上周,地壳调皮地振动了一下,浙江小伙伴们的朋友圈炸开了锅。网络空间也不“示弱”,掀起了一波核弹级爆炸!
怎么回事?原来是“臭名昭著”的影子经纪人(Shadow Brokers)再一次兴风作浪。
4月14日,影子经纪人在steemit.com上公开了一大批NSA(美国国家安全局)“方程式组织” (Equation Group)使用的极具破坏力的黑客工具,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。一夜之间,全世界70%的windows服务器置于危险之中,国内使用windows服务器的高校、国企甚至政府机构也不能幸免。
据了解,受影响的Windows 版本包括Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等。
正在使用这些Windows操作系统的你,有没有在颤抖!!虽然微软宣布已修复大部分的漏洞,但这场由于远程漏洞泄露造成的灾难性网络大地震“余震”仍在。
其实,这不是影子经纪人和NSA(美国国家安全局)方程式组织的第一次厮杀了。美小创安全后援团搜罗了好多的资料,来给大家说一说,这两个组织的“前世今生”。
黑了人的影子经纪人( Shadow Brokers)
早在2016年8月,影子经纪人就在网上以100万比特币(现价约超过5亿美元)的价格,公开竞拍据称来源于NSA(美国国家安全局)的顶级黑客工具。为了增加可信度,他们还在网上贴出部分文件。但最后的结果不尽如人意,可能是要价过高或是其他原因,黑客工具一直无人问津,拍卖最终只获得了价值25美元的比特币。
同年10月份,该组织取消了销售,开通了类似众筹的活动,当最终收到10,000比特币(630万美元 )后,他们将提供给每一份参与众筹的人一份黑客工具。12月份,该组织取消了失败的众筹尝试,并开始在ZeroBin上较小批量销售黑客工具。
2017年1月份,该组织又以750比特币($ 675,000)的价格出售一批能够绕过杀毒软件的Windows黑客工具。
直到2017年4月8日,影子经纪人再一次进入安全人的视野中,长文分享了一个能打开世界上所有加密文件的“万能密码”。这批漏洞主要针对linux系统,包含EQGRP这套Linux工具。
时隔一周,耐不住寂寞的Shadow Brokers又有了大动作,4月14日,他们在网上免费公开超大批次的“方程式组织”黑客工具,其中包括强大的0day,之后很快有网友解密并长传到github,网络大地震由此开始...
被黑了的方程式组织 (Equation Group)
说来实在嘲讽,方程式组织本身就是一个黑客组织,加密水平以及黑客技术全球领先。根据安全信息领域的媒体报道,“方程式组织”与美国国家安全局关系密切,是一个该局可能“不愿承认”的部门,这在黑客圈几乎是公开的秘密。
“方程式组织”庞大,攻击水平极高,多年来,他们向全世界释放了多种病毒。这些病毒各具特色,分别采用不同的传播手法,设定了不同的攻击目标,给全世界的网络安全造成了极大破坏。例如,有多条证据表明,曾经破坏伊朗核工厂的“震网病毒”,就是“方程式组织”的一大“杰作”。
因此,“方程式”不是一个普通的黑客集团。它的危害,远远超出了我们所熟悉的熊猫烧香、盗号木马等等,它所瞄准的往往是一个国家的关键设施、经济命脉。它所追求的,也不是普通病毒的窃取信息、经济诈骗,而是破坏工业生产,制造社会混乱,乃至直接打击军事设施。
作为史上最强的网络攻击组织,“方程式”拥有一个庞大而强悍的攻击武器库。传统的病毒往往是单兵作战,攻击手段单一,传播途径有限,而“方程式”动用了多种病毒工具协同作战,发动全方位立体进攻,是名副其实的最强网络攻击工具。
“方程式”病毒另一个可怕之处,在于其特别擅长攻击隔离网络,并在隔离网络和互联网之间传送信息。所谓隔离网络,是指那些隔离开来、与互联网并不直接连通的网络,广泛应用于工业控制之中,用以隔绝在互联网上泛滥成灾的病毒。
但在“方程式”面前,隔绝网络也并不安全。据大名鼎鼎的泄密者爱德华·斯诺登所言,即使是美国国家安全局(NSA)也难免百密一疏。NSA人员也会偷懒,有时会将文件留在自己所黑的服务器中。
这样,影子经纪人成功获取疑为NSA的攻击工具也就不足为奇了。
攻击工具
说回事件本身,本次攻击影响的微软产品的漏洞攻击工具一共12个:
应急措施
这些攻击手段所使用的漏洞,如果针对的是还在服务期的系统,微软大部分已经提供了补丁,但是这些补丁还远远不够,在所有补丁打好之前,所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏过,即:
所有的windows操作系统!
所有的windows操作系统!
所有的windows操作系统!
重要的事说3遍!
全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。
此外,确保每台主机上的终端安全软件、策略和防护特征是最新的,检查确认网络中的Windows系统,无论客户端还是服务器系统,安装了最新的安全补丁。
参考文章
https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translationhttps://zhuanlan.zhihu.com/p/26375989https://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/http://www.hackbase.com/article-217748-1.htmlhttp://toutiao.secjia.com/nsa-equation-group-shadow-brokershttp://www.cwzg.cn/politics/201609/30731.html
