NSA武器库知识整理
美国国家安全局(NSA)旗下的“方程式黑客组织”(shadow brokers)使用的部分网络武器被公开,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。
其中,有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子无需任何操作,只要联网就可以入侵电脑,就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。
(摘自KDNET凯迪社区)
Shadow Brokers事件爆发后,微软安全应急响应中心MSRC已经在当天发出公告,MSRC表示会对披露的漏洞进行了彻底调查,并且表明就本次遭到披露的漏洞而言,大多数都已经被修复。以下是部分公告内容:
当潜在漏洞经内部或外部来源上报给微软时,微软安全应急响应中心(Microsoft Security Response Center,缩写为MSRC)会立即进行彻底的调查。我们致力于迅速验证上报信息,确保置客户于风险中的真实、未解决的漏洞得到修复。一旦得到验证,工程团队会尽快修复被上报的问题。修复问题所需的时间会同受影响的产品、服务以及版本直接相关。同时,分析对用户的潜在威胁,以及漏洞被利用的可能性,我们也会摆在MSRC工作的首位。
就本次遭到披露的漏洞而言,大多数都已经被修复。以下是经过确认,已在版本更新中被解决的漏洞列表。
|
漏洞名称 |
解决方案 |
|
“EternalBlue 永恒之蓝” |
由MS17-010解决 |
|
“EmeraldThread 翡翠线” |
由MS10-061解决 |
|
“EternalChampion 永恒冠军” |
由CVE-2017-0146和CVE-2017-0147解决 |
|
“ErraticGopher 漂泊地鼠” |
在Windows Vista发布之前就已经解决 |
|
“EsikmoRoll 爱斯基摩卷” |
由MS14-068解决 |
|
“EternalRomance 永恒罗曼史” |
由MS17-010解决 |
|
“EducatedScholar 受过教育的学者” |
由MS09-050解决 |
|
“ EternalSynergy 永恒协同” |
由MS17-010解决 |
|
“EclipsedWing 黯淡羽翼” |
由MS08-067解决 |
剩下的三个漏洞——“EnglishmanDentist英国牙医”,“EsteemAudit 尊严审计”和“ExplodingCan 爆炸罐头”,在Windows 7、 Windows近期版本、 Exchange 2010以及Exchange较新版本中没有得到复现,所以使用上述版本的用户不存在安全风险。但是,我们强烈建议仍在使用这些产品先前版本的用户升级到更新版本。
情况紧迫,国内安全厂商也快速行动起来了。4月19日深夜,360安全卫士官方微博宣布推出“NSA武器库免疫工具”,可以一键检测修补漏洞;对于没有补丁的系统版本,也可以关闭NSA黑客武器攻击的高危服务,能够全面抵挡NSA武器库的攻击。
(摘自Sohu搜狐 - i春秋)
说了这么多有的没的,我们回到起点,这些漏洞到底是从什么时候开始引起重视的?

(腾讯电脑管家NSA武器库漏洞检测界面)
这要从“EternalBlue永恒之蓝”漏洞开始说起。
首先,EternalBlue漏洞的冲击并非突然爆发,早在4月8日就被一个名人“影子经纪人”黑客组织为了“抗议美国总统特朗普”,利用美国国家安全局基于微软系统一个漏洞的监控工具进行过网络攻击。这个工具当时在网上公布过,但是并没有引起足够的重视。
这种勒索病毒名为WannaCry(及其变种),攻击手段是利用了微软系统的一个漏洞,取名为“永恒之蓝”EternalBlue。
据360安全中心分析,黑客正是通过使用NSA泄漏的“永恒之蓝”攻击Windows漏洞,把ONION、WNCRY等勒索病毒,通过Windows的445端口(文件共享),在网络上快速传播感染。这些病毒,无需用户任何交互性操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,从容植入勒索病毒等恶意程序。
北京时间5月12号晚间,这种恶意勒索软件病毒在世界各地迅速传播,电脑感染后即被锁死,弹出"哎哟,你的文件被加密了!"的显示框。用户被要求支付价值300美元的比特币才能解锁,否则所有资料将被删除。

(被EternelBlue入侵的电脑页面)
(摘自KDNET凯迪社区)
这是这十个漏洞的其中一个。总体来说,这十个漏洞的攻击工具按协议可以分为三类,分别为SMB漏洞,RDP漏洞和Kerberos漏洞。
·SMB漏洞攻击工具
SMB是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源,用于在计算机之间共享文件、打印机、串口和邮槽等。
此次泄露的NSA武器库中,包含了EternalBlue(永恒之蓝)、EternalChampion(永恒王者)、EternalRomance(永恒浪漫)、EternalSynergy(永恒协作)、EmeraldThread(翡翠纤维)、ErraticGopher(古怪地鼠)、EducatedScholar(文雅学者)等SMB漏洞攻击工具。
NSA武器攻击的SMB漏洞都已经被微软补丁修复,在支持期的系统打全补丁就可以了。但是像XP、2003这些微软已经不支持的系统,还是需要使用360的“NSA武器库免疫工具”把高危服务关掉,就可以避免被远程攻击了。
·RDP 漏洞攻击工具
RDP远程桌面服务是远程显示协议。用户可以通过它映像远程操控会话指导其他用户使用软件和系统,也可以用来监视客户机运行情况。Windows用户只要开启3389远程登陆端口便可以通过RDP 远程桌面服务对实现这一功能。
此次泄露的NSA武器中,同样包含着RDP远程桌面服务漏洞攻击工具EsteemAudit(尊重审查)。
EsteemAudit是支持Windows XP和Windows 2003的RDP漏洞远程攻击工具。黑客们利用它可以实现对中招电脑的远程操控,包括监视中招电脑的使用行为。凡是开放了3389远程登陆端口的 Windows 机器,都有可能受到攻击。
由于EsteemAudit影响的系统已经失去微软的支持,没有补丁修复漏洞。Windows用户需要关闭3389远程桌面,如果是服务器系统一定要开启3389端口,至少也要关闭智能卡登录功能,并在防火墙上严格限制来源IP。个人用户可以使用“NSA武器库免疫工具”进行防御。
·Kerberos(三头狗)域控漏洞利用工具
Kerberos 是Windows活动目录中使用的客户/服务器认证协议,为通信双方提供双向身份认证。Kerberos通过身份验证服务和票据授予服务对电脑数据进行管理,实现Windows用户同服务器的数据交换。

(Kerberos安全认证原理)
NSA武器库中的EskimoRoll(爱斯基摩卷)就是Kerberos的漏洞利用工具,它可以攻击 Windows2000/2003/2008/2008 R2的域控制器。Windows用户可以从微软官网下载补丁MS14-068修复该漏洞,也可使用360安全卫士等第三方软件扫描修复漏洞。

(NSA武器库免疫工具界面)
(摘自KDNET凯迪社区)
最后,再来说一下360的“NSA武器库免疫工具”的原理:
·首先检测系统环境,判断当前系统版本,是否存在NSA黑客武器攻击的漏洞。
·如果是Win7、Win10等有补丁的系统,免疫工具会调用360安全卫士打好补丁;
·如果是XP、2003等没有补丁的系统,免疫工具会一键关闭NSA黑客武器攻击的高风险服务从而使黑客武器无法实施攻击。
(摘自优选网)
参考网站:
·PacketStormSecurity-ERRATICGOPHER(漂泊/古怪地鼠漏洞介绍)
https://packetstormsecurity.com/files/142160/ERRATICGOPHER-1.0.1-Windows-XP-2003-SMB-Exploit.html
(PacketStormSecurity是一个在国外比较著名的展示当下和历史的安全工具、安全开发和提供安全建议的网站)
·KDNET凯迪社区
http://club.kdnet.net/dispbbs.asp?boardid=1&id=12249344
·Sohu搜狐 - i春秋
http://www.sohu.com/a/134372861_689961
·优选网
http://www.yxqbx.com/keji/ruanjian/1740663.html
(END)
NSA武器库知识整理的更多相关文章
- [转帖]NSA武器库知识整理
NSA武器库知识整理 https://www.cnblogs.com/FrostDeng/p/7120812.html 美国国家安全局(NSA)旗下的“方程式黑客组织”(shadow brokers) ...
- js事件(Event)知识整理
事件(Event)知识整理,本文由网上资料整理而来,需要的朋友可以参考下 鼠标事件 鼠标移动到目标元素上的那一刻,首先触发mouseover 之后如果光标继续在元素上移动,则不断触发mousemo ...
- Kali Linux渗透基础知识整理(四):维持访问
Kali Linux渗透基础知识整理系列文章回顾 维持访问 在获得了目标系统的访问权之后,攻击者需要进一步维持这一访问权限.使用木马程序.后门程序和rootkit来达到这一目的.维持访问是一种艺术形式 ...
- Kali Linux渗透基础知识整理(二)漏洞扫描
Kali Linux渗透基础知识整理系列文章回顾 漏洞扫描 网络流量 Nmap Hping3 Nessus whatweb DirBuster joomscan WPScan 网络流量 网络流量就是网 ...
- wifi基础知识整理
转自 :http://blog.chinaunix.net/uid-9525959-id-3326047.html WIFI基本知识整理 这里对wifi的802.11协议中比较常见的知识做一个基本的总 ...
- 数据库知识整理<一>
关系型数据库知识整理: 一,关系型数据库管理系统简介: 1.1使用数据库的原因: 降低存储数据的冗余度 提高数据的一致性 可以建立数据库所遵循的标准 储存数据可以共享 便于维护数据的完整性 能够实现数 ...
- 【转载】UML类图知识整理
原文:UML类图知识整理 UML类图 UML,进阶必备专业技能,看不懂UML就会看不懂那些优秀的资料. 这里简单整理 类之间的关系 泛化关系(generalization) 泛化(generalize ...
- Linux进程管理知识整理
Linux进程管理知识整理 1.进程有哪些状态?什么是进程的可中断等待状态?进程退出后为什么要等待调度器删除其task_struct结构?进程的退出状态有哪些? TASK_RUNNING(可运行状态) ...
- js事件(Event)知识整理[转]
事件注册 平常我们绑定事件的时候用dom.onxxxx=function(){}的形式 这种方式是给元素的onxxxx属性赋值,只能绑定有一个处理句柄. 但很多时候我们需要绑定多个处理句柄到一个事件上 ...
随机推荐
- linux(centos)下安装PHP的PDO扩展
PHP 数据对象PDO扩展为PHP访问数据库定义了一个轻量级的一致接口.PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据.最近在我们的建站和O ...
- ps-ef|grep-vgrep|grepsep|awk'{print"kill-9"$2}'|sh 这个表达式到底是什么意思啊?
最佳答案 kill 掉sep这个程序ps -ef | 获取当前服务器所有进程grep -v grep 相当于grep自己吧自己过滤掉,就是不显示grepgrep seq 过滤出seqawk 截取 ...
- 51nod 1008 N的阶乘 mod P
输入N和P(P为质数),求N! Mod P = ? (Mod 就是求模 %) 例如:n = 10, P = 11,10! = 3628800 3628800 % 11 = 10 Input 两 ...
- [补档][Usaco2015 Jan]Grass Cownoisseur
[Usaco2015 Jan]Grass Cownoisseur 题目 给一个有向图,然后选一条路径起点终点都为1的路径出来,有一次机会可以沿某条边逆方向走,问最多有多少个点可以被经过? (一个点在路 ...
- 起床困难综合症[NOI2014]
[题解] 并不算很困难的贪心题.位运算毕竟是针对每一位的,从前向后处理,如果某一位1比0更优且可取1就使它为1.比较0和1的结果要单取这一位来看,但是题目中所给的参数并没有必要全部二进制分解,直接用十 ...
- Code Complete
一.<代码大全>优先阅读参考顺序: 自学编程人:第07章 高质量的子程序 低年级学生:第11章 变量命名的力量 高年级学生:第08章 防御式编程 初级程序员:第18章 表驱动法 高级程序员 ...
- proxifier配合ss,实现全局代理
proxfixer配合ss的话,基本可以实现全局代理,分应用代理,或者玩外服的游戏(一般的游戏默认不走代理,本软件可以强制应用代理) 由于ss使用的是sockets5代理,一般情况下只有浏览 ...
- ubuntu系统普通用户sudo命令执行报错解决方案
通过adduser user1命令创建普通用户,且使该用户具有sudo权限(将该新用户user1添加到sudo或root用户组中,或者修改/etc/sudoer文件),但是依然无法执行sudo指令,会 ...
- 【模板】51Nod--1085 01背包
在N件物品取出若干件放在容量为W的背包里,每件物品的体积为W1,W2--Wn(Wi为整数),与之相对应的价值为P1,P2--Pn(Pi为整数).求背包能够容纳的最大价值. Input 第1行,2个整数 ...
- HttpClient笔记与踩过的坑
本来有个指纹采集功能做了个winFrom小程序 在本地测试都还能行,后来快上线的时候发现 客户用的阿里云数据库, 不对外公布 ,然后发现本地采集的数据没办法上传到数据库怎么办呢? 然后曲线救国,用we ...