根据360安全响应中心,会同360互联网安全中心、360伏尔甘实验室、360冰刃实验室、360安全卫士产品团队、360天眼实验室、360天擎终端安全产品团队对NSA渗透工具被曝光事件的初步判定,此次事件,是最近五年当中,对政企网络安全影响最大的事件之一。网络安全行业将此次事件描绘为“网络世界的重大灾难级危机”。

由于被泄漏出的工具属于美国国家安全局使用的攻击武器,其使用的漏洞的危险程度、漏洞利用程序的技术水平、以及工具工程化水平,都属于世界顶级水平。这些工具的泄漏,将会极大提升黑色产业链、商业间谍组织和国家级APT攻击的技术水平,相应也会对防护系统提出更高的要求。
泄漏的漏洞信息、利用工具完整性和实用性很强,可以预期未来的很短时间内,这类工具会被广泛利用。因此针对政企单位的网络的防护工作,应该立即展开,这是与黑色产业链、商业间谍组织赛跑的过程,响应速度越快、执行越迅速,对于政企单位的风险会越低。信息安全负责人应该将此工作作为本单位近期的重要的工作来执行。安全部门负责人应该协调相关的IT运维部门和各IT技术和服务供应商一同应对,而非由安全部门独立工作。
由于此次泄漏事件的长期影响,信息安全负责人应该基于此次事件的应急过程,重新审视本单位的应急响应能力和IT与安全运营的整体成熟度,并针对本单位的弱点进行尽快的补齐。
本次事件当中对政企单位网络影响最大的是针对Windows系统的漏洞和攻击,响应工作应该围绕漏洞的分析展开。需要尽快从漏洞的攻击面、潜在的攻击路径方面进行分析,制定快速发现,应急处置及漏洞根除方面的策略和工作。
基本信息和判断

影响微软产品的漏洞攻击工具一共12个:
1. EternalBlue(永恒之蓝) :  SMBv1 漏洞攻击工具,影响所有Windows平台,还在支持期的系统打上MS17-010 可以免疫,不再支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
2. EmeraldThread(翡翠纤维):  SMBv1漏洞攻击工具,影响XP、2003、Vista、2008、Windows7、2008 R2,已经被MS10-061修复。
3.EternalChampion(永恒王者):  SMBv1漏洞攻击工具,影响全平台,已经被MS17-010修复,不在支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
4.ErraticGopher(古怪地鼠):  SMB漏洞攻击工具,只影响XP和2003,不影响Vista以后的系统,微软说法是Windows Vista发布的时候修复了这个问题,但是并未提供针对XP和2003的补丁编号。
5.EskimoRoll(爱斯基摩卷): Kerberos漏洞攻击工具,影响2000/2003/2008/2008 R2/2012/2012R2 的域控服务器,已经被MS14-068修复。漏洞在Windows 2000 Server当中也存在,但是没有补丁。
6.EternalRomance(永恒浪漫):  SMBv1漏洞攻击工具,影响全平台,被MS17-010修复,不在支持期的系统,可以禁用SMBv1(配置注册表或组策略,需要重启)
7. EducatedScholar(文雅学者) :  SMB漏洞攻击工具,影响VISTA和2008,已经被MS09-050修复.
8. EternalSynergy(永恒增效):  SMBv3漏洞攻击工具,影响全平台,被MS17-010修复,不在支持期的系统,建议禁用SMBv1和v3(配置注册表或组策略,需要重启)
9. EclipsedWing(日食之翼): Server netAPI漏洞攻击工具,其实就是MS08-067,影响到2008的全平台,打上补丁就行。
10.EnglishManDentist(英国牙医): 针对Exchange Server的远程攻击工具,受影响版本不明,但微软说仍在支持期的Exchange Server不受影响,建议升级到受支持版本
11.EsteemAudit(尊重审计): 针对XP/2003的RDP远程攻击工具,无补丁,不在支持期的系统建议关闭RDP禁用,或者严格限制来源IP
12. ExplodingCan(爆炸罐头): 针对2003 IIS6.0的远程攻击工具,需要服务器开启WEBDAV才能攻击,无补丁,不再支持期的系统建议关闭WEBDAV,或者使用WAF,或者应用热补丁
其他受影响产品和对应工具5个:
EasyBee(轻松蜂): MDaemon邮件服务器系统,建议升级或停用
EasyPi(轻松派): Lotus Notes ,建议升级或停用
EwokFrenzy(狂暴伊沃克): Lotus Domino 6.5.4~7.0.2 建议升级或停用
EmphasisMine(说重点): IBM Lotus Domino 的IMAP漏洞,建议升级或停用
ETRE: IMail 8.10~8.22远程利用工具,建议升级或停用
整体影响评估
1. 影响范围包括 全部主要版本的Windows操作系统 ,对互联网部分和企业内网部分会产生重大影响;
2. 主要受影响服务、端口为:IIS服务,137、139、445、3389端口的服务;
3. 预期上述服务的漏洞可被高效地利用,进而发动“蠕虫病毒”式的大范围二次攻击;
4. 预期黑色产业将利用此漏洞发动勒索式攻击;
5. 可受影响区域:互联网区域、办公区域和内网(核心、业务)。
建议应急策略
本次曝光的工具,大部分是针对Windows操作系统的远程攻击程序,通过这些工具,可以实现在Windows系统远程植入恶意代码。这些攻击手段所使用的漏洞,如果针对的是还在服务期的系统,微软大部分已经提供了补丁。响应工作应该基于漏洞的攻击面展开,从快速发现,应急处置及漏洞根除三个方面进行处置。
1.确认影响范围:
1)确认互联网边界是否存在WindowsServer 2003开启远程桌面服务及IIS服务。
2)内部范围自查RDP服务的使用范围,针对所有Windows 2003并开启远程桌面服务的主机确定业务需求:是否需要开启远程桌面、是否有远程桌面的替代方案。如必须开启远程桌面的Windows 2003主机,需确定业务需求范围,针对性的开启访问控制白名单策略,确保只有授信人员才可以访问。
3)内部范围自查共享服务的使用范围,在没有明确业务场景的条件下禁止135及445的端口通信。如果业务场景需要使用SMB共享服务,需根据业务需要逐条开放访问控制白名单策略,防止可能发生的蠕虫病毒大范围传播。
2.应急处置手段:
1)确保每台主机上的终端安全软件、策略和防护特征是最新的。
2) 针对还在服役的运行有IIS6.0 的 Windows Server 2003服务器,尽可能下线、迁移直接面向互联网提供服务的服务器。
3)升级相关NGFW及IPS规则。
3.根治手段
1)在网络边界访问控制设备上禁止从不可信网络(互联网)来源的入站139、445端口的访问;对于终端服务的访问端口3389设置严格访问来源控制,只允许可信来源IP访问。
2)检查确认网络中的Windows系统,无论客户端还是服务器系统,安装了最新的安全补丁。具体到本次事件,可以重点关注下列历史补丁包是否已经安装:

  • MS08-067
  • MS09-050
  • MS10-061
  • MS14-068
  • MS17-010

如果没有打全,请安排补丁升级计划。
3)如果政企单位使用了域控服务器和Exchange服务器,请安排微软服务商针对域控服务器和Exchange服务器打补丁。
360产品针对该事件的处置建议:
1. 360新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,通过更新IPS特征库已经完成了对上述攻击工具相关漏洞的防护, 建议用户尽快将IPS特征库升级至“20170415”版本 。
2. 360天眼未知威胁感知系统的流量探针在第一时间加入了其中几款最严重的远程代码执行漏洞的攻击检测,包括EternalBlue、EternalChampion、EternalRomance、EternalSynergy等。另外,其他利用工具的检测规则在持续跟进中,请密切关注360天眼流量探针规则的更新通知。

360天眼产品的应急处置方案: 360天眼流量探针(传感器)通过:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级。

3. 360威胁情报中心已经第一时间协助360杀毒处理了涉及到的黑客工具。

NSA黑客工具泄露 网络世界的灾难级危机如何应对?[NSA黑客工具名单]相关推荐

  1. 这群白帽黑客,是网络世界的守夜人 ​

    前言 这是在网络世界,聪明的头脑之间,关于智慧.毅力.勇气的战斗. 文末有彩蛋 一方是坚固的盾,一方是锐利的矛.数以亿计的代码中,他们寻找着一丝破绽,难度堪比大海捞针. 一丝破绽令多少人趋之若鹜,又让 ...

  2. 这群白帽黑客,是网络世界的守夜人

    这是在网络世界,聪明的头脑之间,关于智慧.毅力.勇气的战斗. 一方是坚固的盾,一方是锐利的矛.数以亿计的代码中,他们寻找着一丝破绽,难度堪比大海捞针. 一丝破绽令多少人趋之若鹜,又让多少人奋不顾身.但 ...

  3. 美国顶级安全公司遭国家黑客攻击,网络武器库失窃

    全球最大的网络安全公司之一FireEye(火眼)于12月8日透露,其内部网络被某个"拥有一流网络攻击能力的国家"(黑客)突破. FireEye是一家全球知名的网络安全公司,成立于2 ...

  4. 网络世界的罪与罚:黑帽子是没有天堂的

    本文讲的是网络世界的罪与罚:黑帽子是没有天堂的,黑客和网络犯罪分子在当今的网络世界里已经可以称得上是最危险的角色之一了.因为他们善于隐匿,难以追踪,对网络用户构成了无处不在的严重威胁. 然而天网恢恢, ...

  5. 准网络战级攻击来了?勒索病毒黑客:还将瞄准手机

    黑客组织"影子经纪人"日前再度发出警告称,将在6月披露更多窃自美国国家安全局的黑客工具, 瞄准Windows 10.路由器.浏览器甚至是手机.这意味着,接下来全球可能面临新的网络安 ...

  6. 从补天白帽大会看网络世界那些“挖洞”的人

    因为比特币的兴起,我们渐渐熟知在网络的世界中有一群"挖矿"的人和这个词的涵义.不过还有一个与之相近的词同样脱胎于网络世界--"挖洞",它的背后同样围绕了一个群体 ...

  7. 熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月

    这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...

  8. 在网络世界中如何才能保护好自己的安全?

    网络安全在我国也是一个十分令人头疼的问题,每年信息贩卖的案件频繁发生,那我们在网络世界中该如何才能在网络中保护我们的信息安全呢? 以前的我也是十分中二,想成为一名黑客,在千里之外杀人于无形,看着网络论 ...

  9. 网络世界有哪些不为人知的秘密?

    你比诸葛亮更厉害,你有庞大的情报网,无论走到哪都可以实时收到天下大事,并做出决策 你有比皇帝更强大的八百里加急传书,1 秒之间就能和你的大臣聊骚.分享宫里生活.快乐.与悲伤 全世界的人都在为你服务,你 ...

  10. 盘点世界上最出名的十大黑客(每个都能改变历史的大神人物)

    通过互联网影响世界,这些并不是天方夜谭,最顶尖的黑客们隐藏在数以亿计的普通网民中,却能左右着历史的进程 今天就和大家聊一聊,世界上最出名的十大黑客 凯文·米特尼克 1963年出生于洛杉矶,绰号头号黑客 ...

最新文章

  1. 关于parallel rollback的一点总结
  2. arm linux 中断优先级,ARM中断处理过程
  3. mysql 存储时间 时间戳_具体场景下MySQL中用“时间戳”存储时间的问题
  4. 买房后每月还贷是什么感觉?
  5. 膨胀、腐蚀、开、闭运算——数字图像处理中的形态学
  6. kafka权威指南-笔记
  7. jdk和jre有什么区别?
  8. C语言入门习题系列一(含答案)
  9. JS~Boxy和JS模版实现一个标准的消息提示框
  10. 多项式——多项式牛顿迭代
  11. 探秘阿里聚石塔技术架构实现(一)
  12. 编个故事,骗700元的稿费真容易啊!
  13. 如何使用python批量压缩图片_使用python脚本批量压缩图片大小
  14. 5项基因改造让你拥抱大财富
  15. hubot+slack(hubot部分)
  16. 企业级360°全方位用户画像:环境搭建[五]
  17. git 查看自己秘钥_git秘钥配置--转
  18. hdu 5435 A serious math problem 数位dp
  19. 推荐几个常用在线图工具(支持时序图、用例图、类图、活动图、组件图、状态图、对象图、部署图等。同时还支持非 UML 图的甘特图、架构图等)
  20. 购物系统-网上书店 javaweb jsp+Servelt+JDBC连接数据库(源码分享)

热门文章

  1. 【禁忌搜索】基于禁忌搜索算法实现经典VRP问题的matlab仿真
  2. Spring Bean生命周期总结
  3. 阿里巴巴 Java 性能调优手册
  4. 【python实战】23个爬虫项目源码:微信、淘宝、知乎、微博...
  5. 【音视频】实操YUV与RGB互转(planar模式 YUV420、YUV422、YUV444与RGB888)
  6. 华为手机桌面计算机消失怎么办,华为手机桌面所以图标不见了怎么办
  7. android 9坚果r1,坚果R1、小米MIX2S、一加6对比评测 骁龙845旗舰怎么选?
  8. 语音验证码api 手机接听验证码
  9. ESP8266与ESP8285开发时有什么区别
  10. Appium原理精讲