本文作者:李勤,雷鋒網網絡安全專欄作者。
4月14日晚上,網絡安全研究員餘弦在23點16分發了一條朋友圈:
方程式組織又被 shadow brokers 洩了一堆工具,都過去六個小時了,沒人關注了呀。
這一晚靜悄悄地過去了,4月15日(周六)一大早,雷鋒網發現,網絡安全圈簡直要炸鍋了!
原來,這事影響真的挺大的。
事情是這樣的,“the shadowbrokers”是一個神秘組織,該組織聲稱他們黑進了方程式黑客組織(equation group)–一個據稱與美國情報機構國家安全局(nsa)有關系的網絡攻擊組織,并下載下傳了他們大量攻擊工具。
“the shadowbrokers”和 equation group 是老冤家了,以前就黑進去過 equation group。
上周周六,“the shadowbrokers” 就洩露了大量 nsa 的檔案,其中深度披露了這家精英間諜機構的黑客攻擊方法,而且曝光了一批漏洞,這批漏洞主要針對sun os、solaris 。
在 medium 上的一篇長博文中,“the shadowbrokers” 分享了一個可以打開所有加密檔案夾的密碼(此前該組織試圖在網際網路上拍賣)。該組織表示,此舉是為了表達對特朗普政府上任以來的不滿,其中包括本周早些時候對叙利亞空軍基地發動的飛彈襲擊。
沒想到,4月14日(本周周五),它又洩露了一份機密文檔,其中包含了多個 windows 遠端漏洞利用工具,可以覆寫全球 70% 的 windows 伺服器。
“monster@長亭科技”撰文稱:
“一夜之間所有windows伺服器幾乎全線暴露在危險之中,任何人都可以直接下載下傳并遠端攻擊利用,考慮到國内不少高校、政府、國企甚至還有一些網際網路公司還在使用 windows 伺服器,這次事件影響力堪稱網絡大地震。 目前已知受影響的 windows 版本包括但不限于:windows nt,windows 2000(沒錯,古董也支援)、windows xp、windows 2003、windows vista、windows 7、windows 8,windows 2008、windows 2008 r2、windows server 2012 sp0。”
想必看到上述資料時你已經一臉懵b,為此,我們特地采訪了360企業安全的360天眼實驗室安全專家汪列軍,為你解析這次事件。
[ 4 月 14 日晚,“shadow brokers” 終于忍不住了,在推特上放出了他們當時保留的部分檔案,解壓密碼是 “reeeeeeeeeeeeeee”。來源:bleepingcomputer]
汪列軍:誰說是收費的?有些組織根本用的就是盜版的 windows 伺服器。尤其,這次受到影響最大的是windows 2003 的伺服器,從微軟的相關協定裡可以知道,現在微軟基本已經對windows 2003 停止提供服務了,也就是說,這次曝出的漏洞以及漏洞利用工具,如果微軟不出更新檔,那麼對windows 2003 這種老版本的伺服器影響很大。但是,放出的個别工具可以攻擊windows 10。
汪列軍:對個人使用者影響有部分影響,主要影響的是擁有伺服器的組織以及安全管理者。比如,個人使用者的電腦如果打開了某些針對服務端的端口,也會受到影響,而且,xp和win7 的445端口開放而且預設可通路,個人使用者需要及時打更新檔。win10也一樣,需要關閉server服務,或配置防火牆,如果不會上述操作,就要及時打更新檔。
同時,對内網的個人使用者也會産生很大影響。
針對使用windows伺服器的相關組織,網絡安全維護人員要注意:
要關閉 137、139、445端口;對于 3389 遠端登入,如果不想或者不能關閉的話,至少要關閉智能卡登入功能,需要設定通路過濾,不能随便放在網上誰都能用;如果有邊界防護裝置,網絡安全管理者要把受影響的端口禁掉;安全人員必須趕緊排查自家的 windows伺服器,了解是否已經被入侵。
最重要的是,這次放出的不是針對 windows伺服器的單個漏洞利用工具,而是非常完善的一個漏洞利用架構和系統性的漏洞利用工具套裝,毫不誇張地說,對使用者的技術要求比較低,幾乎都能下載下傳這套工具發動攻擊,而受到攻擊的 windows伺服器幾乎就成了攻擊者的“殭屍電腦”,上面所儲存的資訊、伺服器承載的各項功能權限、計算能力等都能被攻擊者擷取。
很可怕的是,你可以看到,這次是周五放出的漏洞,周末黑産人員是不會休息的,但很多安全公司周末是放假的,十六七個小時過去了,自家伺服器是不是已經被利用了很難說。不過,需要指出的一點是,針對銀行系統儲戶資訊是否可能洩露的問題,我了解到的是——得看 windows伺服器上是不是有這種資料庫,這些重要資料一般都在 unix 系統上,或者在 ibm 的小型機上。
另外,360公司态勢感覺方面的專家張翀斌對雷鋒網表示,銀行的核心系統一般确實不采用 windows ,但辦公系統采用 windows 系統。
雷鋒網(公衆号:雷鋒網)還了解到,這次“the shadowbrokers” 分享的檔案有三個目錄,分别為“windows”、“swift” 和 “oddjob”,包含一堆令人震撼的黑客工具。
其中,讓汪列軍覺得比較有意思的工具有:esteemaudit ,它是 rdp 服務的遠端漏洞利用工具,可以攻擊開放了3389 端口的 windows 機器;erraticgopher 、eternalblue 、eternalsynergy 、eternalchampion 、educatedscholar、 emeraldthread 等是 smb 漏洞利用程式,可以攻擊開放了 445 端口的 windows 機器,不過,關于 smb 漏洞,3月份廠商已經釋出了相關更新檔。
汪列軍将這些工具稱為“以前隻在圈子裡傳說的工具,沒想到真的存在”,包括他在内的一些安全圈人士認為,這次洩漏的攻擊程式對于伺服器系統來說是最完整,也是影響最大的一次洩漏事件,甚至,有4、5個零日漏洞(目前已經有更新檔釋出)都被放出。他還指出,windows 伺服器是一個重災區,尤其對于中國,很多老版本的windows 伺服器還在運作。
“swift”則包含了一些攻擊銀行 swift 系統的活動痕迹,“oddjob”則是是無法被防毒軟體檢測的 rootkit 利用工具,據汪列軍介紹,這是一個在攻破 windows 伺服器後安裝後門,攻擊者打算長期“潛伏”的工具。
雷鋒網還收到了 360企業安全專家江愛軍對正在使用 windows 伺服器的使用者的一份建議:
1. 盡快聯系安全服務廠商制定解決方案; 2. 停掉不必要的有漏洞的元件 ; 3. 對于必須開啟的有漏洞的系統元件:a) 微軟已經停止更新的系統推薦更新到無漏洞的系統版本,b) 微軟還在支援的系統,等微軟的更新檔。 目前對windows 2003以上的作業系統,打上最近的更新檔,都不受這波攻擊工具的影響,建議使用者打上最新的更新檔(ms17-010)。
在截稿前,雷鋒網發現,微軟 src 剛釋出了一則風險評估公告,該公告稱,目前“the shadowbrokers”釋出的部分漏洞已經有更新檔放出。
微軟的建議措施截圖如下:
綠盟科技的專家徐特向雷鋒網發來提醒資訊:ms17-010 補的三個smb漏洞還是需要大家多關注,這個更新檔上個月才釋出,估計大量伺服器還沒有更新。
在我們感歎 nsa 技術能力确實很強時,一個闆上釘釘的事實是,網絡安全維護人員本周末要加班了!
本文作者:李勤,雷鋒網網絡安全專欄作者。