi)的一些安全圈人士認(rèn)為,這次泄漏的攻擊程序?qū)τ诜?wù)器系統(tǒng)來(lái)說(shuō)是最完整����,也是影響最大的一次泄漏事件,甚至�,有4、5個(gè)零日漏洞(目前已經(jīng)有補(bǔ)丁公布)都被放出��。他還指出�,Windows 服務(wù)器是一個(gè)重災(zāi)區(qū),尤其對(duì)于中國(guó)����,很多老版本的Windows 服務(wù)器還在運(yùn)行。
“Swift”則包含了一些攻擊銀行 Swift 系統(tǒng)的活動(dòng)痕跡���,“OddJob”則是是無(wú)法被殺毒軟件檢測(cè)的 Rootkit 利用工具���,據(jù)汪列軍介紹,這是一個(gè)在攻破 Windows 服務(wù)器后安裝后門(mén)����,攻擊者打算長(zhǎng)期“埋伏”的工具。
小編還收到了 360企業(yè)安全專(zhuān)家江愛(ài)軍對(duì)正在使用 Windows 服務(wù)器的用戶(hù)的一份建議:
1. 盡快聯(lián)系安全服務(wù)廠商制定解決方案�;
2. 停掉不必要的有漏洞的組件 ;
3. 對(duì)于必須開(kāi)啟的有漏洞的系統(tǒng)組件:a) 微軟已經(jīng)停止更新的系統(tǒng)推舉 升級(jí)到無(wú)漏洞的系統(tǒng)版本�����,b) 微軟還在支持的系統(tǒng)����,等微軟的補(bǔ)丁。
目前對(duì)Windows 2003以上的操作系統(tǒng)���,打上最近的補(bǔ)丁����,都不受這波攻擊工具的影響�����,建議用戶(hù)打上最新的補(bǔ)?����。∕S17-010)����。
在我們感嘆 NSA 技術(shù)能力確實(shí)很強(qiáng)時(shí),一個(gè)板上釘釘?shù)氖聦?shí)是����,網(wǎng)絡(luò)安全維護(hù)人員本周末要加班了!
豫公網(wǎng)安備41018402000614號(hào)