资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

黑客公布无数种攻击 Windows 的方法,对我们有什么影响

作者:李勤
2017/04/15 16:50

本文作者:李勤,雷锋网网络安全专栏作者。

4月14日晚上,网络安全研究员余弦在23点16分发了一条朋友圈:

方程式组织又被 Shadow Brokers 泄了一堆工具,都过去六个小时了,没人关注了呀。

这一晚静悄悄地过去了,4月15日(周六)一大早,雷锋网发现,网络安全圈简直要炸锅了!

黑客公布无数种攻击 Windows 的方法,对我们有什么影响

原来,这事影响真的挺大的。

事情是这样的,“The ShadowBrokers”是一个神秘组织,该组织声称他们黑进了方程式黑客组织(Equation Group)–一个据称与美国情报机构国家安全局(NSA)有关系的网络攻击组织,并下载了他们大量攻击工具。

“The ShadowBrokers”和 Equation Group 是老冤家了,以前就黑进去过 Equation Group。

上周周六,“The ShadowBrokers” 就泄露了大量 NSA 的文件,其中深度披露了这家精英间谍机构的黑客攻击方法,而且曝光了一批漏洞,这批漏洞主要针对Sun OS、Solaris 。

在 Medium 上的一篇长博文中,“The ShadowBrokers” 分享了一个可以打开所有加密文件夹的密码(此前该组织试图在互联网上拍卖)。该组织表示,此举是为了表达对特朗普政府上任以来的不满,其中包括本周早些时候对叙利亚空军基地发动的导弹袭击。

没想到,4月14日(本周周五),它又泄露了一份机密文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器。

“Monster@长亭科技”撰文称:

“一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。


目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。”

想必看到上述资料时你已经一脸懵b,为此,我们特地采访了360企业安全的360天眼实验室安全专家汪列军,为你解析这次事件。

黑客公布无数种攻击 Windows 的方法,对我们有什么影响

[ 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。来源:bleepingcomputer]

雷锋网:为什么高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器? Windows 服务器不是收费吗?为什么不用免费的 Linux 服务器?

汪列军:谁说是收费的?有些组织根本用的就是盗版的 Windows 服务器。尤其,这次受到影响最大的是Windows 2003 的服务器,从微软的相关协议里可以知道,现在微软基本已经对Windows 2003 停止提供服务了,也就是说,这次曝出的漏洞以及漏洞利用工具,如果微软不出补丁,那么对Windows 2003 这种老版本的服务器影响很大。但是,放出的个别工具可以攻击Windows 10。

雷锋网:这次放出这么多 Windows 服务器的漏洞,和个人电脑用户有什么关系?主要影响的是谁?

汪列军:对个人用户影响有部分影响,主要影响的是拥有服务器的组织以及安全管理员。比如,个人用户的电脑如果打开了某些针对服务端的端口,也会受到影响,而且,XP和Win7 的445端口开放而且默认可访问,个人用户需要及时打补丁。Win10也一样,需要关闭Server服务,或配置防火墙,如果不会上述操作,就要及时打补丁。

同时,对内网的个人用户也会产生很大影响。

针对使用Windows服务器的相关组织,网络安全维护人员要注意:

要关闭 137、139、445端口;对于 3389 远程登录,如果不想或者不能关闭的话,至少要关闭智能卡登录功能,需要设置访问过滤,不能随便放在网上谁都能用;如果有边界防护设备,网络安全管理员要把受影响的端口禁掉;安全人员必须赶紧排查自家的 Windows服务器,了解是否已经被入侵。

最重要的是,这次放出的不是针对 Windows服务器的单个漏洞利用工具,而是非常完善的一个漏洞利用框架和系统性的漏洞利用工具套装,毫不夸张地说,对使用者的技术要求比较低,几乎都能下载这套工具发动攻击,而受到攻击的 Windows服务器几乎就成了攻击者的“肉鸡”,上面所储存的信息、服务器承载的各项功能权限、计算能力等都能被攻击者获取。

很可怕的是,你可以看到,这次是周五放出的漏洞,周末黑产人员是不会休息的,但很多安全公司周末是放假的,十六七个小时过去了,自家服务器是不是已经被利用了很难说。不过,需要指出的一点是,针对银行系统储户信息是否可能泄露的问题,我了解到的是——得看 Windows服务器上是不是有这种数据库,这些重要数据一般都在 Unix 系统上,或者在 IBM 的小型机上。

另外,360公司态势感知方面的专家张翀斌对雷锋网表示,银行的核心系统一般确实不采用 Windows ,但办公系统采用 Windows 系统。

雷锋网还了解到,这次“The ShadowBrokers” 分享的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具。

其中,让汪列军觉得比较有意思的工具有:ESTEEMAUDIT ,它是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器;ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,不过,关于 SMB 漏洞,3月份厂商已经发布了相关补丁。

汪列军将这些工具称为“以前只在圈子里传说的工具,没想到真的存在”,包括他在内的一些安全圈人士认为,这次泄漏的攻击程序对于服务器系统来说是最完整,也是影响最大的一次泄漏事件,甚至,有4、5个零日漏洞(目前已经有补丁发布)都被放出。他还指出,Windows 服务器是一个重灾区,尤其对于中国,很多老版本的Windows 服务器还在运行。

“Swift”则包含了一些攻击银行 Swift 系统的活动痕迹,“OddJob”则是是无法被杀毒软件检测的 Rootkit 利用工具,据汪列军介绍,这是一个在攻破 Windows 服务器后安装后门,攻击者打算长期“潜伏”的工具。

雷锋网还收到了 360企业安全专家江爱军对正在使用 Windows  服务器的用户的一份建议:

1.      尽快联系安全服务厂商制定解决方案;

2.      停掉不必要的有漏洞的组件 ;

3.      对于必须开启的有漏洞的系统组件:a)     微软已经停止更新的系统推荐升级到无漏洞的系统版本,b)     微软还在支持的系统,等微软的补丁。

目前对Windows 2003以上的操作系统,打上最近的补丁,都不受这波攻击工具的影响,建议用户打上最新的补丁(MS17-010)。

在截稿前,雷锋网发现,微软 SRC 刚发布了一则风险评估公告,该公告称,目前“The ShadowBrokers”发布的部分漏洞已经有补丁放出。

微软的建议措施截图如下:

黑客公布无数种攻击 Windows 的方法,对我们有什么影响

微软公告链接:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

绿盟科技的专家徐特向雷锋网发来提醒信息:ms17-010 补的三个smb漏洞还是需要大家多关注,这个补丁上个月才发布,估计大量服务器还没有更新。

在我们感叹 NSA 技术能力确实很强时,一个板上钉钉的事实是,网络安全维护人员本周末要加班了!

黑客公布无数种攻击 Windows 的方法,对我们有什么影响

本文作者:李勤,雷锋网网络安全专栏作者。

长按图片保存图片,分享给好友或朋友圈

黑客公布无数种攻击 Windows 的方法,对我们有什么影响

扫码查看文章

正在生成分享图...

取消
相关文章