黑客公布無數種攻擊windows的方法，對我們有什麼影響

本文作者：李勤，雷鋒網網路安全專欄作者。

4月14日晚上，網路安全研究員餘弦在23點16分發了一條朋友圈：

方程式組織又被 Shadow Brokers 泄了一堆工具，都過去六個小時了，沒人關注了呀。

這一晚靜悄悄地過去了，4月15日（周六）一大早，雷鋒網發現，網路安全圈簡直要炸鍋了！

原來，這事影響真的挺大的。

事情是這樣的，「The ShadowBrokers」是一個神秘組織，該組織聲稱他們黑進了方程式黑客組織（Equation Group）–一個據稱與美國情報機構國家安全局（NSA）有關係的網路攻擊組織，並下載了他們大量攻擊工具。

「The ShadowBrokers」和 Equation Group 是老冤家了，以前就黑進去過 Equation Group。

上周周六，「The ShadowBrokers」 就泄露了大量 NSA 的文件，其中深度披露了這家精英間諜機構的黑客攻擊方法，而且曝光了一批漏洞，這批漏洞主要針對Sun OS、Solaris 。

在 Medium 上的一篇長博文中，「The ShadowBrokers」 分享了一個可以打開所有加密文件夾的密碼（此前該組織試圖在互聯網上拍賣）。該組織表示，此舉是為了表達對特朗普政府上任以來的不滿，其中包括本周早些時候對敘利亞空軍基地發動的導彈襲擊。

沒想到，4月14日（本周周五），它又泄露了一份機密文檔，其中包含了多個 Windows 遠程漏洞利用工具，可以覆蓋全球 70% 的 Windows 伺服器。

「Monster@長亭科技」撰文稱：

「一夜之間所有Windows伺服器幾乎全線暴露在危險之中，任何人都可以直接下載並遠程攻擊利用，考慮到國內不少高校、政府、國企甚至還有一些互聯網公司還在使用 Windows 伺服器，這次事件影響力堪稱網路大地震。

目前已知受影響的 Windows 版本包括但不限於：Windows NT，Windows 2000（沒錯，古董也支持）、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。」

想必看到上述資料時你已經一臉懵b，為此，我們特地採訪了360企業安全的360天眼實驗室安全專家汪列軍，為你解析這次事件。

［ 4 月 14 日晚，「Shadow Brokers」 終於忍不住了，在推特上放出了他們當時保留的部分文件，解壓密碼是 「Reeeeeeeeeeeeeee」。來源：bleepingcomputer］

汪列軍：誰說是收費的？有些組織根本用的就是盜版的 Windows 伺服器。尤其，這次受到影響最大的是Windows 2003 的伺服器，從微軟的相關協議里可以知道，現在微軟基本已經對Windows 2003 停止提供服務了，也就是說，這次曝出的漏洞以及漏洞利用工具，如果微軟不出補丁，那麼對Windows 2003 這種老版本的伺服器影響很大。但是，放出的個別工具可以攻擊Windows 10。

汪列軍：對個人用戶影響有部分影響，主要影響的是擁有伺服器的組織以及安全管理員。比如，個人用戶的電腦如果打開了某些針對服務端的埠，也會受到影響，而且，XP和Win7 的445埠開放而且默認可訪問，個人用戶需要及時打補丁。Win10也一樣，需要關閉Server服務，或配置防火牆，如果不會上述操作，就要及時打補丁。

同時，對內網的個人用戶也會產生很大影響。

針對使用Windows伺服器的相關組織，網路安全維護人員要注意：

要關閉 137、139、445埠；對於 3389 遠程登錄，如果不想或者不能關閉的話，至少要關閉智能卡登錄功能，需要設置訪問過濾，不能隨便放在網上誰都能用；如果有邊界防護設備，網路安全管理員要把受影響的埠禁掉；安全人員必須趕緊排查自家的 Windows伺服器，了解是否已經被入侵。

最重要的是，這次放出的不是針對 Windows伺服器的單個漏洞利用工具，而是非常完善的一個漏洞利用框架和系統性的漏洞利用工具套裝，毫不誇張地說，對使用者的技術要求比較低，幾乎都能下載這套工具發動攻擊，而受到攻擊的 Windows伺服器幾乎就成了攻擊者的「肉雞」，上面所儲存的信息、伺服器承載的各項功能許可權、計算能力等都能被攻擊者獲取。

很可怕的是，你可以看到，這次是周五放出的漏洞，周末黑產人員是不會休息的，但很多安全公司周末是放假的，十六七個小時過去了，自家伺服器是不是已經被利用了很難說。不過，需要指出的一點是，針對銀行系統儲戶信息是否可能泄露的問題，我了解到的是——得看 Windows伺服器上是不是有這種資料庫，這些重要數據一般都在 Unix 系統上，或者在 IBM 的小型機上。

另外，360公司態勢感知方面的專家張翀斌對雷鋒網表示，銀行的核心系統一般確實不採用 Windows ，但辦公系統採用 Windows 系統。

雷鋒網還了解到，這次「The ShadowBrokers」 分享的文件有三個目錄，分別為「Windows」、「Swift」 和 「OddJob」，包含一堆令人震撼的黑客工具。

其中，讓汪列軍覺得比較有意思的工具有：ESTEEMAUDIT ，它是 RDP 服務的遠程漏洞利用工具，可以攻擊開放了3389 埠的 Windows 機器；ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等是 SMB 漏洞利用程序，可以攻擊開放了 445 埠的 Windows 機器，不過，關於 SMB 漏洞，3月份廠商已經發布了相關補丁。

汪列軍將這些工具稱為「以前只在圈子裡傳說的工具，沒想到真的存在」，包括他在內的一些安全圈人士認為，這次泄漏的攻擊程序對於伺服器系統來說是最完整，也是影響最大的一次泄漏事件，甚至，有4、5個零日漏洞（目前已經有補丁發布）都被放出。他還指出，Windows 伺服器是一個重災區，尤其對於中國，很多老版本的Windows 伺服器還在運行。

「Swift」則包含了一些攻擊銀行 Swift 系統的活動痕迹，「OddJob」則是是無法被殺毒軟體檢測的 Rootkit 利用工具，據汪列軍介紹，這是一個在攻破 Windows 伺服器後安裝後門，攻擊者打算長期「潛伏」的工具。

雷鋒網還收到了 360企業安全專家江愛軍對正在使用 Windows 伺服器的用戶的一份建議：

1. 儘快聯繫安全服務廠商制定解決方案；

2. 停掉不必要的有漏洞的組件 ；

3. 對於必須開啟的有漏洞的系統組件：a) 微軟已經停止更新的系統推薦升級到無漏洞的系統版本，b) 微軟還在支持的系統，等微軟的補丁。

目前對Windows 2003以上的操作系統，打上最近的補丁，都不受這波攻擊工具的影響，建議用戶打上最新的補丁（MS17-010）。

在截稿前，雷鋒網發現，微軟 SRC 剛發布了一則風險評估公告，該公告稱，目前「The ShadowBrokers」發布的部分漏洞已經有補丁放出。

微軟的建議措施截圖如下：

微軟公告鏈接：https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

綠盟科技的專家徐特向雷鋒網發來提醒信息：ms17-010 補的三個smb漏洞還是需要大家多關注，這個補丁上個月才發布，估計大量伺服器還沒有更新。

在我們感嘆 NSA 技術能力確實很強時，一個板上釘釘的事實是，網路安全維護人員本周末要加班了！

本文作者：李勤，雷鋒網網路安全專欄作者。