4月14日晚间,黑客组织Shadow Brokers再次披露了一系列恶意软件,并声称这些软件工具来自美国国家安全局(NSA),而公开的工具可以远程攻破影响包括Windows XP、Windows 7以及大量Windows服务器系统在内的全球约70%的机器。
此次爆出的漏洞众多,影响系统范围极大,同时工具已公开大范围流传,未来可能将对众多企业、高校、政府、银行甚至个人用户都带来巨大的威胁。然而有安全人士指出,在分析列表时候发现有未公布的工具,Shadow Brokers或将公布下一轮恶意软件。
(安全人士指出仍有未公布的工具)
起底:NSA攻击工具涵盖微软等三大目录
(解密后的工具包)
NSA软件工具曝光后,其工具包在第一时间被揭秘,其中包含“windows”、“swift”、“oddjob”等三大目录,分别对应不同的攻击目标和方式。经分析发现,“windows”目录包括Windows利用工具和相关攻击代码;“swift”目录中是银行攻击的一些证据;“oddjob”目录是植入后门等相关文档。
(“windows”目录下的漏洞利用工具)
“windows”目录下包含了各种漏洞利用工具,其中以“exploits”、“fuzzbunch”、“specials”较为重要:在“exploits”中包含了丰富的漏洞利用工具,可影响Windows多个平台;“fuzzbunch”是一个由python编写,类似 MSF的漏洞利用平台工具;“specials”则包含 ETERNALBLUE、ETERNALCHAMPION,均可利用SMB漏洞,攻击开放445端口的Windows机器,对于Windows server系统均有覆盖。
(“exploits”中对Windows Server有影响的工具)
(“specials”中ETERNALBLUE的影响范围)
在“swift”目录中,主要是存放一些金融信息系统被攻击的相关信息。SWIFT是国际银行同业间的国际合作组织,负责国际上银行的金融往来业务,从当前曝光的一些文件可以看出,为NSA服务的“方程式组织”可能对埃及、迪拜、比利时的银行有入侵的行为。此前,腾讯电脑管家曾挖掘出并分析了一批重要文件,其中就包含了攻击SWIFT系统的计划和证据。入侵SWIFT系统后,NSA就具备了监控和修改国际上银行金融业务的能力,监控的数据可以用来分析恐怖分子洗钱的网络,但是个人的外汇业务也会暴露在NSA的监控程序中。
(“swift”目录中Excel文件)
而“oddjob”目录显示,某些Windows系统中支持植入后门代码,从而可对抗Avria和Norton的检测,其中工具包中还提供了一个常见反病毒引擎的检测结论。
(支持植入后门代码的Windows系统)
本次公开的工具包存在多个 Windows 漏洞的利用工具,只要Windows服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445和3389端口。腾讯电脑管家提醒用户,未来一段时间,云平台上利用这些公开的工具进行攻击的情况会比较多,用户需要提高警惕。同时,用户可采取临时缓解措施:升级系统补丁,确保补丁更新到最新版本;或使用防火墙、或者安全组配置安全策略,屏蔽对包括445、3389在内的系统端口访问。
探究:Shadow Brokers仍掌握大量未披露NSA攻击工具
而随着NSA泄密事件持续发酵,有安全人士在分析列表时候发现有未公布的工具,并猜测Shadow Brokers手中或仍有大量的恶意软件。事实上,早在去年Shadow Brokers就攻击了为NSA效力的“方程式组织”(Equation Group),获取了大量NSA的网络“武器库”。后来,Shadow Brokers在互联网黑市上标价100万比特币公开拍卖窃取的部分数据文件。这些文件于今年4月8日被正式公开,而就在6天后,Shadow Brokers再次披露了NSA的机密文件,包含多个已经验证的Windows高危漏洞及利用工具。
业内人士指出,“方程式组织”已在全球超过30个国家感染众多受害者,其中不乏政府和外交机构、电信、军工、金融、能源等企业和机构。Shadow Brokers成功入侵后,可能掌握大量信息,可以看出本次曝光的文件仅仅是其窃取的冰山一角,对于大量未披露的绝密中,或隐藏着闻所未闻的惊天秘密。
目前,微软已出台“漏洞发现奖励计划”,鼓励专业的安全人员帮助测试并发现操作系统和软件存在的安全隐患以及各种问题,单个漏洞最高奖励10万美元。
警示:网络安全防护技术需要不断创新
从本次事件影响来看,在信息安全的世界中,入侵和防御是一个永恒的话题,互联网带来便利的同时,网络安全风险也在不断的加剧。不仅如此,网络安全威胁波及的范围已经从传统的PC、手机,向更多的联网设备延伸,从普通网民扩散到涉及政府、海关、邮政、金融、民航、铁路、医疗、军警等重要部门,以及其他网络基础建设,这也就意味着未来的网络安全防护技术需要不断创新。值得注意的是,在这次事件中,各大安全厂商和微软均展示出快速响应、优先解决的机制。
腾讯电脑管家在事件爆发之后,第一时间进行了预警,同时给出了对抗这一系列攻击的防御手段,并密切监测和响应此次危机。目前腾讯电脑管家已可修复该漏洞,并将修复包推送给用户。未来,腾讯电脑管家将继续监测相关信息,并在第一时间向用户反馈解决方案。