NSA黑客工具泄露 網(wǎng)絡(luò)世界的災(zāi)難級危機如何應(yīng)對。根據(jù)360安全響應(yīng)中心，會同360互聯(lián)網(wǎng)安全中心、360伏爾甘實驗室、360冰刃實驗室、360安全衛(wèi)士產(chǎn)品團隊、360天眼實驗室、360天擎終端安全產(chǎn)品團隊對NSA滲透工具被曝光事件的初步判定，此次事件，是最近五年當(dāng)中，對政企網(wǎng)絡(luò)安全影響最大的事件之一。網(wǎng)絡(luò)安全行業(yè)將此次事件描繪為“網(wǎng)絡(luò)世界的重大災(zāi)難級危機”。

由于被泄漏出的工具屬于美國國家安全局使用的攻擊武器，其使用的漏洞的危險程度、漏洞利用程序的技術(shù)水平、以及工具工程化水平，都屬于世界頂級水平。這些工具的泄漏，將會極大提升黑色產(chǎn)業(yè)鏈、商業(yè)間諜組織和國家級APT攻擊的技術(shù)水平，相應(yīng)也會對防護系統(tǒng)提出更高的要求。

泄漏的漏洞信息、利用工具完整性和實用性很強，可以預(yù)期未來的很短時間內(nèi)，這類工具會被廣泛利用。因此針對政企單位的網(wǎng)絡(luò)的防護工作，應(yīng)該立即展開，這是與黑色產(chǎn)業(yè)鏈、商業(yè)間諜組織賽跑的過程，響應(yīng)速度越快、執(zhí)行越迅速，對于政企單位的風(fēng)險會越低。信息安全負(fù)責(zé)人應(yīng)該將此工作作為本單位近期的重要的工作來執(zhí)行。安全部門負(fù)責(zé)人應(yīng)該協(xié)調(diào)相關(guān)的IT運維部門和各IT技術(shù)和服務(wù)供應(yīng)商一同應(yīng)對，而非由安全部門獨立工作。

由于此次泄漏事件的長期影響，信息安全負(fù)責(zé)人應(yīng)該基于此次事件的應(yīng)急過程，重新審視本單位的應(yīng)急響應(yīng)能力和IT與安全運營的整體成熟度，并針對本單位的弱點進行盡快的補齊。

本次事件當(dāng)中對政企單位網(wǎng)絡(luò)影響最大的是針對Windows系統(tǒng)的漏洞和攻擊，響應(yīng)工作應(yīng)該圍繞漏洞的分析展開。需要盡快從漏洞的攻擊面、潛在的攻擊路徑方面進行分析，制定快速發(fā)現(xiàn)，應(yīng)急處置及漏洞根除方面的策略和工作。

基本信息和判斷

影響微軟產(chǎn)品的漏洞攻擊工具一共12個：

1. EternalBlue(永恒之藍(lán)) : SMBv1 漏洞攻擊工具，影響所有Windows平臺，還在支持期的系統(tǒng)打上MS17-010 可以免疫，不再支持期的系統(tǒng)，可以禁用SMBv1(配置注冊表或組策略，需要重啟)

2. EmeraldThread(翡翠纖維): SMBv1漏洞攻擊工具，影響XP、2003、Vista、2008、Windows7、2008 R2，已經(jīng)被MS10-061修復(fù)。

3.EternalChampion(永恒王者): SMBv1漏洞攻擊工具，影響全平臺，已經(jīng)被MS17-010修復(fù)，不在支持期的系統(tǒng)，可以禁用SMBv1(配置注冊表或組策略，需要重啟)

4.ErraticGopher(古怪地鼠): SMB漏洞攻擊工具，只影響XP和2003，不影響Vista以后的系統(tǒng)，微軟說法是Windows Vista發(fā)布的時候修復(fù)了這個問題，但是并未提供針對XP和2003的補丁編號。

5.EskimoRoll(愛斯基摩卷)：Kerberos漏洞攻擊工具，影響2000/2003/2008/2008 R2/2012/2012R2 的域控服務(wù)器，已經(jīng)被MS14-068修復(fù)。漏洞在Windows 2000 Server當(dāng)中也存在，但是沒有補丁。

6.EternalRomance(永恒浪漫): SMBv1漏洞攻擊工具，影響全平臺，被MS17-010修復(fù)，不在支持期的系統(tǒng)，可以禁用SMBv1(配置注冊表或組策略，需要重啟)

7. EducatedScholar(文雅學(xué)者) : SMB漏洞攻擊工具，影響VISTA和2008，已經(jīng)被MS09-050修復(fù).

8. EternalSynergy(永恒增效): SMBv3漏洞攻擊工具，影響全平臺，被MS17-010修復(fù)，不在支持期的系統(tǒng)，建議禁用SMBv1和v3(配置注冊表或組策略，需要重啟)

9. EclipsedWing(日食之翼)：Server netAPI漏洞攻擊工具，其實就是MS08-067，影響到2008的全平臺，打上補丁就行。

10.EnglishManDentist(英國牙醫(yī))：針對Exchange Server的遠(yuǎn)程攻擊工具，受影響版本不明，但微軟說仍在支持期的Exchange Server不受影響，建議升級到受支持版本

11.EsteemAudit(尊重審計)：針對XP/2003的RDP遠(yuǎn)程攻擊工具，無補丁，不在支持期的系統(tǒng)建議關(guān)閉RDP禁用，或者嚴(yán)格限制來源IP

12. ExplodingCan(爆炸罐頭)：針對2003 IIS6.0的遠(yuǎn)程攻擊工具，需要服務(wù)器開啟WEBDAV才能攻擊，無補丁，不再支持期的系統(tǒng)建議關(guān)閉WEBDAV，或者使用WAF，或者應(yīng)用熱補丁

其他受影響產(chǎn)品和對應(yīng)工具5個：

EasyBee(輕松蜂)：MDaemon郵件服務(wù)器系統(tǒng)，建議升級或停用

EasyPi(輕松派)：Lotus Notes ，建議升級或停用

EwokFrenzy(狂暴伊沃克)：Lotus Domino 6.5.4~7.0.2 建議升級或停用

EmphasisMine(說重點)：IBM Lotus Domino 的IMAP漏洞，建議升級或停用

ETRE：IMail 8.10~8.22遠(yuǎn)程利用工具，建議升級或停用

整體影響評估

1. 影響范圍包括全部主要版本的Windows操作系統(tǒng)，對互聯(lián)網(wǎng)部分和企業(yè)內(nèi)網(wǎng)部分會產(chǎn)生重大影響;

2. 主要受影響服務(wù)、端口為：IIS服務(wù)，137、139、445、3389端口的服務(wù);

3. 預(yù)期上述服務(wù)的漏洞可被高效地利用，進而發(fā)動“蠕蟲病毒”式的大范圍二次攻擊;

4. 預(yù)期黑色產(chǎn)業(yè)將利用此漏洞發(fā)動勒索式攻擊;

5. 可受影響區(qū)域：互聯(lián)網(wǎng)區(qū)域、辦公區(qū)域和內(nèi)網(wǎng)(核心、業(yè)務(wù))。

建議應(yīng)急策略

本次曝光的工具，大部分是針對Windows操作系統(tǒng)的遠(yuǎn)程攻擊程序，通過這些工具，可以實現(xiàn)在Windows系統(tǒng)遠(yuǎn)程植入惡意代碼。這些攻擊手段所使用的漏洞，如果針對的是還在服務(wù)期的系統(tǒng)，微軟大部分已經(jīng)提供了補丁。響應(yīng)工作應(yīng)該基于漏洞的攻擊面展開，從快速發(fā)現(xiàn)，應(yīng)急處置及漏洞根除三個方面進行處置。

1.確認(rèn)影響范圍：

1)確認(rèn)互聯(lián)網(wǎng)邊界是否存在WindowsServer 2003開啟遠(yuǎn)程桌面服務(wù)及IIS服務(wù)。

2)內(nèi)部范圍自查RDP服務(wù)的使用范圍，針對所有Windows 2003并開啟遠(yuǎn)程桌面服務(wù)的主機確定業(yè)務(wù)需求：是否需要開啟遠(yuǎn)程桌面、是否有遠(yuǎn)程桌面的替代方案。如必須開啟遠(yuǎn)程桌面的Windows 2003主機，需確定業(yè)務(wù)需求范圍，針對性的開啟訪問控制白名單策略，確保只有授信人員才可以訪問。

3)內(nèi)部范圍自查共享服務(wù)的使用范圍，在沒有明確業(yè)務(wù)場景的條件下禁止135及445的端口通信。如果業(yè)務(wù)場景需要使用SMB共享服務(wù)，需根據(jù)業(yè)務(wù)需要逐條開放訪問控制白名單策略，防止可能發(fā)生的蠕蟲病毒大范圍傳播。

2.應(yīng)急處置手段：

1)確保每臺主機上的終端安全軟件、策略和防護特征是最新的。

2) 針對還在服役的運行有IIS6.0 的 Windows Server 2003服務(wù)器，盡可能下線、遷移直接面向互聯(lián)網(wǎng)提供服務(wù)的服務(wù)器。

3)升級相關(guān)NGFW及IPS規(guī)則。

3.根治手段

1)在網(wǎng)絡(luò)邊界訪問控制設(shè)備上禁止從不可信網(wǎng)絡(luò)(互聯(lián)網(wǎng))來源的入站139、445端口的訪問;對于終端服務(wù)的訪問端口3389設(shè)置嚴(yán)格訪問來源控制，只允許可信來源IP訪問。

2)檢查確認(rèn)網(wǎng)絡(luò)中的Windows系統(tǒng)，無論客戶端還是服務(wù)器系統(tǒng)，安裝了最新的安全補丁。具體到本次事件，可以重點關(guān)注下列歷史補丁包是否已經(jīng)安裝：

MS08-067

MS09-050

MS10-061

MS14-068

MS17-010

如果沒有打全，請安排補丁升級計劃。

3)如果政企單位使用了域控服務(wù)器和Exchange服務(wù)器，請安排微軟服務(wù)商針對域控服務(wù)器和Exchange服務(wù)器打補丁。

360產(chǎn)品針對該事件的處置建議

1. 360新一代智慧防火墻(NSG3000/5000/7000/9000系列)和下一代極速防火墻(NSG3500/5500/7500/9500系列)產(chǎn)品系列，通過更新IPS特征庫已經(jīng)完成了對上述攻擊工具相關(guān)漏洞的防護，建議用戶盡快將IPS特征庫升級至“20170415”版本。

2. 360天眼未知威脅感知系統(tǒng)的流量探針在第一時間加入了其中幾款最嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞的攻擊檢測，包括EternalBlue、EternalChampion、EternalRomance、EternalSynergy等。另外，其他利用工具的檢測規(guī)則在持續(xù)跟進中，請密切關(guān)注360天眼流量探針規(guī)則的更新通知。

360天眼產(chǎn)品的應(yīng)急處置方案：360天眼流量探針(傳感器)通過：系統(tǒng)配置->設(shè)備升級->規(guī)則升級，選擇“網(wǎng)絡(luò)升級”或“本地升級。

3. 360威脅情報中心已經(jīng)第一時間協(xié)助360殺毒處理了涉及到的黑客工具。

4. 如果發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在相關(guān)告警，請立即聯(lián)系360安全服務(wù)團隊 4008-136-360。