专栏首页腾讯云安全的专栏腾讯云发布一键封堵工具,完美规避 NSA 黑客工具影响

腾讯云发布一键封堵工具,完美规避 NSA 黑客工具影响

本文转自 IT168 报道

北京时间 2017 年 4 月 14 日晚,国际黑客组织TheShadowBrokers在steemit.com博客上再次公开了方程式组织Equation Group(据称是 NSA美国国家安全局下属的黑客组织,有着极高的技术手段)的工具包,这是继4月8号第一波放出EQGRP-Auction-Files 部分文件解密密码之后,又一次的大规模公开解密密码, 本次被公开的工具包大小为117.9MB,包含23个黑客工具,其中部分文件显示NSA曾入侵中东SWIFT银行系统。对此,腾讯云第一时间进行了深入分析,并且发布了一键封堵工具,可以帮助用户有效抵御因NSA黑客武器所带来的各类远程攻击,完美规避因本次黑客武器库泄露所带来的安全风险与影响。

1 关于“TheShadowBrokers”事件

入侵NSA美国国家安全局下属的黑客组织不难让人联想起像好莱坞电影的黑客入侵场景,而近期上映的《速度与激情8》的黑客控制汽车的场景也让人历历在目,那么能够入侵美国国家安全局的TheShadowBrokers(影子经纪人)究竟有着什么样的背景和来历呢?

攻击回顾

1. 2016 年 8 月,“Shadow Brokers”称已入侵了黑客组织方程式组织的系统,并窃取了大量机密文件,针对其中部分文件打算以公开拍卖的方式进行竞拍,由于定价过高(约5亿美元),工具一直无人竞拍。

2. 2017 年 4 月 8 日,“Shadow Brokers” 公布了保留部分的解压缩密码,之后被上传到Github网站提供下载。

3. 2017 年 4 月 14 日晚, Shadow Brokers”放出了第二波保留的部分文件。 其中包括新的23个黑客工具。

关于“影子经纪人”及幕后

在时间发生的当天下午,腾讯云已发出预警通知,并第一时间针对解密的黑客工具包分享了云鼎实验室的最新分析,在解密后的SWIFT文件中发现了大量的Excel文件、PPT文稿、攻击证据以及EastNets机构的内部资料,部分攻击分析截图如下:

▲存放一些金融信息系统被入侵的机器信息记录

▲反洗钱组织EastNets和多个中东地区银行

被入侵(图片来自解密工具包数据)

与此同时,通过对解密文件中的excel文件分析发现(如下图),方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。

其中一个入侵日志如下:

据了解,EastNets是全球领先的反洗钱金融服务的供应商,其同时为金融服务业提供合规、支付与云解决方案等服务,同时也是中东最大的SWIFT(全称Society for Worldwide Interbank Financial Telecommunication,环球银行金融电信协会)服务商之一,SWIFT是一个协作组织,它运营着世界级的金融电文网络,银行和其他金融机构通过它与同业交换电文(message),从而完成金融交易。除此之外,SWIFT还向金融机构销售软件和服务,其中大部分的用户都在使用SWIFT网络。到2007年6月为止,SWIFT的服务已经遍及207个国家,接入的金融机构超过8100家,通过目前泄露的数据来看,这个疑似美国国家安全局的黑客组织方程式早已获得了世界各地许多银行的访问权,中东各国的银行均可能已经受到不同程度的入侵和攻击,而至于背后攻击的目的,不难想象可能与美国国安局为了监控中东地区流向拉美银行的资金流有关。

2 影响漏洞危害

此次泄露的文件包含了多个 Windows 远程漏洞利用工具,可以覆盖大量的 Windows 服务器(影响系统版本见附录),由于工具任何人都可以直接下载并远程攻击利用,因而可以很轻易被攻击者利用远程控制服务器及个人电脑,且由于国内各大企业、政府以及互联网公司等都不同程度在仍然都在使用Windows系统,因而漏洞影响之大及影响面之广可见非同一般。

影响范围

根据国际知名网络空间搜索引擎 ZoomEye 统计数据显示,目前全球有超过 69.1 万台 Windows 服务器使用了 SMB 协议,而使用了 RDP 协议的 Windows 服务器更是多达 133.8 万台。

上述受影响数据中,中国大陆使用 SMB 协议的 Windows 服务器数量约为 13.6 万台,占全球总量的 19.7%,而中国大陆使用 RDP 协议的 Windows 服务器数量约为 23.1 万台,占全球总量的 17.3%。

▲全球RDP服务数量全球分布情况

(为Windows服务器RDP服务统计情况,仅漏洞影响面分析)

▲全球SMB服务全球分布情况

(为Windows服务器SMB服务统计情况,仅漏洞影响面分析)

▲中国区RDP服务分布情况

(数据来自 ZoomEye,仅为分布情况,非实际漏洞影响)

▲中国区SMB服务分布情况

(数据来自 ZoomEye,仅为分布情况,非实际漏洞影响)

根据腾讯云安全团队对此次泄漏的 Windows 漏洞利用工具验证可知,对外开启了 137、139、445 和 3389 中任一端口的 Windows 服务器有很大概率被攻破,其中,开放 445 和 3389 端口的 Windows 服务器受影响最为严重,此次泄漏的工具对于整个互联网上的 Windows 服务器安全性危害巨大。

3 如何修复

那么针对如此之严重的安全风险,我们该如何保障自己所负责的业务或者机器不受此次事件影响呢?

处于此次事件漩涡中心的微软第一时间对此进行了表态,表明大部分的漏洞已经修复,并给出了修复的时间表:

4 对于腾讯云用户和非腾讯云用户,腾讯云安全团队分别有如下建议:

★非腾讯云用户安全修复建议:

☆比较推荐的方法是安装微软官方补丁,目前工具所利用的大部分漏洞微软已于 3 月份发布相关补丁,及时更新即可修复此类漏洞;

☆如果用户暂时无法升级,则可以考虑对可能受影响的137、139、445、3389在防火墙上进行端口关闭或过滤,阻断黑客攻击的入口。

★腾讯云用户安全修复建议:

☆针对新用户创建的镜像:目前腾讯云全网提供的Windows镜像均已安装最新补丁,默认不受此次释放出的攻击工具影响,用户可放心使用;

☆针对腾讯云老用户创建新镜像的场景,由于腾讯云官方提供的Windows镜像已更新,故亦不受此次攻击工具泄露影响;

☆针对老用户的存量机器,您可以采取如下措施进行修复:

1> 目前腾讯云控制台发布了此漏洞的一键封堵工具,如果用户在业务上没有使用137、139、445端口,可登录【CVM控制台】-【安全组】-【编辑规则】使用工具一键规避此漏洞风险。

2> 直接利用系统自带的Windows Update工具在线更新相关补丁即可(推荐);

3> 使用腾讯云安全组策略过滤受攻击影响的端口:腾讯云安全组策略可以受影响的服务端口做安全过滤或限制,拒绝外部的恶意攻击请求,避免被外部工具直接利用(腾讯云官方BBS http://bbs.qcloud.com/thread-28531-1-1.html、公众号以及客户服务群均有详细操作说明);

4> 在服务器上卸载相应的受影响的服务并限制登录访问源:将存在漏洞的服务卸载后再限定可以登录的源IP,可以最大程度减少被攻击的风险。

附录:受影响Windows操作系统列表

本文分享自微信公众号 - 腾讯云安全(TencentCloudSecurity),作者:IT168

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-04-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • ShadowBrokers 泄漏的美国 NSA 黑客工具包浅析

    腾讯云安全
  • 副总理马凯久久驻足,腾讯云反诈骗平台究竟有何吸引?

    腾讯云安全
  • 刚需 |Wannacry 勒索蠕虫病毒用户修复指引

    腾讯云安全
  • 安全通告丨Windows SMB远程代码执行漏洞安全通告(CVE-2020-0796)

    腾讯云鼎实验室发现微软周二补丁日披露了一个SMB服务的重大安全漏洞,攻击者利用该漏洞无须权限即可实现远程代码执行,该漏洞的后果十分接近永恒之蓝系列,都利用Wi...

    云鼎实验室
  • 只需三分钟,了解张朝阳创业史

    张朝阳,1964年10月31日出生在陕西省西安市,祖籍河南省洛阳市孟津县。父母都是医生,童年时代的张朝阳生活在西安东郊一个工厂的家属院。小时候的张朝阳有段时间特...

    张叔叔讲互联网
  • Scoops android app多主题架构(五)

    原理分析 核心代码位置 https://github.com/52inc/Scoops/tree/master/scoops/src/main/java/com...

    用户1263308
  • The OFFBITS教你用闲置零件组装迷你机器人

    ---- 每个人家里的抽屉里永远堆积着好多零零散散、闲置的螺丝或各种金属丁丁卯卯,我们不扔掉的原因是,因为我们知道它们可能会变废为宝,比如用来修理坏的自行车、...

    机器人网
  • AR摩托车头盔消除视野盲点,为你保驾护航

    VRPinea
  • 【抗“疫”特别专题】《腾讯云TVP直播课-AR在公共安全及应急指挥中的应用》

    「腾讯云大学」联合「腾讯云最具价值专家(TVP)团队」在疫情期间为开发者特推出了免费的腾讯云TVP直播课!让您足不出户,即可享受优质的学习资源,就能完成开发技能...

    腾讯云大学
  • dotnet 通过 WMI 获取指定进程的输入命令行

    使用下面代码,使用 Win32_Process 拿到所有的进程,通过 WHERE 判断当前的进程,然后拿到进程传入的命令

    林德熙

扫码关注云+社区

领取腾讯云代金券