据媒体报道,全球爆发的永恒之蓝勒索蠕虫刚平息,国外安全专家又发现一种更厉害的病毒——永恒之石(EternalRocks)。这种比永恒之蓝(WannaCry)更加复杂的病毒,利用了NSA泄露的7个漏洞利用工具。根据360威胁情报中心的监控,目前EternalRocks在国内已经有少量感染,还未出现大规模爆发的情况。
360威胁情报中心安全专家表示,永恒之石(EternalRocks)植入后门进行潜伏的行为可能酝酿着更为险恶的行动,需要用户引起警惕。不过,政企用户对于永恒之石(EternalRocks)病毒不必过于恐慌。永恒之蓝的肆虐促使大部分用户进行了系统更新,微软的MS17-010补丁已经修复了所有永恒之石利用的漏洞。
据最早发现永恒之石这一病毒的克罗地亚网络安全专家、克罗地亚政府计算机应急准备小组的成员Miroslav Stampar,永恒之石(EternalRocks)利用了包括EternalBlue(永恒之蓝)、EternalChampion(永恒王者)、EternalRomance(永恒浪漫)、EternalSynergy(永恒增效),以及ArchiTouch、SMBTouch和DoublePulsar等7个NSA武器库里的组件。
针对媒体与部分厂商热炒的NSA系列外泄军火级漏洞应对问题,360威胁情报中心安全专家表示,360企业安全早在4月16日就对外公开发布了NSA系列军火级漏洞的应对方案,并及时推出“NSA武器库免疫工具”,可一键检测修复漏洞、关闭高风险服务,从而全面免疫预防NSA黑客武器。( NSA武器库免疫工具下载地址: dl.360safe.com/nsa/nsatool.exe)
此外,360企业安全的终端安全管理系统与未知威胁感知系统,都发布了针对性的解决方案,帮助政企用户应对NSA系列外泄军火级漏洞。
出于对利用其他NSA武器攻击行为的防范和预警,政企用户预计将开展大规模的自查活动,360企业安全发布了一款行之有效的专项临检产品:天眼临检版---魔镜。
据介绍,作为基于网络流量深度分析的高级威胁发现和取证的产品,魔镜针对永恒之蓝勒索软件事件,加入了NSA武器库专查工具功能,主要包括:
w “永恒之蓝”专查;
w NSA武器库特征情报流量行为比对;
w 主动扫描和被动探测发现已经失陷和潜在的失陷主机。
行业监管机构可通过专项临检的方式,检测被监管单位网络中利用NSA武器库的攻击。
对已部署360终端安全管理产品“天擎”的企业用户,可以通过以下功能,对企业内的终端安全状况进行评估,确保应急响应措施的及时有效。
w 首先通过“漏洞管理”功能,评估NSA武器库相关Windows漏洞的覆盖情况。
w 其次通过“日志报表”的漏洞报表,查看企业终端是否能够即时下载并安装当月补丁,评估网络资源是否能够支撑补丁修复的及时性。
w 对于漏洞覆盖终端量大,并且不能即时修复漏洞的企业终端,建议辅以企业管理制度,进行线下人工修复。
360安全专家还建议:对企业内运行核心业务的终端,如果企业不能接受补丁修复带来业务中断风险,建议通过“管控策略”的“网络防护”功能,控制漏洞的对外服务端口访问,达到临时遏制威胁的效果。同时尽快推进企业内补丁测试与上线流程的建设与执行。
附: NSA系列军火级漏洞应对方案
影响微软产品的漏洞攻击工具(12 个)
1、EternalBlue(永恒之蓝) : SMBv1 漏洞攻击工具
影响平台:所有Windows 平台
应对方案:系统更新MS17-010补丁,可以免疫;不在支持期的系统,可禁用SMBv1(配置注册表或组策略,需要重启)。
2、EmeraldThread(翡翠纤维): SMBv1 漏洞攻击工具
影响平台:XP、2003、Vista、2008、Windows7、2008 R2。
应对方案:更新系统MS10-061补打。
3、EternalChampion(永恒王者): SMBv1 漏洞攻击工具
影响平台:所有Windows平台
应对方案:系统更新MS17-010补丁,可以免疫;不在支持期的系统,可禁用SMBv1(配置注册表或组策略,需要重启)。
4、ErraticGopher(古怪地鼠): SMB 漏洞攻击工具
影响平台:XP 和2003;Vista 以后的系统不受影响;
应对方案:Windows Vista 已修复;无XP 和2003 补丁。
5、EskimoRoll ( 爱斯基摩卷) : Kerberos 漏洞攻击工具
影响平台:2000/2003/2008/2008 R2/2012/2012R2 的域控服务器;
应对方案:系统更新MS14-068补丁进行修复。Windows 2000 Server 存在漏洞,无补丁。
6、EternalRomance(永恒浪漫): SMBv1 漏洞攻击工具
影响平台:Windows全平台;
应对方案:更新系统MS17-010补丁,进行修复; 不在支持期的系统,可禁用SMBv1(配置注册表或组策略,需要重启)
7、EducatedScholar(文雅学者) : SMB 漏洞攻击工具
影响平台:VISTA 和2008,
应对方案:更新系统MS09-050补丁,进行修复。
8、EternalSynergy(永恒增效): SMBv3 漏洞攻击工具
影响平台:Windows全平台;
应对方案:更新系统MS17-010补丁进行修复;不在支持期的系统,建议禁用SMBv1 和v3(配置注册表或组策略,需要重启)
9、EclipsedWing(日食之翼):Server netAPI 漏洞攻击工具;
影响平台:Windows 2008 全平台
应对方案:更新系统MS08-067补丁,进行修复。
10、EnglishManDentist(英国牙医):针对Exchange Server 的远程攻击工具;
影响平台:受影响版本不明;
应对方案:微软说仍在支持期的Exchange Server 不受影响,建议升级到受支持版本
11、EsteemAudit(尊重审计): 针对XP/2003 的RDP 远程攻击工具;
影响平台:XP/2003
应对方案:无补丁;不在支持期的系统建议关闭RDP 禁用,或者严格限制来源IP。
12、ExplodingCan(爆炸罐头):针对2003 IIS6.0 的远程攻击工具;
需要服务器开启WEBDAV 才能攻击,无补丁,不再支持期的系统建议关闭WEBDAV,或者使用WAF,或者应用热补丁.
影响其他产品的漏洞利用工具
EasyBee(轻松蜂):MDaemon 邮件服务器系统,建议升级或停用。
EasyPi(轻松派):Lotus Notes;建议升级或停用。
EwokFrenzy(狂暴伊沃克):Lotus Domino 6.5.4~7.0.2;建议升级或停用。
EmphasisMine(说重点):IBM Lotus Domino 的IMAP 漏洞;建议升级或停用。
ETRE:IMail 8.10~8.22 远程利用工具;建议升级或停用。