4月14日晚間,黑客組織Shadow Brokers再次披露了一系列惡意軟件,并聲稱這些軟件工具來自美國國家安全局(NSA),而公開的工具可以遠程攻破影響包括Windows XP、Windows 7以及大量Windows服務器系統在內的全球約70%的機器。
此次爆出的漏洞眾多,影響系統范圍極大,同時工具已公開大范圍流傳,未來可能將對眾多企業、高校、政府、銀行甚至個人用戶都帶來巨大的威脅。然而有安全人士指出,在分析列表時候發現有未公布的工具,Shadow Brokers或將公布下一輪惡意軟件。
(安全人士指出仍有未公布的工具)
起底:NSA攻擊工具涵蓋微軟等三大目錄
(解密后的工具包)
NSA軟件工具曝光后,其工具包在第一時間被揭秘,其中包含“windows”、“swift”、“oddjob”等三大目錄,分別對應不同的攻擊目標和方式。經分析發現,“windows”目錄包括Windows利用工具和相關攻擊代碼;“swift”目錄中是銀行攻擊的一些證據;“oddjob”目錄是植入后門等相關文檔。
(“windows”目錄下的漏洞利用工具)
“windows”目錄下包含了各種漏洞利用工具,其中以“exploits”、“fuzzbunch”、“specials”較為重要:在“exploits”中包含了豐富的漏洞利用工具,可影響Windows多個平臺;“fuzzbunch”是一個由python編寫,類似 MSF的漏洞利用平臺工具;“specials”則包含 ETERNALBLUE、ETERNALCHAMPION,均可利用SMB漏洞,攻擊開放445端口的Windows機器,對于Windows server系統均有覆蓋。
(“exploits”中對Windows Server有影響的工具)
(“specials”中ETERNALBLUE的影響范圍)
在“swift”目錄中,主要是存放一些金融信息系統被攻擊的相關信息。SWIFT是國際銀行同業間的國際合作組織,負責國際上銀行的金融往來業務,從當前曝光的一些文件可以看出,為NSA服務的“方程式組織”可能對埃及、迪拜、比利時的銀行有入侵的行為。此前,騰訊電腦管家曾挖掘出并分析了一批重要文件,其中就包含了攻擊SWIFT系統的計劃和證據。入侵SWIFT系統后,NSA就具備了監控和修改國際上銀行金融業務的能力,監控的數據可以用來分析恐怖分子洗錢的網絡,但是個人的外匯業務也會暴露在NSA的監控程序中。
(“swift”目錄中Excel文件)
而“oddjob”目錄顯示,某些Windows系統中支持植入后門代碼,從而可對抗Avria和Norton的檢測,其中工具包中還提供了一個常見反病毒引擎的檢測結論。
(支持植入后門代碼的Windows系統)
本次公開的工具包存在多個 Windows 漏洞的利用工具,只要Windows服務器開了25、88、139、445、3389 等端口之一,就有可能被黑客攻擊,其中影響尤為嚴重的是445和3389端口。騰訊電腦管家提醒用戶,未來一段時間,云平臺上利用這些公開的工具進行攻擊的情況會比較多,用戶需要提高警惕。同時,用戶可采取臨時緩解措施:升級系統補丁,確保補丁更新到最新版本;或使用防火墻、或者安全組配置安全策略,屏蔽對包括445、3389在內的系統端口訪問。
探究:Shadow Brokers仍掌握大量未披露NSA攻擊工具
而隨著NSA泄密事件持續發酵,有安全人士在分析列表時候發現有未公布的工具,并猜測Shadow Brokers手中或仍有大量的惡意軟件。事實上,早在去年Shadow Brokers就攻擊了為NSA效力的“方程式組織”(Equation Group),獲取了大量NSA的網絡“武器庫”。后來,Shadow Brokers在互聯網黑市上標價100萬比特幣公開拍賣竊取的部分數據文件。這些文件于今年4月8日被正式公開,而就在6天后,Shadow Brokers再次披露了NSA的機密文件,包含多個已經驗證的Windows高危漏洞及利用工具。
業內人士指出,“方程式組織”已在全球超過30個國家感染眾多受害者,其中不乏政府和外交機構、電信、軍工、金融、能源等企業和機構。Shadow Brokers成功入侵后,可能掌握大量信息,可以看出本次曝光的文件僅僅是其竊取的冰山一角,對于大量未披露的絕密中,或隱藏著聞所未聞的驚天秘密。
就在Shadow Brokers披露微軟相關漏洞后,微軟官方回應這些漏洞且大部分漏洞已被修復。作為全球最大的軟件開發商,微軟長久以來一直飽受漏洞的困擾,安全數據庫網站CVE Details發布的報告顯示,按軟件供應商來排名,2016年微軟以1325個漏洞排行第二,而在桌面系統方面Windows系統漏洞排在總量第一,高于同類的Linux和Mac OS X系統。微軟漏洞眾多,究其原因和龐大的用戶量不無關系,因Windows系統易用,受到業內廣泛關注,用戶量龐大,導致不少程序、木馬都是針對Windows系統,再加上其對待安全機制稍有不足,就使得每次出現漏洞都會引起巨大影響。
目前,微軟已出臺“漏洞發現獎勵計劃”,鼓勵專業的安全人員幫助測試并發現操作系統和軟件存在的安全隱患以及各種問題,單個漏洞最高獎勵10萬美元。
警示:網絡安全防護技術需要不斷創新
從本次事件影響來看,在信息安全的世界中,入侵和防御是一個永恒的話題,互聯網帶來便利的同時,網絡安全風險也在不斷的加劇。不僅如此,網絡安全威脅波及的范圍已經從傳統的PC、手機,向更多的聯網設備延伸,從普通網民擴散到涉及政府、海關、郵政、金融、民航、鐵路、醫療、軍警等重要部門,以及其他網絡基礎建設,這也就意味著未來的網絡安全防護技術需要不斷創新。值得注意的是,在這次事件中,各大安全廠商和微軟均展示出快速響應、優先解決的機制。
騰訊電腦管家在事件爆發之后,第一時間進行了預警,同時給出了對抗這一系列攻擊的防御手段,并密切監測和響應此次危機。目前騰訊電腦管家已可修復該漏洞,并將修復包推送給用戶。未來,騰訊電腦管家將繼續監測相關信息,并在第一時間向用戶反饋解決方案。
(新聞稿 2017-04-20)