NSA武器库知识整理

美国国家安全局(NSA)旗下的“方程式黑客组织”（shadow brokers）使用的部分网络武器被公开，其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。

其中，有十款工具最容易影响Windows个人用户，包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子无需任何操作，只要联网就可以入侵电脑，就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。

（摘自KDNET凯迪社区）

---

Shadow Brokers事件爆发后，微软安全应急响应中心MSRC已经在当天发出公告，MSRC表示会对披露的漏洞进行了彻底调查，并且表明就本次遭到披露的漏洞而言，大多数都已经被修复。以下是部分公告内容：

当潜在漏洞经内部或外部来源上报给微软时，微软安全应急响应中心（Microsoft Security Response Center,缩写为MSRC）会立即进行彻底的调查。我们致力于迅速验证上报信息，确保置客户于风险中的真实、未解决的漏洞得到修复。一旦得到验证，工程团队会尽快修复被上报的问题。修复问题所需的时间会同受影响的产品、服务以及版本直接相关。同时，分析对用户的潜在威胁，以及漏洞被利用的可能性，我们也会摆在MSRC工作的首位。

就本次遭到披露的漏洞而言，大多数都已经被修复。以下是经过确认，已在版本更新中被解决的漏洞列表。

漏洞名称	解决方案
“EternalBlue 永恒之蓝”	由MS17-010解决
“EmeraldThread 翡翠线”	由MS10-061解决
“EternalChampion 永恒冠军”	由CVE-2017-0146和CVE-2017-0147解决
“ErraticGopher 漂泊地鼠”	在Windows Vista发布之前就已经解决
“EsikmoRoll 爱斯基摩卷”	由MS14-068解决
“EternalRomance 永恒罗曼史”	由MS17-010解决
“EducatedScholar 受过教育的学者”	由MS09-050解决
“ EternalSynergy 永恒协同”	由MS17-010解决
“EclipsedWing 黯淡羽翼”	由MS08-067解决

剩下的三个漏洞——“EnglishmanDentist英国牙医”，“EsteemAudit 尊严审计”和“ExplodingCan 爆炸罐头”，在Windows 7、 Windows近期版本、 Exchange 2010以及Exchange较新版本中没有得到复现，所以使用上述版本的用户不存在安全风险。但是，我们强烈建议仍在使用这些产品先前版本的用户升级到更新版本。

情况紧迫，国内安全厂商也快速行动起来了。4月19日深夜，360安全卫士官方微博宣布推出“NSA武器库免疫工具”，可以一键检测修补漏洞;对于没有补丁的系统版本，也可以关闭NSA黑客武器攻击的高危服务，能够全面抵挡NSA武器库的攻击。

（摘自Sohu搜狐 - i春秋）

---

说了这么多有的没的，我们回到起点，这些漏洞到底是从什么时候开始引起重视的？

（腾讯电脑管家NSA武器库漏洞检测界面）

---

这要从“EternalBlue永恒之蓝”漏洞开始说起。

首先，EternalBlue漏洞的冲击并非突然爆发，早在4月8日就被一个名人“影子经纪人”黑客组织为了“抗议美国总统特朗普”，利用美国国家安全局基于微软系统一个漏洞的监控工具进行过网络攻击。这个工具当时在网上公布过，但是并没有引起足够的重视。

这种勒索病毒名为WannaCry（及其变种），攻击手段是利用了微软系统的一个漏洞，取名为“永恒之蓝”EternalBlue。

据360安全中心分析，黑客正是通过使用NSA泄漏的“永恒之蓝”攻击Windows漏洞，把ONION、WNCRY等勒索病毒，通过Windows的445端口（文件共享），在网络上快速传播感染。这些病毒，无需用户任何交互性操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，从容植入勒索病毒等恶意程序。

北京时间5月12号晚间，这种恶意勒索软件病毒在世界各地迅速传播，电脑感染后即被锁死，弹出"哎哟，你的文件被加密了！"的显示框。用户被要求支付价值300美元的比特币才能解锁，否则所有资料将被删除。

（被EternelBlue入侵的电脑页面）

（摘自KDNET凯迪社区）

---

这是这十个漏洞的其中一个。总体来说，这十个漏洞的攻击工具按协议可以分为三类，分别为SMB漏洞,RDP漏洞和Kerberos漏洞。

·SMB漏洞攻击工具

SMB是一个网络文件共享协议，它允许应用程序和终端用户从远端的文件服务器访问文件资源，用于在计算机之间共享文件、打印机、串口和邮槽等。

此次泄露的NSA武器库中，包含了EternalBlue(永恒之蓝)、EternalChampion(永恒王者)、EternalRomance(永恒浪漫)、EternalSynergy(永恒协作)、EmeraldThread(翡翠纤维)、ErraticGopher(古怪地鼠)、EducatedScholar(文雅学者)等SMB漏洞攻击工具。

NSA武器攻击的SMB漏洞都已经被微软补丁修复，在支持期的系统打全补丁就可以了。但是像XP、2003这些微软已经不支持的系统，还是需要使用360的“NSA武器库免疫工具”把高危服务关掉，就可以避免被远程攻击了。

·RDP 漏洞攻击工具

RDP远程桌面服务是远程显示协议。用户可以通过它映像远程操控会话指导其他用户使用软件和系统，也可以用来监视客户机运行情况。Windows用户只要开启3389远程登陆端口便可以通过RDP 远程桌面服务对实现这一功能。

此次泄露的NSA武器中，同样包含着RDP远程桌面服务漏洞攻击工具EsteemAudit(尊重审查)。

EsteemAudit是支持Windows XP和Windows 2003的RDP漏洞远程攻击工具。黑客们利用它可以实现对中招电脑的远程操控，包括监视中招电脑的使用行为。凡是开放了3389远程登陆端口的 Windows 机器，都有可能受到攻击。

由于EsteemAudit影响的系统已经失去微软的支持，没有补丁修复漏洞。Windows用户需要关闭3389远程桌面，如果是服务器系统一定要开启3389端口，至少也要关闭智能卡登录功能，并在防火墙上严格限制来源IP。个人用户可以使用“NSA武器库免疫工具”进行防御。

·Kerberos（三头狗）域控漏洞利用工具

Kerberos 是Windows活动目录中使用的客户/服务器认证协议，为通信双方提供双向身份认证。Kerberos通过身份验证服务和票据授予服务对电脑数据进行管理，实现Windows用户同服务器的数据交换。

（Kerberos安全认证原理）

NSA武器库中的EskimoRoll(爱斯基摩卷)就是Kerberos的漏洞利用工具，它可以攻击 Windows2000/2003/2008/2008 R2的域控制器。Windows用户可以从微软官网下载补丁MS14-068修复该漏洞，也可使用360安全卫士等第三方软件扫描修复漏洞。

（NSA武器库免疫工具界面）

（摘自KDNET凯迪社区）

---

最后，再来说一下360的“NSA武器库免疫工具”的原理：

·首先检测系统环境，判断当前系统版本，是否存在NSA黑客武器攻击的漏洞。

·如果是Win7、Win10等有补丁的系统，免疫工具会调用360安全卫士打好补丁；

·如果是XP、2003等没有补丁的系统，免疫工具会一键关闭NSA黑客武器攻击的高风险服务从而使黑客武器无法实施攻击。

（摘自优选网）

---

参考网站：

·PacketStormSecurity-ERRATICGOPHER（漂泊/古怪地鼠漏洞介绍）

https://packetstormsecurity.com/files/142160/ERRATICGOPHER-1.0.1-Windows-XP-2003-SMB-Exploit.html

（PacketStormSecurity是一个在国外比较著名的展示当下和历史的安全工具、安全开发和提供安全建议的网站）

·KDNET凯迪社区

http://club.kdnet.net/dispbbs.asp?boardid=1&id=12249344

·Sohu搜狐 - i春秋

http://www.sohu.com/a/134372861_689961

·优选网

http://www.yxqbx.com/keji/ruanjian/1740663.html

（END）

---