時間:2017-04-19 來源:互聯網 瀏覽量:
此次爆出的漏洞眾多,影響係統範圍極大,同時工具已公開大範圍流傳,未來可能將對眾多企業、高校、政府、銀行甚至個人用戶都帶來巨大的威脅。然而有安全人士指出,在分析列表時候發現有未公布的工具,Shadow Brokers或將公布下一輪惡意軟件。
起底:NSA攻擊工具涵蓋微軟等三大目錄
NSA軟件工具曝光後,其工具包在第一時間被揭秘,其中包含“windows”、“swift”、“oddjob”等三大目錄,分別對應不同的攻擊目標和方式。經分析發現,“windows”目錄包括Windows利用工具和相關攻擊代碼“swift”目錄中是銀行攻擊的一些證據“oddjob”目錄是植入後門等相關文檔。
“windows”目錄下包含了各種漏洞利用工具,其中以“exploits”、“fuzzbunch”、“specials”較為重要:在“exploits”中包含了豐富的漏洞利用工具,可影響Windows多個平台“fuzzbunch”是一個由python編寫,類似 MSF的漏洞利用平台工具“specials”則包含 ETERNALBLUE、ETERNALCHAMPION,均可利用SMB漏洞,攻擊開放445端口的Windows機器,對於Windows server係統均有覆蓋。
在“swift”目錄中,主要是存放一些金融信息係統被攻擊的相關信息。SWIFT是國際銀行同業間的國際合作組織,負責國際上銀行的金融往來業務,從當前曝光的一些文件可以看出,為NSA服務的“方程式組織”可能對埃及、迪拜、比利時的銀行有入侵的行為。此前,騰訊電腦管家曾挖掘出並分析了一批重要文件,其中就包含了攻擊SWIFT係統的計劃和證據。入侵SWIFT係統後,NSA就具備了監控和修改國際上銀行金融業務的能力,監控的數據可以用來分析恐怖分子洗錢的網絡,但是個人的外彙業務也會暴露在NSA的監控程序中。
而“oddjob”目錄顯示,某些Windows係統中支持植入後門代碼,從而可對抗Avria和Norton的檢測,其中工具包中還提供了一個常見反病毒引擎的檢測結論。
本次公開的工具包存在多個 Windows 漏洞的利用工具,隻要Windows服務器開了25、88、139、445、3389 等端口之一,就有可能被黑客攻擊,其中影響尤為嚴重的是445和3389端口。騰訊電腦管家提醒用戶,未來一段時間,雲平台上利用這些公開的工具進行攻擊的情況會比較多,用戶需要提高警惕。同時,用戶可采取臨時緩解措施:升級係統補丁,確保補丁更新到最新版本或使用防火牆、或者安全組配置安全策略,屏蔽對包括445、3389在內的係統端口訪問。
探究:Shadow Brokers仍掌握大量未披露NSA攻擊工具
而隨著NSA泄密事件持續發酵,有安全人士在分析列表時候發現有未公布的工具,並猜測Shadow Brokers手中或仍有大量的惡意軟件。事實上,早在去年Shadow Brokers就攻擊了為NSA效力的“方程式組織”(Equation Group),獲取了大量NSA的網絡“武器庫”。後來,Shadow Brokers在互聯網黑市上標價100萬比特幣公開拍賣竊取的部分數據文件。這些文件於今年4月8日被正式公開,而就在6天後,Shadow Brokers再次披露了NSA的機密文件,包含多個已經驗證的Windows高危漏洞及利用工具。
業內人士指出,“方程式組織”已在全球超過30個國家感染眾多受害者,其中不乏政府和外交機構、電信、軍工、金融、能源等企業和機構。Shadow Brokers成功入侵後,可能掌握大量信息,可以看出本次曝光的文件僅僅是其竊取的冰山一角,對於大量未披露的絕密中,或隱藏著聞所未聞的驚天秘密。
就在Shadow Brokers披露微軟相關漏洞後,微軟官方回應這些漏洞且大部分漏洞已被修複。作為全球最大的軟件開發商,微軟長久以來一直飽受漏洞的困擾,安全數據庫網站CVE Details發布的報告顯示,按軟件供應商來排名,2016年微軟以1325個漏洞排行第二,而在桌麵係統方麵Windows係統漏洞排在總量第一,高於同類的Linux和Mac OS X係統。微軟漏洞眾多,究其原因和龐大的用戶量不無關係,因Windows係統易用,受到業內廣泛關注,用戶量龐大,導致不少程序、木馬都是針對Windows係統,再加上其對待安全機製稍有不足,就使得每次出現漏洞都會引起巨大影響。
目前,微軟已出台“漏洞發現獎勵計劃”,鼓勵專業的安全人員幫助測試並發現操作係統和軟件存在的安全隱患以及各種問題,單個漏洞最高獎勵10萬美元。
警示:網絡安全防護技術需要不斷創新
從本次事件影響來看,在信息安全的世界中,入侵和防禦是一個永恒的話題,互聯網帶來便利的同時,網絡安全風險也在不斷的加劇。不僅如此,網絡安全威脅波及的範圍已經從傳統的PC、手機,向更多的聯網設備延伸,從普通網民擴散到涉及政府、海關、郵政、金融、民航、鐵路、醫療、軍警等重要部門,以及其他網絡基礎建設,這也就意味著未來的網絡安全防護技術需要不斷創新。值得注意的是,在這次事件中,各大安全廠商和微軟均展示出快速響應、優先解決的機製。
騰訊電腦管家在事件爆發之後,第一時間進行了預警,同時給出了對抗這一係列攻擊的防禦手段,並密切監測和響應此次危機。目前騰訊電腦管家已可修複該漏洞,並將修複包推送給用戶。未來,騰訊電腦管家將繼續監測相關信息,並在第一時間向用戶反饋解決方案。
