4月14日晚間�,黑客組織Shadow Brokers再次披露了一系列惡意軟件,并聲稱這些軟件工具來自美國(guó)國(guó)家安全局(NSA)��,而公開的工具可以遠(yuǎn)程攻破影響包括Windows XP、Windows 7以及大量Windows服務(wù)器系統(tǒng)在內(nèi)的全球約70%的機(jī)器�。
此次爆出的漏洞眾多,影響系統(tǒng)范圍極大�����,同時(shí)工具已公開大范圍流傳���,未來可能將對(duì)眾多企業(yè)�、高校����、政府、銀行甚至個(gè)人用戶都帶來巨大的威脅�����。然而有安全人士指出��,在分析列表時(shí)候發(fā)現(xiàn)有未公布的工具���,Shadow Brokers或?qū)⒐枷乱惠啇阂廛浖?/p>
(安全人士指出仍有未公布的工具)
起底:NSA攻擊工具涵蓋微軟等三大目錄
(解密后的工具包)
NSA軟件工具曝光后�����,其工具包在第一時(shí)間被揭秘�����,其中包含“windows”��、“swift”�、“oddjob”等三大目錄��,分別對(duì)應(yīng)不同的攻擊目標(biāo)和方式��。經(jīng)分析發(fā)現(xiàn)���,“windows”目錄包括Windows利用工具和相關(guān)攻擊代碼;“swift”目錄中是銀行攻擊的一些證據(jù);“oddjob”目錄是植入后門等相關(guān)文檔�。
(“windows”目錄下的漏洞利用工具)
“windows”目錄下包含了各種漏洞利用工具�,其中以“exploits”、“fuzzbunch”���、“specials”較為重要:在“exploits”中包含了豐富的漏洞利用工具��,可影響Windows多個(gè)平臺(tái);“fuzzbunch”是一個(gè)由python編寫����,類似 MSF的漏洞利用平臺(tái)工具;“specials”則包含 ETERNALBLUE、ETERNALCHAMPION����,均可利用SMB漏洞,攻擊開放445端口的Windows機(jī)器�,對(duì)于Windows server系統(tǒng)均有覆蓋。
(“exploits”中對(duì)Windows Server有影響的工具)
(“specials”中ETERNALBLUE的影響范圍)
在“swift”目錄中���,主要是存放一些金融信息系統(tǒng)被攻擊的相關(guān)信息�。SWIFT是國(guó)際銀行同業(yè)間的國(guó)際合作組織�����,負(fù)責(zé)國(guó)際上銀行的金融往來業(yè)務(wù)��,從當(dāng)前曝光的一些文件可以看出��,為NSA服務(wù)的“方程式組織”可能對(duì)埃及��、迪拜�����、比利時(shí)的銀行有入侵的行為����。此前�,騰訊電腦管家曾挖掘出并分析了一批重要文件���,其中就包含了攻擊SWIFT系統(tǒng)的計(jì)劃和證據(jù)。入侵SWIFT系統(tǒng)后��,NSA就具備了監(jiān)控和修改國(guó)際上銀行金融業(yè)務(wù)的能力����,監(jiān)控的數(shù)據(jù)可以用來分析恐怖分子洗錢的網(wǎng)絡(luò),但是個(gè)人的外匯業(yè)務(wù)也會(huì)暴露在NSA的監(jiān)控程序中��。
(“swift”目錄中Excel文件)
而“oddjob”目錄顯示��,某些Windows系統(tǒng)中支持植入后門代碼����,從而可對(duì)抗Avria和Norton的檢測(cè),其中工具包中還提供了一個(gè)常見反病毒引擎的檢測(cè)結(jié)論�����。
(支持植入后門代碼的Windows系統(tǒng))
本次公開的工具包存在多個(gè) Windows 漏洞的利用工具����,只要Windows服務(wù)器開了25�����、88�、139����、445、3389 等端口之一����,就有可能被黑客攻擊,其中影響尤為嚴(yán)重的是445和3389端口��。騰訊電腦管家提醒用戶�,未來一段時(shí)間,云平臺(tái)上利用這些公開的工具進(jìn)行攻擊的情況會(huì)比較多�,用戶需要提高警惕。同時(shí)��,用戶可采取臨時(shí)緩解措施:升級(jí)系統(tǒng)補(bǔ)丁���,確保補(bǔ)丁更新到最新版本;或使用防火墻�����、或者安全組配置安全策略��,屏蔽對(duì)包括445、3389在內(nèi)的系統(tǒng)端口訪問。
探究:Shadow Brokers仍掌握大量未披露NSA攻擊工具
而隨著NSA泄密事件持續(xù)發(fā)酵��,有安全人士在分析列表時(shí)候發(fā)現(xiàn)有未公布的工具,并猜測(cè)Shadow Brokers手中或仍有大量的惡意軟件��。事實(shí)上����,早在去年Shadow Brokers就攻擊了為NSA效力的“方程式組織”(Equation Group)���,獲取了大量NSA的網(wǎng)絡(luò)“武器庫”�����。后來�,Shadow Brokers在互聯(lián)網(wǎng)黑市上標(biāo)價(jià)100萬比特幣公開拍賣竊取的部分?jǐn)?shù)據(jù)文件�����。這些文件于今年4月8日被正式公開,而就在6天后���,Shadow Brokers再次披露了NSA的機(jī)密文件���,包含多個(gè)已經(jīng)驗(yàn)證的Windows高危漏洞及利用工具。
業(yè)內(nèi)人士指出����,“方程式組織”已在全球超過30個(gè)國(guó)家感染眾多受害者,其中不乏政府和外交機(jī)構(gòu)��、電信��、軍工����、金融、能源等企業(yè)和機(jī)構(gòu)�。Shadow Brokers成功入侵后,可能掌握大量信息���,可以看出本次曝光的文件僅僅是其竊取的冰山一角��,對(duì)于大量未披露的絕密中���,或隱藏著聞所未聞的驚天秘密����。
就在Shadow Brokers披露微軟相關(guān)漏洞后�����,微軟官方回應(yīng)這些漏洞且大部分漏洞已被修復(fù)�����。作為全球最大的軟件開發(fā)商�,微軟長(zhǎng)久以來一直飽受漏洞的困擾��,安全數(shù)據(jù)庫網(wǎng)站CVE Details發(fā)布的報(bào)告顯示����,按軟件供應(yīng)商來排名,2016年微軟以1325個(gè)漏洞排行第二�,而在桌面系統(tǒng)方面Windows系統(tǒng)漏洞排在總量第一,高于同類的Linux和Mac OS X系統(tǒng)���。微軟漏洞眾多����,究其原因和龐大的用戶量不無關(guān)系,因Windows系統(tǒng)易用�,受到業(yè)內(nèi)廣泛關(guān)注,用戶量龐大�,導(dǎo)致不少程序、木馬都是針對(duì)Windows系統(tǒng)��,再加上其對(duì)待安全機(jī)制稍有不足����,就使得每次出現(xiàn)漏洞都會(huì)引起巨大影響。
目前�,微軟已出臺(tái)“漏洞發(fā)現(xiàn)獎(jiǎng)勵(lì)計(jì)劃”,鼓勵(lì)專業(yè)的安全人員幫助測(cè)試并發(fā)現(xiàn)操作系統(tǒng)和軟件存在的安全隱患以及各種問題�,單個(gè)漏洞最高獎(jiǎng)勵(lì)10萬美元。
警示:網(wǎng)絡(luò)安全防護(hù)技術(shù)需要不斷創(chuàng)新
從本次事件影響來看����,在信息安全的世界中,入侵和防御是一個(gè)永恒的話題�����,互聯(lián)網(wǎng)帶來便利的同時(shí),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也在不斷的加劇���。不僅如此���,網(wǎng)絡(luò)安全威脅波及的范圍已經(jīng)從傳統(tǒng)的PC、手機(jī)��,向更多的聯(lián)網(wǎng)設(shè)備延伸�����,從普通網(wǎng)民擴(kuò)散到涉及政府���、海關(guān)����、郵政����、金融���、民航��、鐵路�、醫(yī)療、軍警等重要部門�����,以及其他網(wǎng)絡(luò)基礎(chǔ)建設(shè)��,這也就意味著未來的網(wǎng)絡(luò)安全防護(hù)技術(shù)需要不斷創(chuàng)新�。值得注意的是,在這次事件中����,各大安全廠商和微軟均展示出快速響應(yīng)、優(yōu)先解決的機(jī)制��。
騰訊電腦管家在事件爆發(fā)之后���,第一時(shí)間進(jìn)行了預(yù)警�����,同時(shí)給出了對(duì)抗這一系列攻擊的防御手段��,并密切監(jiān)測(cè)和響應(yīng)此次危機(jī)�。目前騰訊電腦管家已可修復(fù)該漏洞,并將修復(fù)包推送給用戶��。未來���,騰訊電腦管家將繼續(xù)監(jiān)測(cè)相關(guān)信息�,并在第一時(shí)間向用戶反饋解決方案����。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議���,請(qǐng)謹(jǐn)慎對(duì)待���。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)����。
京公網(wǎng)安備 11010502041587號(hào)