駭客公佈無數種攻擊 Windows 的方法,對我們有什麼影響
本文作者:李勤,雷鋒網網路安全專欄作者。
4月14日晚上,網路安全研究員余弦在23點16分發了一條朋友圈:
方程式組織又被 Shadow Brokers 泄了一堆工具,都過去六個小時了,沒人關注了呀。
這一晚靜悄悄地過去了,4月15日(週六)一大早,雷鋒網發現,網路安全圈簡直要炸鍋了!
原來,這事影響真的挺大的。
事情是這樣的,“The ShadowBrokers”是一個神秘組織,該組織聲稱他們黑進了方程式駭客組織(Equation Group)–一個據稱與美國情報機構國家安全局(NSA)有關係的網路攻擊組織,並下載了他們大量攻擊工具。
“The ShadowBrokers”和 Equation Group 是老冤家了,以前就黑進去過 Equation Group。
上周週六,“The ShadowBrokers” 就洩露了大量 NSA 的檔,其中深度披露了這家精英間諜機構的駭客攻擊方法,而且曝光了一批漏洞,這批漏洞主要針對Sun OS、Solaris 。
在 Medium 上的一篇長博文中,“The ShadowBrokers” 分享了一個可以打開所有加密資料夾的密碼(此前該組織試圖在互聯網上拍賣)。該組織表示,此舉是為了表達對特朗普政府上任以來的不滿,其中包括本周早些時候對敘利亞空軍基地發動的導彈襲擊。
沒想到,4月14日(本周週五),它又洩露了一份機密文檔,其中包含了多個 Windows 遠端漏洞利用工具,可以覆蓋全球 70% 的 Windows 伺服器。
“Monster@長亭科技”撰文稱:
“一夜之間所有Windows伺服器幾乎全線暴露在危險之中,任何人都可以直接下載並遠端攻擊利用,考慮到國內不少高校、政府、國企甚至還有一些互聯網公司還在使用 Windows 伺服器,這次事件影響力堪稱網路大地震。
目前已知受影響的 Windows 版本包括但不限於:Windows NT,Windows 2000(沒錯,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。”
想必看到上述資料時你已經一臉懵b,為此,我們特地採訪了360企業安全的360天眼實驗室安全專家汪列軍,為你解析這次事件。
[ 4 月 14 日晚,“Shadow Brokers” 終於忍不住了,在推特上放出了他們當時保留的部分檔,解壓密碼是 “Reeeeeeeeeeeeeee”。來源:bleepingcomputer]
雷鋒網:為什麼高校、政府、國企甚至還有一些互聯網公司還在使用 Windows 伺服器? Windows 伺服器不是收費嗎?為什麼不用免費的 Linux 伺服器?
汪列軍:
誰說是收費的?有些組織根本用的就是盜版的 Windows 伺服器。尤其,這次受到影響最大的是Windows 2003 的伺服器,從微軟的相關協議裡可以知道,現在微軟基本已經對Windows 2003 停止提供服務了,也就是說,這次曝出的漏洞以及漏洞利用工具,如果微軟不出補丁,那麼對Windows 2003 這種老版本的伺服器影響很大。但是,放出的個別工具可以攻擊Windows 10。
雷鋒網:這次放出這麼多 Windows 伺服器的漏洞,和個人電腦用戶有什麼關係?主要影響的是誰?
汪列軍:
對個人使用者影響有部分影響,主要影響的是擁有伺服器的組織以及安全管理員。比如,個人用戶的電腦如果打開了某些針對服務端的埠,也會受到影響,而且,XP和Win7 的445埠開放而且默認可訪問,個人使用者需要及時打補丁。Win10也一樣,需要關閉Server服務,或配置防火牆,如果不會上述操作,就要及時打補丁。
同時,對內網的個人用戶也會產生很大影響。
針對使用Windows伺服器的相關組織,網路安全維護人員要注意:
要關閉 137、139、445埠;對於 3389 遠端登入,如果不想或者不能關閉的話,至少要關閉智慧卡登錄功能,需要設置訪問過濾,不能隨便放在網上誰都能用;如果有邊界防護設備,網路安全管理員要把受影響的埠禁掉;安全人員必須趕緊排查自家的 Windows伺服器,瞭解是否已經被入侵。
最重要的是,這次放出的不是針對 Windows伺服器的單個漏洞利用工具,而是非常完善的一個漏洞利用框架和系統性的漏洞利用工具套裝,毫不誇張地說,對使用者的技術要求比較低,幾乎都能下載這套工具發動攻擊,而受到攻擊的 Windows伺服器幾乎就成了攻擊者的“肉雞”,
上面所儲存的資訊、伺服器承載的各項功能許可權、計算能力等都能被攻擊者獲取。
很可怕的是,你可以看到,這次是週五放出的漏洞,週末黑產人員是不會休息的,但很多安全公司週末是放假的,十六七個小時過去了,自家伺服器是不是已經被利用了很難說。不過,需要指出的一點是,針對銀行系統儲戶資訊是否可能洩露的問題,我瞭解到的是——得看 Windows伺服器上是不是有這種資料庫,這些重要資料一般都在 Unix 系統上,或者在 IBM 的小型機上。
另外,360公司態勢感知方面的專家張翀斌對雷鋒網表示,銀行的核心系統一般確實不採用 Windows ,但辦公系統採用 Windows 系統。
雷鋒網還瞭解到,這次“The ShadowBrokers” 分享的檔有三個目錄,分別為“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的駭客工具。
其中,讓汪列軍覺得比較有意思的工具有:ESTEEMAUDIT ,它是 RDP 服務的遠端漏洞利用工具,可以攻擊開放了3389 埠的 Windows 機器;ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等是 SMB 漏洞利用程式,可以攻擊開放了 445 埠的 Windows 機器,不過,關於 SMB 漏洞,3月份廠商已經發佈了相關補丁。
汪列軍將這些工具稱為“以前只在圈子裡傳說的工具,沒想到真的存在”,包括他在內的一些安全圈人士認為,這次洩漏的攻擊程式對於伺服器系統來說是最完整,也是影響最大的一次洩漏事件,甚至,有4、5個零日漏洞(目前已經有補丁發佈)都被放出。他還指出,Windows 伺服器是一個重災區,尤其對於中國,很多老版本的Windows 伺服器還在運行。
“Swift”則包含了一些攻擊銀行 Swift 系統的活動痕跡,“OddJob”則是是無法被殺毒軟體檢測的 Rootkit 利用工具,據汪列軍介紹,這是一個在攻破 Windows 伺服器後安裝後門,攻擊者打算長期“潛伏”的工具。
雷鋒網還收到了 360企業安全專家江愛軍對正在使用 Windows 伺服器的用戶的一份建議:
1. 儘快聯繫安全服務廠商制定解決方案;
2. 停掉不必要的有漏洞的組件 ;
3. 對於必須開啟的有漏洞的系統元件:a) 微軟已經停止更新的系統推薦升級到無漏洞的系統版本,b) 微軟還在支援的系統,等微軟的補丁。
目前對Windows 2003以上的作業系統,打上最近的補丁,都不受這波攻擊工具的影響,建議用戶打上最新的補丁(MS17-010)。
在截稿前,雷鋒網發現,微軟 SRC 剛發佈了一則風險評估公告,該公告稱,目前“The ShadowBrokers”發佈的部分漏洞已經有補丁放出。
微軟的建議措施截圖如下:
微軟公告連結:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
綠盟科技的專家徐特向雷鋒網發來提醒資訊:
ms17-010 補的三個smb漏洞還是需要大家多關注,這個補丁上個月才發佈,估計大量伺服器還沒有更新。
在我們感歎 NSA 技術能力確實很強時,一個板上釘釘的事實是,網路安全維護人員本週末要加班了!
本文作者:李勤,雷鋒網網路安全專欄作者。