NSA黑客工具泄露 網絡世界的災難級危機如何應對。根據360安全響應中心,會同360互聯網安全中心、360伏爾甘實驗室、360冰刃實驗室、360安全衛士產品團隊、360天眼實驗室、360天擎終端安全產品團隊對NSA滲透工具被曝光事件的初步判定,此次事件,是最近五年當中,對政企網絡安全影響最大的事件之一。網絡安全行業將此次事件描繪為“網絡世界的重大災難級危機”。
由于被泄漏出的工具屬于美國國家安全局使用的攻擊武器,其使用的漏洞的危險程度、漏洞利用程序的技術水平、以及工具工程化水平,都屬于世界頂級水平。這些工具的泄漏,將會極大提升黑色產業鏈、商業間諜組織和國家級APT攻擊的技術水平,相應也會對防護系統提出更高的要求。
泄漏的漏洞信息、利用工具完整性和實用性很強,可以預期未來的很短時間內,這類工具會被廣泛利用。因此針對政企單位的網絡的防護工作,應該立即展開,這是與黑色產業鏈、商業間諜組織賽跑的過程,響應速度越快、執行越迅速,對于政企單位的風險會越低。信息安全負責人應該將此工作作為本單位近期的重要的工作來執行。安全部門負責人應該協調相關的IT運維部門和各IT技術和服務供應商一同應對,而非由安全部門獨立工作。
由于此次泄漏事件的長期影響,信息安全負責人應該基于此次事件的應急過程,重新審視本單位的應急響應能力和IT與安全運營的整體成熟度,并針對本單位的弱點進行盡快的補齊。
本次事件當中對政企單位網絡影響最大的是針對Windows系統的漏洞和攻擊,響應工作應該圍繞漏洞的分析展開。需要盡快從漏洞的攻擊面、潛在的攻擊路徑方面進行分析,制定快速發現,應急處置及漏洞根除方面的策略和工作。
基本信息和判斷
影響微軟產品的漏洞攻擊工具一共12個:
1. EternalBlue(永恒之藍) : SMBv1 漏洞攻擊工具,影響所有Windows平臺,還在支持期的系統打上MS17-010 可以免疫,不再支持期的系統,可以禁用SMBv1(配置注冊表或組策略,需要重啟)
2. EmeraldThread(翡翠纖維): SMBv1漏洞攻擊工具,影響XP、2003、Vista、2008、Windows7、2008 R2,已經被MS10-061修復。
3.EternalChampion(永恒王者): SMBv1漏洞攻擊工具,影響全平臺,已經被MS17-010修復,不在支持期的系統,可以禁用SMBv1(配置注冊表或組策略,需要重啟)
4.ErraticGopher(古怪地鼠): SMB漏洞攻擊工具,只影響XP和2003,不影響Vista以后的系統,微軟說法是Windows Vista發布的時候修復了這個問題,但是并未提供針對XP和2003的補丁編號。
5.EskimoRoll(愛斯基摩卷):Kerberos漏洞攻擊工具,影響2000/2003/2008/2008 R2/2012/2012R2 的域控服務器,已經被MS14-068修復。漏洞在Windows 2000 Server當中也存在,但是沒有補丁。
6.EternalRomance(永恒浪漫): SMBv1漏洞攻擊工具,影響全平臺,被MS17-010修復,不在支持期的系統,可以禁用SMBv1(配置注冊表或組策略,需要重啟)
7. EducatedScholar(文雅學者) : SMB漏洞攻擊工具,影響VISTA和2008,已經被MS09-050修復.
8. EternalSynergy(永恒增效): SMBv3漏洞攻擊工具,影響全平臺,被MS17-010修復,不在支持期的系統,建議禁用SMBv1和v3(配置注冊表或組策略,需要重啟)
9. EclipsedWing(日食之翼):Server netAPI漏洞攻擊工具,其實就是MS08-067,影響到2008的全平臺,打上補丁就行。
10.EnglishManDentist(英國牙醫):針對Exchange Server的遠程攻擊工具,受影響版本不明,但微軟說仍在支持期的Exchange Server不受影響,建議升級到受支持版本
11.EsteemAudit(尊重審計):針對XP/2003的RDP遠程攻擊工具,無補丁,不在支持期的系統建議關閉RDP禁用,或者嚴格限制來源IP
12. ExplodingCan(爆炸罐頭):針對2003 IIS6.0的遠程攻擊工具,需要服務器開啟WEBDAV才能攻擊,無補丁,不再支持期的系統建議關閉WEBDAV,或者使用WAF,或者應用熱補丁
其他受影響產品和對應工具5個:
EasyBee(輕松蜂):MDaemon郵件服務器系統,建議升級或停用
EasyPi(輕松派):Lotus Notes ,建議升級或停用
EwokFrenzy(狂暴伊沃克):Lotus Domino 6.5.4~7.0.2 建議升級或停用
EmphasisMine(說重點):IBM Lotus Domino 的IMAP漏洞,建議升級或停用
ETRE:IMail 8.10~8.22遠程利用工具,建議升級或停用
整體影響評估
1. 影響范圍包括全部主要版本的Windows操作系統,對互聯網部分和企業內網部分會產生重大影響;
2. 主要受影響服務、端口為:IIS服務,137、139、445、3389端口的服務;
3. 預期上述服務的漏洞可被高效地利用,進而發動“蠕蟲病毒”式的大范圍二次攻擊;
4. 預期黑色產業將利用此漏洞發動勒索式攻擊;
5. 可受影響區域:互聯網區域、辦公區域和內網(核心、業務)。
建議應急策略
本次曝光的工具,大部分是針對Windows操作系統的遠程攻擊程序,通過這些工具,可以實現在Windows系統遠程植入惡意代碼。這些攻擊手段所使用的漏洞,如果針對的是還在服務期的系統,微軟大部分已經提供了補丁。響應工作應該基于漏洞的攻擊面展開,從快速發現,應急處置及漏洞根除三個方面進行處置。
1.確認影響范圍:
1)確認互聯網邊界是否存在WindowsServer 2003開啟遠程桌面服務及IIS服務。
2)內部范圍自查RDP服務的使用范圍,針對所有Windows 2003并開啟遠程桌面服務的主機確定業務需求:是否需要開啟遠程桌面、是否有遠程桌面的替代方案。如必須開啟遠程桌面的Windows 2003主機,需確定業務需求范圍,針對性的開啟訪問控制白名單策略,確保只有授信人員才可以訪問。
3)內部范圍自查共享服務的使用范圍,在沒有明確業務場景的條件下禁止135及445的端口通信。如果業務場景需要使用SMB共享服務,需根據業務需要逐條開放訪問控制白名單策略,防止可能發生的蠕蟲病毒大范圍傳播。
2.應急處置手段:
1)確保每臺主機上的終端安全軟件、策略和防護特征是最新的。
2) 針對還在服役的運行有IIS6.0 的 Windows Server 2003服務器,盡可能下線、遷移直接面向互聯網提供服務的服務器。
3)升級相關NGFW及IPS規則。
3.根治手段
1)在網絡邊界訪問控制設備上禁止從不可信網絡(互聯網)來源的入站139、445端口的訪問;對于終端服務的訪問端口3389設置嚴格訪問來源控制,只允許可信來源IP訪問。
2)檢查確認網絡中的Windows系統,無論客戶端還是服務器系統,安裝了最新的安全補丁。具體到本次事件,可以重點關注下列歷史補丁包是否已經安裝:
MS08-067
MS09-050
MS10-061
MS14-068
MS17-010
如果沒有打全,請安排補丁升級計劃。
3)如果政企單位使用了域控服務器和Exchange服務器,請安排微軟服務商針對域控服務器和Exchange服務器打補丁。
360產品針對該事件的處置建議
1. 360新一代智慧防火墻(NSG3000/5000/7000/9000系列)和下一代極速防火墻(NSG3500/5500/7500/9500系列)產品系列,通過更新IPS特征庫已經完成了對上述攻擊工具相關漏洞的防護,建議用戶盡快將IPS特征庫升級至“20170415”版本。
2. 360天眼未知威脅感知系統的流量探針在第一時間加入了其中幾款最嚴重的遠程代碼執行漏洞的攻擊檢測,包括EternalBlue、EternalChampion、EternalRomance、EternalSynergy等。另外,其他利用工具的檢測規則在持續跟進中,請密切關注360天眼流量探針規則的更新通知。
360天眼產品的應急處置方案:360天眼流量探針(傳感器)通過:系統配置->設備升級->規則升級,選擇“網絡升級”或“本地升級。
3. 360威脅情報中心已經第一時間協助360殺毒處理了涉及到的黑客工具。
4. 如果發現網絡內存在相關告警,請立即聯系360安全服務團隊 4008-136-360。
| 
