2017 年 4 月 14 日晚,ShadowBrokers(影子经纪人)终于忍不住了,再次泄露了一份NSA机密文档内含23个最新黑客工具,甚至揭露 NSA 黑客曾入侵中东多国 SWIFT 银行系统。目前文件已在 GitHub 上公开,消息一出各国安全人员纷纷开始挖掘这一宝贵文件。
事件时间轴
1.在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织,号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上。方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。
这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美元)。而“ShadowBrokers” 的工具一直没卖出去。
2.北京时间 2017 年 4 月 8 日,“ShadowBrokers” 公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。
3.北京时间 2017 年 4 月 14 日晚,继上一次公开解压密码后,“ShadowBrokers” ,在推特上放出了第二波保留的部分文件,下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4,解压密码是 “Reeeeeeeeeeeeeee”。此次发现其中包括新的23个黑客工具。具体请参考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing
由于被泄漏出的工具属于美国国家安全局使用的攻击武器,其使用的漏洞的危险程度、漏洞利用程序的技术水平、以及工具工程化水平,都属于世界顶级水平。这些工具的泄漏,将会极大提升黑色产业链、商业间谍组织和国家级APT攻击的技术水平,相应也会对防护系统提出更高的要求。
因此针对金融行业的网络防护工作也需立即展开,这是与黑色产业链、商业间谍组织、黑客赛跑的过程,响应速度越快、执行越迅速,对应的风险会越低。
本次事件一出,华青融天的安全专家团队立即行动,布置并安排了防护工作。
首先,我们对影响最大的Windows系统进行分析,迅速从漏洞的攻击面、潜在的攻击路径方面进行分析,制定快速发现、应急处置及漏洞根除方面的策略。
我们首先浏览了这次泄露的工具:
这次泄露工作文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,其中影响微软产品的漏洞攻击工具一共12个:
1. EternalBlue : SMBv1 漏洞攻击工具,影响所有Windows平台,还在支持期的系统打上MS17-010(该补丁最早) 可以免疫,不在支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
2. EmeraldThread:SMBv1漏洞攻击工具,影响XP、2003、Vista、2008、Windows7、2008 R2,已经被MS10-061修复。
3.EternalChampion:SMBv1漏洞攻击工具,影响全平台,已经被MS17-010修复,不在支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
4.ErraticGopher:SMB漏洞攻击工具,只影响XP和2003,不影响Vista以后的系统,微软说法是Windows Vista发布的时候修复了这个问题,但是并未提供针对XP和2003的补丁编号。
5.EskimoRoll:Kerberos漏洞攻击工具,影响2000/2003/2008/2008 R2/2012/2012R2 的域控服务器,已经被MS14-068修复。漏洞在Windows 2000 Server当中也存在,但是没有补丁。
6.EternalRomance:SMBv1漏洞攻击工具,影响全平台,被MS17-010修复,不在支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
7. EducatedScholar: SMB漏洞攻击工具,影响VISTA和2008,已经被MS09-050修复.
8. EternalSynergy:SMBv3漏洞攻击工具,影响全平台,被MS17-010修复,不在支持期的系统,建议禁用SMBv1和v3(配置注册表或组策略,需要重启)
9. EclipsedWing:Server netAPI漏洞攻击工具,其实就是MS08-067,影响到2008的全平台,打上补丁就行。
10.EnglishManDentist:针对Exchange Server的远程攻击工具,受影响版本不明,但微软说仍在支持期的Exchange Server不受影响,建议升级到受支持版本
11.EsteemAudit:针对XP/2003的RDP远程攻击工具,无补丁,不在支持期的系统建议关闭RDP禁用,或者严格限制来源IP
12. ExplodingCan:针对2003 IIS 6.0的远程攻击工具,需要服务器开启WEBDAV才能攻击,无补丁,不再支持期的系统建议关闭WEBDAV,或者使用WAF,或者应用热补丁。
“ShadowBrokers” 放出的工具对应Windows漏洞影响面
“ShadowBrokers” 放出的工具对应微软官方修复补丁,如下:
华青融天安全专家提醒你采取以下行动:
1、确认影响范围:
1)影响范围包括全部主要版本的Windows操作系统,对互联网部分和企业内网部分会产生重大影响;
2.)主要受影响服务、端口为:IIS服务,kerberos服务、137、139、445、3389端口的服务;
3.)可受影响区域:互联网区域、办公区域和内网(核心、业务)。
2、做以下应急处置:
应急响应工作应该基于漏洞的攻击面展开,从快速发现、应急处置及漏洞修补三个方面进行处置。
1) 确认互联网边界的资产是否有开放上述的端口,具体是哪些主机有使用
2) 升级互联网边界的下一代防火墙及IPS规则。
3)如果有主机在互联网边界有开放SMB服务,可以使用以下的工具检测本机是否有被入侵或留有后门:
https://github.com/countercept/doublepulsar-detection-script
4)在网络边界访问控制设备上禁止从不可信网络(互联网)来源的入站139、445端口的访问;对于终端服务的访问端口3389设置严格访问来源控制,只允许可信来源IP访问。
5)内部范围自查RDP服务的使用范围,针对所有Windows 2003并开启远程桌面服务的主机确定业务需求:是否需要开启远程桌面、是否有远程桌面的替代方案。如必须开启远程桌面的主机,需确定业务需求范围,针对性的开启访问控制白名单策略,确保只有授权人员才可以访问。
3.选择修复方案
1)自查SMB共享服务的使用范围,在没有明确业务场景的条件下禁止135及445的端口通信。如果业务场景需要使用SMB共享服务,需根据业务需要逐条开放访问控制白名单策略,防止可能发生的蠕虫病毒大范围传播。
2)确保每台主机上的终端安全软件、策略和防护特征是最新的.
3)检查确认网络中的Windows系统,无论客户端还是服务器系统,安装了最新的安全补丁。具体到本次事件,可以重点关注下列历史补丁包是否已经安装:MS08-067、MS09-050、MS10-061、MS14-068、MS17-010如果还没打上补丁,请安排补丁升级计划。
华青融天有近十年的大型股份制银行安全运营经验,建立了多个SOC运维安全团队以及对应的安全分析产品及解决方案,形成了一套成熟的安全管理流程,如下图:
华青融天SOC构成、能力及职责解读:
了解华青融天
作为一家以“发现看不见的价值”为使命的科技公司,华青融天通过将人工智能和大数据技术结合,以应用性能管理和安全分析产品及解决方案为核心业务,广泛服务于各个行业。
结合多年的技术创新实践,华青融天发展出三个主要业务线产品:业务连续性产品EZSonar、业务安全产品EZAccur、业务洞察产品EZUBA。这三条产品线互为补充、结合,涵盖信息科技风险管理所要求的性能管理和安全管理两方面,并可为客户全方位的打造IT智慧运营体系。
