除了永恆之藍,美國 NSA 方程式組織中,還有哪些大殺器是需要警惕的?


影響微軟產品的漏洞攻擊工具一共12個:

1. EternalBlue(永恆之藍) : SMBv1 漏洞攻擊工具,影響所有Windows平台,還在支持期的系統打上MS17-010 可以免疫,不再支持期的系統,可以禁用SMBv1(配置註冊表或組策略,需要重啟)

2. EmeraldThread(翡翠纖維): SMBv1漏洞攻擊工具,影響XP、2003、Vista、2008、Windows7、2008 R2,已經被MS10-061修復。

3.EternalChampion(永恆王者): SMBv1漏洞攻擊工具,影響全平台,已經被MS17-010修復,不在支持期的系統,可以禁用SMBv1(配置註冊表或組策略,需要重啟)

4.ErraticGopher(古怪地鼠): SMB漏洞攻擊工具,隻影響XP和2003,不影響Vista以後的系統,微軟說法是Windows Vista發布的時候修復了這個問題,但是並未提供針對XP和2003的補丁編號。

5.EskimoRoll(愛斯基摩卷):Kerberos漏洞攻擊工具,影響2000/2003/2008/2008 R2/2012/2012R2 的域控伺服器,已經被MS14-068修復。漏洞在Windows 2000 Server當中也存在,但是沒有補丁。

6.EternalRomance(永恆浪漫): SMBv1漏洞攻擊工具,影響全平台,被MS17-010修復,不在支持期的系統,可以禁用SMBv1(配置註冊表或組策略,需要重啟)

7. EducatedScholar(文雅學者) : SMB漏洞攻擊工具,影響VISTA和2008,已經被MS09-050修復.

8. EternalSynergy(永恆增效): SMBv3漏洞攻擊工具,影響全平台,被MS17-010修復,不在支持期的系統,建議禁用SMBv1和v3(配置註冊表或組策略,需要重啟)

9. EclipsedWing(日食之翼):Server netAPI漏洞攻擊工具,其實就是MS08-067,影響到2008的全平台,打上補丁就行。

10.EnglishManDentist(英國牙醫):針對Exchange Server的遠程攻擊工具,受影響版本不明,但微軟說仍在支持期的Exchange Server不受影響,建議升級到受支持版本

11.EsteemAudit(尊重審計):針對XP/2003的RDP遠程攻擊工具,無補丁,不在支持期的系統建議關閉RDP禁用,或者嚴格限制來源IP

12. ExplodingCan(爆炸罐頭):針對2003 IIS6.0的遠程攻擊工具,需要伺服器開啟WEBDAV才能攻擊,無補丁,不再支持期的系統建議關閉WEBDAV,或者使用WAF,或者應用熱補丁

其他受影響產品和對應工具5個:

EasyBee(輕鬆蜂):MDaemon郵件伺服器系統,建議升級或停用

EasyPi(輕鬆派):Lotus Notes ,建議升級或停用

EwokFrenzy(狂暴伊沃克):Lotus Domino 6.5.4~7.0.2 建議升級或停用

EmphasisMine(說重點):IBM Lotus Domino 的IMAP漏洞,建議升級或停用

ETRE:IMail 8.10~8.22遠程利用工具,建議升級或停用


就發幾個圖片,這樣比較直觀。

工具列表和解釋在答案最後一張圖。

具體分析看文末的文章鏈接。

文中有個下載鏈接,有興趣的可以自己下載。

這是方程式組織(Equation Group)泄露的工具包。

文件下載地址:

https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKUhttps://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU

解壓密碼:theequationgroup

來源:【轉載】美國NSA「方程式組織」使用的黑客工具列表及功能解釋 - 知乎專欄

【轉載】Shadow-Brokers所泄露文件的介紹、技術分析(上) - 知乎專欄


啟明星辰實驗室的分析報告:警惕下一個「永恆之藍」:

http://mp.weixin.qq.com/s/aX5LVfBW82A7nEaUnm_6lQ


經討論發現一種即使本地的通訊傳輸皆可攔截的情況,也可以保證私鑰不可解的方法

可以用作者的公鑰加密了usr的私鑰,然後usr把加密後的私鑰傳給作者,作者用自己的私鑰把usr的私鑰解密出來,這樣就保證了傳輸回來的私鑰每個是都是唯一的,本地再把公鑰解出來,就相當於解除的AES的密鑰,這樣AES的密鑰每個人也是唯一的,這就保證了加密的唯一性,即使在傳輸過程中通信被攔截也沒有問題,因為關鍵的解密放在作者哪裡。

本人才疏學淺,歡迎指正

----------------------------------原文-------------------------------------------

有好多人最近不斷問我重複的問題,我統一回復一下

第一,交錢基本不管用,先假設一個人交了錢,因為採用RSA非對稱加密,要解密作者就必須把私鑰鑰傳回來才能解密,想想私鑰傳回本地的時候要是安全人員攔截了,把私鑰公佈於世,全世界所有文件都可解了,他們就前功盡棄了。即使私鑰傳輸的時候是加密的,但要用密鑰的時候總要解密出來,現在病毒樣本人人都有,反彙編一下就可以獲取解密方式和加密的後密鑰。所以想投資比特幣的人省省吧,之後該跌了。解密的唯一方法就是等作者放出密鑰,之後各大廠商就回爭相寫出解密程序,相信我,他會放出來的。

還有說能完美破解RSA2048位演算法的,要是存在的話這個世界的信息體系就崩潰了,銀行安全性就崩潰了,網銀支付寶什麼的通通崩潰,絕大多數加密傳輸都會變得毫無作用,數字證書也沒用了,數字簽名也沒用了基於https的一切都沒有安全性,你的電腦密碼手機密碼通通都是屁,你信嗎。不過這個世界還真存在一個這樣的人,沒錯,在《神盾局特工》里[em]e100[/em],你找他來吧

第二,那個死亡開關的事,其實不是那個英國小哥有多吊,別整天yy些英雄主義。這其實是個自我保護機制,不是作者為了防止病毒擴散的緊急按鈕,它的作用是檢測自己是不是在沙箱中運行,以免放出的病毒被殺軟查殺。很多安全防護系統都採用「沙箱」機制,它不同於虛擬機,對於個體程序它能完全模擬成真實環境。在沙箱封閉環境中試運行程序,監控它有沒有異常行為,沙箱機製為了防止病毒起疑心,一般對於病毒發出的網路請求先予以攔截,後返回模擬響應請求。這個詭異的地址就是count這種沙箱機制的策略,因為這麼詭異的地址一定不存在,要是我向這個地址發送請求了,它居然還響應了,說明這肯定不科學,說明我有可能被人算計了,,[em]e400841[/em]可能在沙箱裡面,我就不把加密程序釋放出來,以免被查殺。因為一旦被查殺但一個,就會收錄到殺軟的雲病毒庫里,那它就回更早的大範圍被查殺,耽誤了病毒的散播。

第三,這個SMB暫時還不要開,打過補丁的無所謂,目前對於高版本的windows,方程式還有好幾個可用的expolit,以免之後出現其他expolit變種,比如Doublepulsar(這個目前的影響範圍絲毫不遜色於所謂的永恆之藍)還有兩三個「永恆系列」都跟這個效果差不多。這個445正常的埠,只不過被利用了而已,怪教育網不封埠的,那你們導員想聯網列印文件都不行,想給別的學校共享文件都不行。

第四,也不要啥東西都放在百度雲里,畢竟寄人籬下到時候你的數據都是別人說了算,比如我那hackedteam的種子,說違規就違規,不讓看也不讓下,你還想在雲里作備份,到時候備份也不給你了,還給你限速,所以還是自己用樹莓派搭個NAS踏實。所以好人不一定不是壞人,壞人也會一直壞。半夜純手機打,挺累的,別一聲不吭就複製成不


此次泄露出來的有

模塊==&> 漏洞 ==&>影響系統 ==&>默認埠

  1. Easypi ==&> IBM Lotus Notes漏洞==&>Windows NT, 2000 ,XP, 2003==&>3264
  2. Easybee ==&> MDaemon WorldClient電子郵件伺服器漏洞 ==&> WorldClient 9.5, 9.6, 10.0, 10.1
  3. Eternalblue ==&> SMBv2漏洞(MS17-010) ==&> Windows XP(32),Windows Server 2008 R2(32/64),Windows 7(32/64) ==&> 139/445
  4. Doublepulsar ==&> SMB和NBT漏洞 Windows XP(32), Vista, 7, Windows Server 2003, 2008, 2008 R2 ==&> 139/445
  5. Eternalromance ==&> SMBv1漏洞(MS17-010)和 NBT漏洞 ==&> Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2 ==&> 139/445
  6. Eternalchampion ==&> SMB和NBT漏洞 ==&> Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2, 2012, Windows 8 SP0 ==&> 139/445
  7. Eternalsynergy ==&> SMB和NBT漏洞 ==&> Windows 8, Windows Server 2012 ==&> 139/445
  8. Explodingcan ==&> IIS6.0遠程利用漏洞 ==&> Windows Server 2003 ==&> 80
  9. Emphasismine ==&> IMAP漏洞 ==&> IBM Lotus Domino 6.5.4, 6.5.5, 7.0, 8.0, 8.5 ==&> 143
  10. Ewokfrenzy ==&> IMAP漏洞 ==&> IBM Lotus Domino 6.5.4, 7.0.2 == &>143
  11. Englishmansdentist ==&> SMTP漏洞 ==&> ==&>25
  12. Erraticgopher ==&> RPC漏洞 ==&> Windows XP SP3, Windows 2003 ==&> 445
  13. Eskimoroll ==&> kerberos漏洞 ==&> Windows 2000, 2003, 2003 R2, 2008, 2008 R2 ==&> 88
  14. Eclipsedwing ==&> MS08-067漏洞 ==&> Windows 2000, XP, 2003 ==&> 139/445
  15. Educatedscholar ==&> MS09-050漏洞 ==&> Windows vista, 2008 ==&> 445
  16. Emeraldthread ==&> SMB和NBT漏洞 ==&> Windows XP, 2003 ==&> 139/445
  17. Zippybeer ==&> SMTP漏洞 ==&> ==&> 445
  18. Esteemaudit ==&> RDP漏洞 ==&> Windows XP, Windows Server 2003 ==&> 3389

翻譯成中文一股中二的氣息(??? ?? ???)


預測第二波WannaCry勒索病毒攻擊即將到來!

NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。
解決方案:勒索蠕蟲病毒文件恢復工具
檢測工具下載

關於永恆之藍(MS17-010)漏洞

如果攻擊者向 Windows SMBv1 伺服器發送特殊設計的消息,那麼其中最嚴重的漏洞可能允許遠程執行代碼。

漏洞名稱:

Microsoft Windows SMB遠程任意代碼執行漏洞 (MS17-010)

包含如下CVE:

CVE-2017-0143 嚴重 遠程命令執行

CVE-2017-0144 嚴重 遠程命令執行

CVE-2017-0145 嚴重 遠程命令執行

CVE-2017-0146 嚴重 遠程命令執行

CVE-2017-0147 重要 信息泄露

CVE-2017-0148 嚴重 遠程命令執行

漏洞描述

SMBv1 server是其中的一個伺服器協議組件。

Microsoft Windows中的SMBv1伺服器存在遠程代碼執行漏洞。

遠程攻擊者可藉助特製的數據包利用該漏洞執行任意代碼。

以下版本受到影響:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016。

上個月的帖子 NSA黑客工具泄露 網路世界的災難級危機 - 知乎專欄


AES加密演算法(懷疑)

我跟著的教授懷疑AES有問題,他說NIST在選擇演算法的時候,前面幾輪都是考量安全性,結果最後一輪居然變成考量速度了。現在的AES本質上是一個矩陣M求逆的問題,可靠性存疑。而且AES在加密中運用的比例很高(看過一個數據,大概60%左右 ),很可能是NSA的陰謀吧。話說回來,DES以及triple DES雖然至今沒發現問題,但是可能s-box存在未公布的弱點。反正在加密安全這一塊還是不要信任美國佬的標準為好。


沒有用的,絕大多數高等級漏洞就是NSA要求微軟加進去的後門。甚至前不久爆出來的,連橢圓加密庫都嵌入了後門。利用這些後門,NSA已經開發了很多武器級的病毒,一般的網路安全機構別說殺毒了,連看都看不懂。比如搞垮伊朗離心機的震網病毒,要不是加入了不攻擊普通民用系統的指令,互聯網早不知道癱了多少次了。

只要大家用著windows和tcp/ip協議,那在NSA面前就和裸奔沒什麼區別,防不勝防。甚至這次所謂的泄露,也許只是一次演習。


很久以前|?ω?`)還在混著黑圈的我,和各位大佬討論茴香豆有幾種寫法的時候,出來一個名叫上帝之門的後台爆破軟體,據稱可暴力破解windows系統後台管理密碼,然後一星期後被騰訊和諧,無法下載|?ω?`)


中科大

」潘老師,我們被勒索了,說強行解開要一萬年」

「哦,用什麼解要一萬年?」

「這。。」

「這不是解開了嗎,繼續實驗」

瞎編的瞎編的瞎編的

老潘還沒這麼牛。。。


無論打多少補丁,在nsa面前都是裸奔,Mac安卓同理,這些都是遠程執行最高許可權指令的武器級別的後門啊

現在你知道為什麼涉及國家安全的電腦要斷網了吧?


微軟對漏洞埠的處理

除了安全更新,微軟3月份的時候沒有識別針對SMBv1漏洞的緩解因素,微軟批評美國政府沒有通知這個漏洞。

隨著事件的擴大,微軟近期則分析了黑客界臭名昭著的 Shadow Brokers(黑客組織號影子經紀人)流出的據稱率屬於NSA(美國國家安全局)下黑客組織Equation(代號方程式)開發的漏洞工具針對的Windows系統的漏洞,工程師們已經對披露的漏洞進行了調查,大部分漏洞截至14號已經被修補了。

NSA黑客武器庫中攻擊程序列表:

微軟在3月14號對SMB漏洞發布了伺服器安全更新告示MS17-010顯示,更新的程序修正了伺服器消息塊(SMB)對特別請求的處理方式,微軟把3月14號的安全公告的重要指數定為Critical(重要)

WannaCry變種

之前的病毒阻止域名已經被網路安全研究員MalwareTech搶注,WannaCry病毒製作者花費了2天時間發布變種不包含關閉開關的蠕蟲病毒。

網路安全研究員發現,二次病毒感染的電腦50%+位於俄羅斯。

WannaCry二次病毒由兩部份構成:勒索軟體病毒、SMB蠕蟲病毒。

此次WannaCrypt病毒引發了其他勒索軟體模仿WannaCrypt病毒的界面:

另外,61款測試的殺毒工具中有部分殺毒軟體對WannaCry.EXE病毒程序放行

截至今天中午,240+勒索筆交易達成。

比特幣今天的成交價:

一般勒索軟體的工作原理

傳播病毒的手段:

病毒作者可能利用各種把戲來說服你下載他們的文件,平時不要隨便接觸不良網站的文件,接收到不明郵件和附件不要隨便點開下載(這類郵件包含不限於各種通過稅收通知形式、不明罰款賬單形式的郵件、不明網路掙錢渠道的郵件)。

WannaCrypt病毒利用RSA+AES加密演算法加密計算機上的各類文件(RSA加密演算法是一種非對稱加密演算法,美國聯邦政府採用的一種區塊加密標準。1977年由羅納德·李維斯特(Ron Rivest)、阿迪·薩莫爾(Adi Shamir)和倫納德·阿德曼(Leonard Adleman)一起提出的)。

一般勒索軟體的工作原理圖

WannaCry病毒的應對措施

此次病毒主要針對的windows版本:Windows XP,Windows 8, Windows Server2003,Windows Server 2008,Windows 8.1等舊版win系統。

①打補丁

Windows 8安全更新程序

Windows 7 64位系統安全更新程序

②蠕蟲WannaCry病毒只是勒索軟體猖獗的開始? - 知乎專欄


他們玩的都是未來武器,和我們不是一個時代的了。膜拜吧。。。。。


推薦閱讀:

chrome裡面真的很多惡意擴展?
中國的網路條件有哪些需要改進的地方?
在大公司作為一名安全工程師,是一種什麼樣的體驗?
辦公網路被優酷路由寶DHCP劫持了,怎麼解決?
怎麼突破校園網的網速限制,或者入侵學校管控網路的伺服器?

TAG:網路安全 | 黑客攻擊 | WanaDecrypt0r20計算機病毒 |