北京时间 2017 年 4 月 14 日晚,黑客团体Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA机密文档,内含 23 个最新黑客工具,其中包含了多个Windows远程漏洞利用工具。漏洞利用几乎涉及到所有的Windows版本,一旦拥有了这些工具,远程攻击者可以非常简单的入侵受影响的系统,而要做的也许仅仅只是输入目标的IP。
事件发生后,安恒信息安全研究院第一时间对泄露的漏洞和利用工具进行分析,并对相应的事件影响进行评估。
1. 泄露工具影响
目前已知受影响的 Windows 版本包括但不限于:Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
主要攻击工具说明:
工具中有多个工具利用的是SMB服务中的远程溢出漏洞来进行攻击。SMB服务是Windows系统上运行的最常用协议之一,利用这类漏洞非常容易且成功率高,远程攻击者无需经过任何身份认证,只需向开放了SMB服务的机器发送特制报文即可在目标系统上执行任意命令。因此,相关工具危害巨大,堪称本次泄露的0day漏洞利用工具包中的“大杀器”。
2. DoublePulsar 后门
分析发现,当攻击者利用泄露的工具成功入侵目标机器后,会在目标机器对应的SMB端口植入一个名为DoublePulsar的后门程序。远程攻击者可以利用该后门向目标机器植入dll或者shellcode:
因本次事件的突发性以及泄露漏洞利用工具的易用性,网络上受影响主机的安全受到了严重影响。攻击者可以在悄无声息的情况下入侵主机,并植入后门。
大部分的漏洞发生在Windows内核对协议处理的过程中,一旦后门被植入,攻击者就就可以毫无阻碍的向目标机器植入dll或者shellcode,植入的任意程序或者代码将以系统最高权限运行,系统被完全控制。
为了更好的监测本次泄露事件的影响,安恒研究院在全网范围内对存在相关漏洞风险的主机以及被植入DoublePulsar后门的主机进行了统计分析。
3. 全 球范围受影响统计分析
在本次事件统计过程中,安恒研究院对全球开放SMB端口的 2,901,094 个主机进行探测分析,开放SMB端口主机全球分布视角图如下:
其中被确认存在相关漏洞的主机 164,263 个,可疑的存在漏洞的主机 1,787,640 个,受威胁主机占比高达67.2% 。
全球存在风险漏洞的主机分布视角图如下:
其中检测到中国漏洞主机数量为 57,591 ,占全球的35% , 风险指数位居首位, 美国受影响数为 25,086 。
全球范围内检测发现被入侵植入DoublePulsar后门的主机 94,613 个,分布视角图如下:
其中检测到美国被植入后门主机数量为 58,072 , 占全球数量的61% , 中国被植入后门主机数量为 20,655 ,占全球数量的22% 。
可见,本次事件在全球范围内造成了极大的影响,网络上大量主机的存在漏洞风险,较多未受保护主机已被入侵并植入后门。
4. 国内 受影响统计分析
检测中国开放SMB端口的主机数量为 51,3682 ,分布视角图如下:
其中存在漏洞威胁的主机分布视角图如下:
国内受漏洞影响的主要地区分布在台湾、浙江、山东、江苏、北京。其中台湾地区数量为 17,506 , 占全国总量的 30% , 居首位,浙江地区数量为 10,162 , 占比 18% 。
国内已被植入后门的主机数量为 20,655 , 地域分布情况视角图如下:
被入侵主机主要分布在香港、台湾、贵州、江西以及浙江, 其中香港地区数量 12,335 ,占全国总数的 59% 。
5. 警示
通过上述分析,可以看出本次事件对全网范围内的影响较大,大量的主机未进行防护并已被植入后门。
为了防止造成更大的危害,需要尽快对受影响的主机进行安全维护工作。对于已经被植入后门的主机应尽快处理,避免造成更大的危害。
紧急修复建议 :
1.Windows安全更新,相关补丁地址:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
2.对于不能及时更新系统的主机, 临时配置防火墙或者安全策略, 屏蔽445、135、137以及3389端口。
值得注意的是,微软已不再为不在服务期内的版本(Windows 7之前版本及Windows Server 2008之前版本)发布补丁,因此安恒信息提醒Windows操作系统用户,若仍在使用Windows 7之前版本及Windows Server 2008之前版本,请将系统升级到服务期内的版本并及时安装可用的补丁。