美国国家安全局使用的攻击武器,将会极大提升黑色产业链、商业间谍组织技术水平!
先前发的工具系列的好几章节都被抽了,没办法,以后发不了,大家可以去我网盘和微博。
这是一条带给你好运的抽奖微博,转发和评论中不定期抽粉丝送书!
大家可以多给些建议和想法,可以到微博问答提问,也可以打赏哦~ 支持我!
360安全响应中心,会同360互联网安全中心、360伏尔甘实验室、360冰刃实验室、360安全卫士产品团队、360天眼实验室、360天擎终端安全产品团队对NSA渗透工具被曝光事件的初步判定,此次事件,是最近五年当中,对政企网络安全影响最大的事件之一。网络安全行业将此次事件描绘为“网络世界的重大灾难级危机”。
移除NSA黑客工具泄露 网络世界的灾难级危机如何应对?
由于被泄漏出的工具属于美国国家安全局使用的攻击武器,其使用的漏洞的危险程度、漏洞利用程序的技术水平、以及工具工程化水平,都属于世界顶级水平。这些工具的泄漏,将会极大提升黑色产业链、商业间谍组织和国家级APT攻击的技术水平,相应也会对防护系统提出更高的要求。
泄漏的漏洞信息、利用工具完整性和实用性很强,可以预期未来的很短时间内,这类工具会被广泛利用。因此针对政企单位的网络的防护工作,应该立即展开,这是与黑色产业链、商业间谍组织赛跑的过程,响应速度越快、执行越迅速,对于政企单位的风险会越低。
信息安全负责人应该将此工作作为本单位近期的重要的工作来执行。安全部门负责人应该协调相关的IT运维部门和各IT技术和服务供应商一同应对,而非由安全部门独立工作。
由于此次泄漏事件的长期影响,信息安全负责人应该基于此次事件的应急过程,重新审视本单位的应急响应能力和IT与安全运营的整体成熟度,并针对本单位的弱点进行尽快的补齐。
本次事件当中对政企单位网络影响最大的是针对Windows系统的漏洞和攻击,响应工作应该围绕漏洞的分析展开。需要尽快从漏洞的攻击面、潜在的攻击路径方面进行分析,制定快速发现,应急处置及漏洞根除方面的策略和工作。
基本信息和判断
移除NSA黑客工具泄露 网络世界的灾难级危机如何应对?
影响微软产品的漏洞攻击工具一共12个:
1. EternalBlue(永恒之蓝) : SMBv1 漏洞攻击工具,影响所有Windows平台,还在支持期的系统打上MS17-010 可以免疫,不再支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
2. EmeraldThread(翡翠纤维):SMBv1漏洞攻击工具,影响XP、2003、Vista、2008、Windows7、2008 R2,已经被MS10-061修复。
3.EternalChampion(永恒王者):SMBv1漏洞攻击工具,影响全平台,已经被MS17-010修复,不在支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
4.ErraticGopher(古怪地鼠):SMB漏洞攻击工具,只影响XP和2003,不影响Vista以后的系统,微软说法是Windows Vista发布的时候修复了这个问题,但是并未提供针对XP和2003的补丁编号。
5.EskimoRoll(爱斯基摩卷):Kerberos漏洞攻击工具,影响2000/2003/2008/2008 R2/2012/2012R2 的域控服务器,已经被MS14-068修复。漏洞在Windows 2000 Server当中也存在,但是没有补丁。
6.EternalRomance(永恒浪漫):SMBv1漏洞攻击工具,影响全平台,被MS17-010修复,不在支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
7. EducatedScholar(文雅学者) :SMB漏洞攻击工具,影响VISTA和2008,已经被MS09-050修复.
8. EternalSynergy(永恒增效):SMBv3漏洞攻击工具,影响全平台,被MS17-010修复,不在支持期的系统,建议禁用SMBv1和v3(配置注册表或组策略,需要重启)
9. EclipsedWing(日食之翼):Server netAPI漏洞攻击工具,其实就是MS08-067,影响到2008的全平台,打上补丁就行。
10.EnglishManDentist(英国牙医):针对Exchange Server的远程攻击工具,受影响版本不明,但微软说仍在支持期的Exchange Server不受影响,建议升级到受支持版本
11.EsteemAudit(尊重审计):针对XP/2003的RDP远程攻击工具,无补丁,不在支持期的系统建议关闭RDP禁用,或者严格限制来源IP
12. ExplodingCan(爆炸罐头):针对2003 IIS6.0的远程攻击工具,需要服务器开启WEBDAV才能攻击,无补丁,不再支持期的系统建议关闭WEBDAV,或者使用WAF,或者应用热补丁
其他受影响产品和对应工具5个:
EasyBee(轻松蜂):MDaemon邮件服务器系统,建议升级或停用
EasyPi(轻松派):Lotus Notes ,建议升级或停用
EwokFrenzy(狂暴伊沃克):Lotus Domino 6.5.4~7.0.2 建议升级或停用
EmphasisMine(说重点):IBM Lotus Domino 的IMAP漏洞,建议升级或停用
ETRE:IMail 8.10~8.22远程利用工具,建议升级或停用
整体影响评估
1. 影响范围包括全部主要版本的Windows操作系统,对互联网部分和企业内网部分会产生重大影响;
2. 主要受影响服务、端口为:IIS服务,137、139、445、3389端口的服务;
3. 预期上述服务的漏洞可被高效地利用,进而发动“蠕虫病毒”式的大范围二次攻击;
4. 预期黑色产业将利用此漏洞发动勒索式攻击;
5. 可受影响区域:互联网区域、办公区域和内网(核心、业务)。
建议应急策略
本次曝光的工具,大部分是针对Windows操作系统的远程攻击程序,通过这些工具,可以实现在Windows系统远程植入恶意代码。这些攻击手段所使用的漏洞,如果针对的是还在服务期的系统,微软大部分已经提供了补丁。响应工作应该基于漏洞的攻击面展开,从快速发现,应急处置及漏洞根除三个方面进行处置。
1.确认影响范围:
1)确认互联网边界是否存在WindowsServer 2003开启远程桌面服务及IIS服务。
2)内部范围自查RDP服务的使用范围,针对所有Windows 2003并开启远程桌面服务的主机确定业务需求:是否需要开启远程桌面、是否有远程桌面的替代方案。如必须开启远程桌面的Windows 2003主机,需确定业务需求范围,针对性的开启访问控制白名单策略,确保只有授信人员才可以访问。
3)内部范围自查共享服务的使用范围,在没有明确业务场景的条件下禁止135及445的端口通信。如果业务场景需要使用SMB共享服务,需根据业务需要逐条开放访问控制白名单策略,防止可能发生的蠕虫病毒大范围传播。
2.应急处置手段:
1)确保每台主机上的终端安全软件、策略和防护特征是最新的,如果可能,关闭Windows XP系统的Server服务。
2) 针对还在服役的运行有IIS6.0 的 Windows Server 2003服务器,尽可能下线、迁移直接面向互联网提供服务的服务器。
3)升级相关NGFW及IPS规则。
3.根治手段
1)在网络边界访问控制设备上禁止从不可信网络(互联网)来源的入站139、445端口的访问;对于终端服务的访问端口3389设置严格访问来源控制,只允许可信来源IP访问。
2)检查确认网络中的Windows系统,无论客户端还是服务器系统,安装了最新的安全补丁。具体到本次事件,可以重点关注下列历史补丁包是否已经安装:
MS08-067
MS09-050
MS10-061
MS14-068
MS17-010
如果没有打全,请安排补丁升级计划。
3)如果政企单位使用了域控服务器和Exchange服务器,请安排微软服务商针对域控服务器和Exchange服务器打补丁。
花无涯带你走进黑客世界9 远控肉鸡 |花无涯带你走进黑客世界9 远控肉鸡(番外篇)
花无涯带你走进黑客之 小白入门 第一弹| 花无涯带你走进黑客世界 2 学习渗透技术
花无涯带你走进黑客世界3 白帽和黑帽| 花无涯带你走进黑客世界4 脚本小子
