NSA軟件工具曝光或仍有重大資料未公布

　　4月14日晚間，黑客組織Shadow Brokers再次披露了一系列惡意軟件，并聲稱這些軟件工具來(lái)自美國(guó)國(guó)家安全局(NSA)，而公開的工具可以遠(yuǎn)程攻破影響包括Windows XP、Windows 7以及大量Windows服務(wù)器系統(tǒng)在內(nèi)的全球約70%的機(jī)器。

　　此次爆出的漏洞眾多，影響系統(tǒng)范圍極大，同時(shí)工具已公開大范圍流傳，未來(lái)可能將對(duì)眾多企業(yè)、高校、政府、銀行甚至個(gè)人用戶都帶來(lái)巨大的威脅。然而有安全人士指出，在分析列表時(shí)候發(fā)現(xiàn)有未公布的工具，Shadow Brokers或?qū)⒐�布下一輪惡意軟件�?/p>

　　(安全人士指出仍有未公布的工具)

　　起底：NSA攻擊工具涵蓋微軟等三大目錄

　　(解密后的工具包)

　　NSA軟件工具曝光后，其工具包在第一時(shí)間被揭秘，其中包含“windows”、“swift”、“oddjob”等三大目錄，分別對(duì)應(yīng)不同的攻擊目標(biāo)和方式。經(jīng)分析發(fā)現(xiàn)，“windows”目錄包括Windows利用工具和相關(guān)攻擊代碼;“swift”目錄中是銀行攻擊的一些證據(jù);“oddjob”目錄是植入后門等相關(guān)文檔。

　　(“windows”目錄下的漏洞利用工具)

　　“windows”目錄下包含了各種漏洞利用工具，其中以“exploits”、“fuzzbunch”、“specials”較為重要：在“exploits”中包含了豐富的漏洞利用工具，可影響Windows多個(gè)平臺(tái);“fuzzbunch”是一個(gè)由python編寫，類似 MSF的漏洞利用平臺(tái)工具;“specials”則包含 ETERNALBLUE、ETERNALCHAMPION，均可利用SMB漏洞，攻擊開放445端口的Windows機(jī)器，對(duì)于Windows server系統(tǒng)均有覆蓋。

　　(“exploits”中對(duì)Windows Server有影響的工具)

　　(“specials”中ETERNALBLUE的影響范圍)

　　在“swift”目錄中，主要是存放一些金融信息系統(tǒng)被攻擊的相關(guān)信息。SWIFT是國(guó)際銀行同業(yè)間的國(guó)際合作組織，負(fù)責(zé)國(guó)際上銀行的金融往來(lái)業(yè)務(wù)，從當(dāng)前曝光的一些文件可以看出，為NSA服務(wù)的“方程式組織”可能對(duì)埃及、迪拜、比利時(shí)的銀行有入侵的行為。此前，騰訊電腦管家曾挖掘出并分析了一批重要文件，其中就包含了攻擊SWIFT系統(tǒng)的計(jì)劃和證據(jù)。入侵SWIFT系統(tǒng)后，NSA就具備了監(jiān)控和修改國(guó)際上銀行金融業(yè)務(wù)的能力，監(jiān)控的數(shù)據(jù)可以用來(lái)分析恐怖分子洗錢的網(wǎng)絡(luò)，但是個(gè)人的外匯業(yè)務(wù)也會(huì)暴露在NSA的監(jiān)控程序中。

　　(“swift”目錄中Excel文件)

　　而“oddjob”目錄顯示，某些Windows系統(tǒng)中支持植入后門代碼，從而可對(duì)抗Avria和Norton的檢測(cè)，其中工具包中還提供了一個(gè)常見反病毒引擎的檢測(cè)結(jié)論。

　　(支持植入后門代碼的Windows系統(tǒng))

　　本次公開的工具包存在多個(gè) Windows 漏洞的利用工具，只要Windows服務(wù)器開了25、88、139、445、3389 等端口之一，就有可能被黑客攻擊，其中影響尤為嚴(yán)重的是445和3389端口。騰訊電腦管家提醒用戶，未來(lái)一段時(shí)間，云平臺(tái)上利用這些公開的工具進(jìn)行攻擊的情況會(huì)比較多，用戶需要提高警惕。同時(shí)，用戶可采取臨時(shí)緩解措施：升級(jí)系統(tǒng)補(bǔ)丁，確保補(bǔ)丁更新到最新版本;或使用防火墻、或者安全組配置安全策略，屏蔽對(duì)包括445、3389在內(nèi)的系統(tǒng)端口訪問(wèn)。

　　探究：Shadow Brokers仍掌握大量未披露NSA攻擊工具

　　而隨著NSA泄密事件持續(xù)發(fā)酵，有安全人士在分析列表時(shí)候發(fā)現(xiàn)有未公布的工具，并猜測(cè)Shadow Brokers手中或仍有大量的惡意軟件。事實(shí)上，早在去年Shadow Brokers就攻擊了為NSA效力的“方程式組織”(Equation Group)，獲取了大量NSA的網(wǎng)絡(luò)“武器庫(kù)”。后來(lái)，Shadow Brokers在互聯(lián)網(wǎng)黑市上標(biāo)價(jià)100萬(wàn)比特幣公開拍賣竊取的部分?jǐn)?shù)據(jù)文件。這些文件于今年4月8日被正式公開，而就在6天后，Shadow Brokers再次披露了NSA的機(jī)密文件，包含多個(gè)已經(jīng)驗(yàn)證的Windows高危漏洞及利用工具。

　　業(yè)內(nèi)人士指出，“方程式組織”已在全球超過(guò)30個(gè)國(guó)家感染眾多受害者，其中不乏政府和外交機(jī)構(gòu)、電信、軍工、金融、能源等企業(yè)和機(jī)構(gòu)。Shadow Brokers成功入侵后，可能掌握大量信息，可以看出本次曝光的文件僅僅是其竊取的冰山一角，對(duì)于大量未披露的絕密中，或隱藏著聞所未聞的驚天秘密。

　　就在Shadow Brokers披露微軟相關(guān)漏洞后，微軟官方回應(yīng)這些漏洞且大部分漏洞已被修復(fù)。作為全球最大的軟件開發(fā)商，微軟長(zhǎng)久以來(lái)一直飽受漏洞的困擾，安全數(shù)據(jù)庫(kù)網(wǎng)站CVE Details發(fā)布的報(bào)告顯示，按軟件供應(yīng)商來(lái)排名，2016年微軟以1325個(gè)漏洞排行第二，而在桌面系統(tǒng)方面Windows系統(tǒng)漏洞排在總量第一，高于同類的Linux和Mac OS X系統(tǒng)。微軟漏洞眾多，究其原因和龐大的用戶量不無(wú)關(guān)系，因Windows系統(tǒng)易用，受到業(yè)內(nèi)廣泛關(guān)注，用戶量龐大，導(dǎo)致不少程序、木馬都是針對(duì)Windows系統(tǒng)，再加上其對(duì)待安全機(jī)制稍有不足，就使得每次出現(xiàn)漏洞都會(huì)引起巨大影響。

　　目前，微軟已出臺(tái)“漏洞發(fā)現(xiàn)獎(jiǎng)勵(lì)計(jì)劃”，鼓勵(lì)專業(yè)的安全人員幫助測(cè)試并發(fā)現(xiàn)操作系統(tǒng)和軟件存在的安全隱患以及各種問(wèn)題，單個(gè)漏洞最高獎(jiǎng)勵(lì)10萬(wàn)美元。

　　警示：網(wǎng)絡(luò)安全防護(hù)技術(shù)需要不斷創(chuàng)新

　　從本次事件影響來(lái)看，在信息安全的世界中，入侵和防御是一個(gè)永恒的話題，互聯(lián)網(wǎng)帶來(lái)便利的同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也在不斷的加劇。不僅如此，網(wǎng)絡(luò)安全威脅波及的范圍已經(jīng)從傳統(tǒng)的PC、手機(jī)，向更多的聯(lián)網(wǎng)設(shè)備延伸，從普通網(wǎng)民擴(kuò)散到涉及政府、海關(guān)、郵政、金融、民航、鐵路、醫(yī)療、軍警等重要部門，以及其他網(wǎng)絡(luò)基礎(chǔ)建設(shè)，這也就意味著未來(lái)的網(wǎng)絡(luò)安全防護(hù)技術(shù)需要不斷創(chuàng)新。值得注意的是，在這次事件中，各大安全廠商和微軟均展示出快速響應(yīng)、優(yōu)先解決的機(jī)制。

　　騰訊電腦管家在事件爆發(fā)之后，第一時(shí)間進(jìn)行了預(yù)警，同時(shí)給出了對(duì)抗這一系列攻擊的防御手段，并密切監(jiān)測(cè)和響應(yīng)此次危機(jī)。目前騰訊電腦管家已可修復(fù)該漏洞，并將修復(fù)包推送給用戶。未來(lái)，騰訊電腦管家將繼續(xù)監(jiān)測(cè)相關(guān)信息，并在第一時(shí)間向用戶反饋解決方案。