啟明星辰升級事件庫,助你輕松應對“NSA黑客工具”攻擊
責編:mhshi |2017-04-16 14:21:32北京時間4月14號晚,Shadow Brokers (影子經紀人)在博客上放出第二波方程式組織Equation Group的黑客工具包,而本次泄露的工具包中包含大量高危Windows漏洞利用工具,更有多個漏洞堪稱”核彈級”的漏洞。
截止到目前,啟明星辰已升級事件庫,可對解密后的工具包所涉及的Windows漏洞利用做出檢測和防護。
目前已知受影響的 Windows 版本包括但不限于:Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
一 技術解讀
此次泄漏的文件有三部分,分別為:
1. Windows,包含多個Windows漏洞利用工具。
2. swift,包含攻擊銀行操作系統的文檔。
3. OddJob,包含無法被殺毒軟件檢測的Rootkit利用工具。
其中涉及Windows的主要漏洞有:
● 針對Windows 2003 的IIS 6.0遠程漏洞。
● SMB1的重量級漏洞,可以用來攻擊并提權開放了445端口的Windows系統。
● RDP服務遠程漏洞,可以攻擊開放了3389端口的Windows系統。
● 針對IBM Lotus 的漏洞。
詳細工具名稱以及對應功能如下表所示:
經測試,上述大部分工具的漏洞利用可以復現成功,部分截圖如下:
如下圖所示,獲得了Windows 7系統的system權限。
二 修復方案
1、微軟解決方案:
微軟MSRC建議,此次Shadow Brokers公開提供的針對Windows攻擊的漏洞絕大部分已經在之前的系統升級補丁中修復。(如下圖所示)
攻擊工具EnglishmanDentist,EsteemAudit和ExplodingCan只影響微軟不再支持的版本。
需要注意在3月份發布的MS17-010補丁,該補丁修復了3個重大的SMB遠程利用漏洞,請用戶盡快下載該補丁或升級至最新Windows版本。
微軟官方關于此次事件的通告:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=groupmessage&isappinstalled=0
2、虛擬補丁:
對于Windows系統無法打補丁,無法通過防火墻進行端口阻斷,同時必須要開啟135、137、139,445和3389端口相關服務的用戶。
請及時升級IDS,IPS事件庫至最新版,最新版事件庫中的以下事件可以有效檢測或阻斷上述漏洞工具帶來的威脅。
三 產品報警
1、天闐入侵檢測系統報警截圖:
2、天清入侵防御系統報警截圖:
啟明星辰公司將秉承誠信和創新精神,繼續致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業第一品牌而不懈努力。