设为首页收藏本站
查看: 14679|回复: 17

通知:警惕“影子经纪人”事件系列漏洞威胁

  [复制链接]
  • TA的每日心情
    奋斗
    昨天 09:44
  • 签到天数: 706 天

    [LV.9]以坛为家II

    发表于 2017-5-19 20:57:54 | 显示全部楼层 |阅读模式
    5月12日,全球互联网遭受Wannacry勒索软件蠕虫感染,目前发现全球近356.3万个IP地址遭受“永恒之蓝”SMB漏洞攻击,其中位于我国境内的IP地址数量接近12.5万个,对我国互联网造成严重的安全威胁。经过目前已获知的样本情况和分析调查,该勒索软件蠕虫在传播时基于445端口并利用SMB漏洞(对应微软漏洞公告:MS17-010),可以判断是由于“影子经纪人”(Shadow Brokers)组织此前公开披露漏洞攻击工具而导致的后续勒索软件蠕虫攻击。

    2017年4月14日晚,“影子经纪人”组织在互联网上发布“方程式”(Equation Group)组织的部分工具文件,包含针对Windows操作系统以及其他办公、邮件软件的多个高危漏洞攻击工具,这些工具集成化程度高、部分攻击利用方式较为高效。针对可能引发的互联网上针对Window操作系统主机或应用软件的大规模攻击。时隔不到一个月,Wannacry勒索软件蠕虫大范围感染事件也印证了当时推测的严重危害。

    针对“影子经纪人”发布的黑客使用的大量针对Windows操作系统以及其他广泛应用的软件产品的工程化工具及其对应的利用安全漏洞,我们进行了详细梳理,并提供相应处置建议,提醒广大互联网用户及时做好应急处置,避免被恶意攻击或利用。

    • “影子经纪人”组织披露的系列漏洞描述

      • Windows操作系统SMB协议相关漏洞及攻击工具(共8个)



        针对上述SMB等协议相关漏洞及攻击工具的相关建议如下:

        (1)及时更新和安装Windows已发布的安全补丁;

        (2)关闭135、137、139、445等端口的外部网络访问权限,在主机上关闭不必要的上述服务端口;

        (3)加强对135、137、139、445等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;

        (4)由于微软对部分操作系统停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。针对上述漏洞,Window XP和Windows Server 2003用户以及其他无法直接使用Windows自动更新功能的用户可根据Windows系统和版本自行从微软官网(见上述各个漏洞工具描述中提供的补丁下载地址链接)下载补丁文件并安装。

      • Windows系统RDP、IIS、Kerberos协议相关漏洞及攻击工具(共3个)

        • Esteemaudit

          工具及漏洞说明:ESTEEMAUDIT是一个针对3389端口的远程溢出程序,它利用Windows 远程桌面访问RDP协议缺陷实施攻击。

          受影响产品及版本:目前已知可能受影响的操作系统是Windows XP和Windows Server 2003。

          应对建议:由于微软公司已经停止对Windows XP和Windows Server 2003的安全更新,使用这两种版本操作系统并且开放RDP3389端口服务的计算机用户需要尽快开展处置措施。

          (1)如不需要远程访问,建议关闭远程协助功能和远程桌面访问,开启网络防火墙、Windows防火墙拦截RDP默认端口的访问;

          (2)如果业务需要开启远程访问,建议配置网络防火墙或Windows防火墙只允许信任的白名单IP地址的访问,或者将RDP服务端口3389配置(映射)为其他非常用端口;

          (3)由于微软对部分操作系统停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。

        • Eskimoroll  

          工具及漏洞说明:Eskimoroll是 Kerberos协议允许特权提升的Kerberos漏洞攻击工具,可能影响Windows域控服务。详细情况可参考微软安全公告MS14-068(https://technet.microsoft.com/zh ... urity/ms14-068.aspx)。

          受影响产品及版本:Windows 2000/2003/2008/2012。

          补丁下载地址:Windows安全更新程序 (KB3011780),http://www.catalog.update.microsoft.com/Search.aspx?q=3011780

          应对建议:针对Windows 2003/2008/2012,下载和升级系统补丁,并在防火墙中配置tcp 88端口的安全访问控制。针对不提供升级更新支持的Windows 2000,建议重点进行排查

        • Explodingcan

          工具及漏洞说明:Explodingcan是针对Windows 2003系统 IIS6.0服务的远程攻击工具,但需要目标主机开启WEBDAV才能攻击,不支持安全补丁更新。

          受影响产品及版本:Windows 2003 IIS6.0(开启WEBDAV)。

          应对建议:微软不再支持Windows 2003系统安全更新,建议关闭WEBDAV,使用WAF、IPS等安全防护,或者升级操作系统。



      • 办公软件及邮件系统相关漏洞及攻击工具(共4个)

        • Easybee

          工具及漏洞说明:针对邮件系统MDaemon远程代码执行漏洞的利用工具。

          受影响产品及版本:受影响的MDaemon是美国Alt-N公司开发的一款标准SMTP/POP/IMAP邮件系统。

          较旧的不受支持的版本(9.x–11.x)可能容易受到EasyBee攻击。

          版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影响。

          版本13.5和更新版本不容易受到攻击。


          应对建议:将所有旧的、不受支持的MDaemon版本升级到最新的、安全的版本。参考官方网站http://www.altn.com/Support/进行漏洞升级

        • Englishmansdentist

          工具及漏洞说明:针对Outlook Exchange邮件系统的漏洞利用程序,可攻击开放http 80或https 443端口提供web访问的Outlook Exchange邮件系统。

          受影响产品及版本:Outlook Exchange邮件系统早期版本Exchange 2003,Exchange 2007。

          应对建议:升级到Exchange 2010及以上版本,安全备份邮件数据。

        • Ewokfrenzy

          工具及漏洞说明:针对 Lotus Domino软件IMAP服务的漏洞攻击工具。

          受影响产品及版本:IBM Lotus Domino 6.5.4 to 7.0.2。

          应对建议: 升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。

        • Emphasismine

          工具及漏洞说明:针对 Lotus Domino软件IMAP服务的漏洞攻击工具。

          受影响产品及版本:Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2。

          应对建议: 升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。






    • 其他应急措施

      除了上述针对各类利用漏洞的防护建议外,特别是针对Windows XP和Windows 2003等停止更新服务的系统,建议广大用户在网络边界、内部网络区域、主机资产、数据备份方面还要做好如下应急措施工作,避免和降低网络攻击风险:


      • 做好本单位Windows XP和Windows 2003主机的排查
      • 升级更新终端安全防护软件,加强网络和主机的安全防护
      • 做好信息系统业务和文件数据在不同存储介质上的安全可靠备份


    评分

    1

    查看全部评分

  • TA的每日心情
    擦汗
    2018-1-5 23:29
  • 签到天数: 39 天

    [LV.5]常住居民I

    发表于 2017-5-19 21:16:08 | 显示全部楼层
    感谢楼主
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2018-5-11 12:45
  • 签到天数: 203 天

    [LV.7]常住居民III

    发表于 2017-5-19 23:01:06 | 显示全部楼层
    感谢楼主分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2018-7-16 17:39
  • 签到天数: 8 天

    [LV.3]偶尔看看II

    发表于 2017-5-19 23:59:08 | 显示全部楼层
    感谢楼主干货分享!谢谢
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2018-4-14 17:44
  • 签到天数: 422 天

    [LV.9]以坛为家II

    发表于 2017-5-20 07:39:35 | 显示全部楼层
    楼主辛苦了。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2018-4-8 11:50
  • 签到天数: 71 天

    [LV.6]常住居民II

    发表于 2017-5-20 08:57:15 | 显示全部楼层
    毁灭大大真给力。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-11-7 22:55
  • 签到天数: 56 天

    [LV.5]常住居民I

    发表于 2017-5-20 12:44:57 | 显示全部楼层
    防御措施收下了  
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2018-9-24 12:56
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2017-5-20 19:56:47 | 显示全部楼层
    谢谢谢谢谢谢谢谢
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-4-16 09:33
  • 签到天数: 23 天

    [LV.4]偶尔看看III

    发表于 2017-5-25 21:07:50 来自手机 | 显示全部楼层
    此时不防更待何时(ΘへΘ)
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-5-27 00:21
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2017-5-27 00:30:36 | 显示全部楼层
    版主幸苦了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-12-25 17:07
  • 签到天数: 31 天

    [LV.5]常住居民I

    发表于 2017-5-28 14:05:25 | 显示全部楼层
    不错,不过不开局域网应该没什么问题吧
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-6-21 19:01
  • 签到天数: 6 天

    [LV.2]偶尔看看I

    发表于 2017-5-29 10:58:01 | 显示全部楼层
    感谢楼主!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2018-8-28 15:12
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2017-5-29 22:22:53 | 显示全部楼层
    谢谢楼主的分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-11-29 00:55
  • 签到天数: 11 天

    [LV.3]偶尔看看II

    发表于 2017-5-29 22:47:05 | 显示全部楼层
    感谢楼主!
    虽然OS X并不慌
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-9-25 15:14
  • 签到天数: 45 天

    [LV.5]常住居民I

    发表于 2017-5-30 12:39:34 | 显示全部楼层
    其实,我还是有点小兴奋的,虽然有些怕怕。。。。。。
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    关闭

    站长推荐 上一条 /1 下一条

    红盟社区--中国红客联盟 

    Processed in 0.113508 second(s), 28 queries.

    站点统计| 举报| Archiver| 手机版| 黑屋 |   

    Powered by HUC © 2001-2017 Comsenz Inc.

    手机扫我进入移动触屏客户端

    关注我们可获取更多热点资讯

    Honor accompaniments. theme macfee

    快速回复 返回顶部 返回列表