一個名叫「Shadow Brokers」的駭客團體在網路上公開了許多針對 Microsoft Windows 系統和伺服器的駭客工具和漏洞。其中有些工具據稱是專門針對全球金融機構。此駭客團體去年原本將這批偷來的惡意程式拿到網路上販賣,可能是銷售狀況不如預期,因此後來便開始逐批公開到網路上。
Shadow Brokers 最近一批公開的惡意程式可讓駭客入侵各種系統 (包括 Linux)、網路及防火牆。
哪些平台和系統受到影響?
根據趨勢科技初步分析,目前已知這批惡意程式當中包含了 35 個資料竊取木馬程式,同時也包含針對多種系統和伺服器的漏洞攻擊,還有一個可用來攻擊網路漏洞的套件叫做 Fuzzbunch (類似 Metasploit 滲透測試工具套件所扮演的角色)。
以下是這批工具攻擊的一些漏洞:
- CVE-2008-4250 (代號「EclipsedWing」,Microsoft 在 2008 年 10 月的 MS08-67 安全性公告當中已經修補)。
- CVE-2009-2526、CVE-2009-2532 和 CVE-2009-3103 (代號「EducatedScholar」,Microsoft 在 2009 年 10 月的 MS09–050 安全性公告當中已經修補)。
- CVE-2010-2729 (代號「EmeraldThread」,Microsoft 在 2010 年 9 月的 MS10-061 安全性公告當中已經修補)。
- CVE-2014-6324 (代號「EskimoRoll」,Microsoft 在 2014 年 11 月的 MS14-068 安全性公告當中已經修補)。
- CVE-2017-7269 (一個 Microsoft Internet Information Services 6.0 的漏洞)。
- CVE-2017-0146 和 CVE-2017-0147 (代號「EternalChampion」,Microsoft 在 2017 年 3 月的 MS17-010 安全性公告當中已經修補)。
其他 Microsoft 已經修補的漏洞還有「ErraticGopher」(在 Windows Vista 上市前已修補) 以及「EternalRomance」和「EternalSynergy」,最後兩個是 Windows SMB 伺服器當中的漏洞,Microsoft 在 2017 年 3 月的 MS17-010 安全性公告當中已經修補。
某些駭客工具在攻擊時會同時用到多個資安漏洞。這些漏洞很多都已相當老舊,最遠可追溯到 2008 年,因此廠商早就修正並提供更新。Microsoft Security Response Center (MSRC) Team 很快就發出一份安全性公告來詳細說明 Shadow Brokers 最新一批惡意程式所利用的漏洞以及對應修補程式。
趨勢科技目前已偵測到的 Shadow Brokers 相關威脅有:
- A
- A
- A
- G (多個變種)
- A
- A
- LEY
- E
根據趨勢科技的持續分析,受影響的平台包括私有電子郵件伺服器與網站式電子郵件用戶端,以及企業協同作業軟體。Windows 2000、XP、2003、Vista、7、Windows 8、2008、2008 R2 等系統和伺服器皆受到網路通訊協定相關漏洞的影響,例如:Internet Message Access Protocol (IMAP) 郵件通訊協定、Kerberos 網路驗證協定、Remote Desktop Protocol (RDP) 遠端桌面協定,以及 Remote Procedure Call (RPC) 遠端程序呼叫服務。
這對企業有何影響?
面對這些威脅,企業最重要的就是修補系統。Shadow Broker 最新一批惡意程式很多都是利用一些相當老舊的漏洞,因此企業只要做好系統修補就能加以防範。
但對一些還在使用舊版系統 (如 Windows 8、8.1、XP、Vista、2000 以及 Windows Server 2008) 的企業來說,仍將造成相當的威脅。而那些還在使用 Windows Server 2003 的企業更是危險,因為 Microsoft 早在兩年前就已對這該作業系統 終止支援。
除了系統漏洞之外,這些駭客工具也會攻擊一些電子郵件軟體與商用軟體的漏洞,尤其是協同作業軟體。對全球許多產業的企業來說,Windows 伺服器作業系統是網路、資料與應用程式基礎架構的一環。
根據最早的新聞報導指出 ,這些漏洞和駭客工具最主要的攻擊目標是跨國銀行。然而任何取得這些惡意程式的歹徒都能自行修改並用於攻擊任何目標,甚至攻擊一些較新的平台和作業系統。
該如何防範?
Shadow Brokers 只是眾多可能造成企業重大商譽、營業與獲利損失的駭客團體之一。這些威脅沒有一勞永逸的辦法,因此,採取一套多層式的防護將是防禦的關鍵。
IT 系統管理員可部署防火牆與入侵防護系統來檢查進出企業網路的流量,防止可疑或惡意的流量在網路上通行。IT 與資安人員也可考慮要求使用者在從遠端存取企業網路及資料時必須透過虛擬私人網路 (VPN) 來確保遠端連線安全。此外,除非真的必要,停用一些像 SMB1 這類過時的通訊協定和元件 (以及使用這些協定和元件的應用程式),也有助於縮小企業暴露的風險。還有,提升工作場所的網路安全意識,也能降低企業的風險,尤其是社交工程攻擊。
除此之外,架設多道管制措施來保護遠端連線也有幫助,例如:網路認證、使用者權限管制、帳號鎖定政策、部署 RDP 閘道,以及遠端桌面連線加密等等。
駭客工具和漏洞攻擊都須仰賴一些系統未修補的漏洞才能入侵系統和伺服器。因此,企業只要讓作業系統與軟體隨時保持更新,或者採用虛擬修補技術,並落實系統修補政策,就能防範漏洞攻擊。此外,企業也可考慮將資訊基礎架構移轉到新的作業系統來避免軟體終止支援之後所帶來的風險。
趨勢科技解決方案
趨勢科技趨勢科技Deep Security™ 和 趨勢科技 Vulnerability Protection 漏洞防護 都能提供 虛擬修補來防範企業端點因未修補的漏洞而遭到攻擊。趨勢科技 OfficeScan™的漏洞防護功能,也能在修補程式部署之前防止端點裝置遭到已知及未知的漏洞攻擊。趨勢科技 Deep Discovery™ 能夠偵測、深入分析並主動回應漏洞攻擊,利用特殊的引擎、客製化 沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋網路攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測類似攻擊。
趨勢科技 Hybrid Cloud Security 解決方案是以趨勢科技 採用 XGen端點防護的趨勢科技 OfficeScan™結合了機器學習、行為分析與傳統方法,能有效偵測並攔截勒索病毒。我們已針對前述惡意程式測試過這些技術,證明確實能夠主動防範上述威脅。
XGen™ 防護為後盾並包含趨勢科技 Deep Security™ 解決方案,提供了跨世代融合的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載和伺服器而最佳化。
TippingPoint 的整合式進階威脅防護能提供一些可採取行動的資安情報來防堵漏洞與漏洞攻擊,並防範已知及零時差攻擊。TippingPoint 以 XGen™ 防護為後盾的Advanced Threat Protection 與 Intrusion Prevention System 結合了深層封包檢查、威脅信譽評等、進階惡意程式分析等技術來攔截攻擊與進階威脅。
如需有關趨勢科技 Deep Security、Vulnerability Protection、TippingPoint 及 Deep Discovery Inspector 等解決方案對上述威脅的詳細支援情況,請參閱這份技術支援摘要。
原文出處:Shadow Brokers Leaks Hacking Tools: What it Means for Enterprises