北京时间 4 月 14 日晚,一大批新的 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布,其中包含了涉及多个 Windows 系统服务(SMB、RDP、IIS)的 远程命令执行工具,部分漏洞还处于 0day 状态。目前这些漏洞利用工具完全处 于立即可用的公开的状态,黑客极有可能直接利用来控制受影响的 Windows 服 务器。
这 是 继 上 周 4 月 8 号 第 一 波 放 出 EQGRP-Auction-Files 文 件 解 密 密 码
(http://bobao.360.cn/news/detail/4107.html )之后,又一次的大规模公开的放 出解密密码,现在任何感兴趣的人员都可以直接下载解密。
NSA:美国国家安全局(NationalSecurityAgency,简写为 NSA)是美国政府机 构中最大的情报部门专门负责收集和分析外国及本国通讯资料,隶属于美国国防 部,又称国家保密局。它是 1952 年根据杜鲁门总统的一项秘密指令,从当时的 军事部门中独立出来,用以加强情报通讯工作的,是美国情报机构的中枢。
360 安全监测与响应中心也将持续关注该事件进展,并第一时间为您更新该 漏洞信息。
2.1 事件描述
第 二 波 解 密 的 黑 客 工 具 包 内 容 包 括 odd.tar.xz.gpg, swift.tar.xz.gpg and windows.tar.xz.gpg
windows: 包括 Windows 利用工具, 植入式的恶意软件 和一些攻击代码
swift: 包括 银行攻击的一些内容
oddjob: 包括与 ODDJOB 后门相关的 doc
据相关研究人员称:
Windows 文件夹包含对 Windows 操作系统的许多黑客工具,但主要针对的 是较旧版本的 Windows(Windows XP 中)和 Server 2003。
其中“ETERNALBLUE是一个0dayRCE漏洞利用,影响最新和更新的Windows2008R2SERVERVIASMB和NBT!”一位名叫HackerFantastic在推特上称。
OddJob 文件夹包含基于 Windows 的植入软件,并包括所指定的配置文件和 有效载荷。虽然目前这种植入软件的细节很少,但 OddJob 适用于 Windows Server 2003 Enterprise(甚至 Windows XP Professional)。
2.2 风险等级
360 安全监测与响应中心风险评级为:危急
2.3 应对措施
在相应的补丁出来之前,强烈建议用户马上检查服务器的配置,如果对外的 SMB 服务器是不必要的,请尽快关闭;对于 RDP 远程终端服务设置防火墙规则, 只允许可信来源 IP 的访问;对于 Windows 2003 的 IIS 6.0 如之前的通告关闭 WebDAV 功能。
目前经过研究人员分析后,已知的受影响版本如下,其他版本正在紧急分析 中。
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0。
第 4 章 参考文档
详细信息可以参考如下链接:
http://m.bobao.360.cn/news/detail/4118.html?from=timeline&isappinstalled=0
(本文来源: 360安全监测与响应中心 )
网络信息中心
2017.4.18
